Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[SSH] Créer une clé privée pour un autre utilisateur

Plug

Bonjour,

C'est dans le titre 🙂 : Peut-on créer une paire de clés pour un autre utilisateur ?

Je n'ai pas trouvé dans le manpage de ssh-keygen une option qui permettrait de choisir l'utilisateur.

Description du problème :

J'ai un serveur sur lequel j'ai créé un compte restreint pour les connexions SSH.
Le PC portable client doit pouvoir se connecter avec un script (donc par clés asymétriques, c'est mieux).
Il doit pouvoir se connecter quelque soit l'utilisateur.

Contrainte supplémentaire :

J'aurais aimé ne pas avoir à créer le compte restreint sur le PC portable

Dans l'attente de vos suggestions....
Merci

bruno

Bonjour,

C'est normal ssh-keygen crée une paire de clés et ce n'est pas lié à l'utilisateur, si ce n'est que par défaut ces clés sont placées dans le dossier ~/.ssh de l'utilisateur qui a lancé la commande.
Tu peux générer les clés où tu veux avec :

ssh-keygen -f /emplacement/nom_cle

copier le contenu de la clé publique /emplacement/nom_cle.pub dans le fichier ~/.shh/authorized_keys du compte sur le serveur.
Tu peux aussi copier les clés déjà générées à un emplacement accessible en lecture à tous les utilisateurs du portable.

Ensuite les utilisateurs pourront se connecter en précisant l'emplacement de la clé privée :

ssh -i /emplacemen/nom_cle compte_restreint@serveur

Plug

Merci pour ta réponse,

Pourtant dans mon fichier j'ai :

root@debian:~# cat .ssh/authorized_keys
ssh-rsa <blabla chiffré> root@pc-linuxshop

Est-ce que tu suggères que je change root@pc-linuxshop en restricted@pc-linuxshop (à la main dans le fichier), ou mieux, que je pourrais me connecter avec le compte restricted même sans rien changer, pourvu qu'il utilise la clé privée créée avec root ?

root@pc-linuxshop:~# mv /root/.ssh/ssh_client_rsa_key  /home/commun/ssh_client_rsa_key
root@pc-linuxshop:~# chmod 664 /home/commun/ssh_client_rsa_key

matthieu@pc-linuxshop:~$ ssh -i /home/commun/ssh_client_rsa_key restricted@debian

bruno

Non root@pc-linuxshop n'est qu'une indication pour savoir par qui et où a été générée la clé. Tu peux le supprimer ou le remplacer par n'importe quoi cela ne changera rien.

Plug

OK. Naïvement je croyais qu'une clé privée était... ... ... ... privée. :/

Bon, je passe en résolu.
[edit]
En fait non, ça ne marche pas.
Je ne sais pas si ça se fait mais j'enlève le "Résolu"
[/edit]

Plug

Le serveur me demande un mot de passe. Or justement, c'est un compte qui n'a pas de mot de passe :/
(cf. option --disabled-password)

matthieu@pc-linuxshop:~$ ssh -i /home/commun/ssh_client_rsa_key restricted@debian
    ALERT! You are entering into a secured area!
This service is restricted to authorized users only.
    All activities on this system are logged.
Your IP, Login Time, Username has been noted and has been sent
            to the server administrator!
Unauthorized access will be fully investigated and reported to
       the appropriate law enforcement agencies.

restricted@debian's password:

bruno

Est-ce que la clé publique est bien dans /home/restricted/.ssh/authorized_keys ?

Plug

Le compte restreint n'a pas de /home (cf. option --no-create-home).

Les clés publiques sont dans un autre répertoire, définit dans le fichier de config sshd

#AuthorizedKeysFile	%h/.ssh/authorized_keys
AuthorizedKeysFile	/root/.ssh/authorized_keys

justement pour que ssh ne cherche pas la clé dans le répertoire /home/restricted (qui n’existe pas)

hum... :rolleyes: , un doute m'habite; c'est bien le deamon ssh qui va lire authorized_keys ?
Pas le compte avec lequel on se connecte, n'est-ce pas ?

bruno

Ton doute est fondé il faut que le fichier authorized_keys soit accessible en lecture à l'utilisateur restricted. Ce qui n'est certainement pas le cas s'il est dans /root.

Plug

Bon, cette fois ça marche 🙂

J'ai créé un répertoire spécifique (c'est ballo car finalement l'option --no-create-home devient inutile)
J'ai rendu l'utilisateur restricted propriétaire du répertoire
J'ai placé authorized_keys dans ce répertoire

En détail pour ceux que ça intéresse...

root@debian:~# mkdir /public
root@debian:~# chown restricted:restricted /public
root@debian:~# mkdir /public/.ssh
root@debian:~# mv /root/.ssh/authorized_keys /public/.ssh/authorized_keys
root@debian:~# chown restricted:restricted /public/.ssh/authorized_keys

J'ai bien entendu modifié le fichier de configuration sshd en conséquence

root@debian:~# grep AuthorizedKeysFile /etc/ssh/sshd_config
#AuthorizedKeysFile     %h/.ssh/authorized_keys
AuthorizedKeysFile      /public/.ssh/authorized_keys
root@debian:~# service ssh reload

Un grand merci à bruno , que vais solliciter encore une fois d'ailleurs 🙂

Puisqu'on est dans le thème Sécurité :

l'option --no-create-home est-elle bien utile pour ce genre de comptes puisque finalement il faudra quand même lui créer un répertoire dans lequel il y aura les clés autorisées ?

bruno

Je ne vois pas en quoi le fait d'avoir ou pas un dossier personnel joue sur la sécurité. Par ailleurs rien ne t'obligeait à créer un dossier spécifique appartenant à ton utilisateur restricted. Tu aurais très bien pu mettre cela dans /etc/ssh/authorized_keys par exemple, avec un fichier en lecture pour tous.

La sécurité , dans ce cas précis, dépend surtout de la manière dont ce fameux compte est restreint.

Plug

bruno a écritJe ne vois pas en quoi le fait d'avoir ou pas un dossier personnel joue sur la sécurité.

Moi non plus en fait 🙂 . J'ai juste suivi un tuto qui disait que c'était mieux :/

bruno a écritLa sécurité , dans ce cas précis, dépend surtout de la manière dont ce fameux compte est restreint.

Pour savoir de quoi on parle, voici la commande que j'ai passée :

root@debian:~# adduser --no-create-home restricted --disabled-password --shell=/bin/false
Ajout de l'utilisateur « restricted » ...
Ajout du nouveau groupe « restricted » (1002) ...
Ajout du nouvel utilisateur « restricted » (1002) avec le groupe « restricted » ...
Le répertoire personnel « /home/restricted » n'a pas été créé.
Modification des informations relatives à l'utilisateur restricted
Entrez la nouvelle valeur ou « Entrée » pour conserver la valeur proposée
        Nom complet []: restricted ssh
        N° de bureau []:
        Téléphone professionnel []:
        Téléphone personnel []:
        Autre []: Limited account
Cette information est-elle correcte ? [O/n]o
root@debian:~#

De mon point de vue ça me parait plutôt bien restreint.
Mais je lirai avec attention ton avis, car tu sembles bien maitriser le sujet 🙂

bruno

Ah ? Et comment l'utilisateur restricted peut-il se connecter avec : --shell=/bin/false. Si c'est le cas, logiquement une commande :

ssh retricted@serveur

devrait afficher le motd et fermer immédiatement la connexion.

J'ai l'impression que tu utilises la mauvaises méthode pour arriver à un but que l'on ignore…

Plug

bruno a écritJ'ai l'impression que tu utilises la mauvaises méthode pour arriver à un but que l'on ignore…

C'est fort possible, mais je ne me voyais pas demander directement sur le forum "Comment on fait pour...(tout le projet) "
Pour moi, le problème technique (celui du sujet) est réglé. Néanmoins, si ça t’intéresse, je peux continuer avec la suite de mon projet, notamment au niveau sécurité.

Plug

Suite du projet...

Ma priorité (en termes de sécurité) est de m'assurer qu'aucun des utilisateurs du PC portable (même pas root) ne puisse obtenir un shell sur le serveur.

Il me semble que pour l'instant, la méthode choisie --shell=/bin/false répond à cette contrainte.
N'hésite pas à me le dire si tu penses que ce n'est pas le cas.

Je veux récupérer sur un serveur (Debian) quelques fichiers .log d'un PC nomade (Ubuntu) de manière automatique.

Le PC doit donc, à fréquence régulière, lancer un script pour transférer ces fichiers, sans action requise de la part des utilisateurs (qui savent à peine ce qu'est un terminal).

J'ai donc créé sur le portable une paire de clés SSH, pour ne pas avoir à saisir (ou à écrire en dur et en clair) un mot de passe.
J'ai également créé sur le serveur, un compte restreint à l'établissement du canal de transmission (option --shell=/bin/false). Voir cette discussion pour plus de détails.

A partir de là je vois 2 solutions :

utiliser SCP (ou SFTP)
faire en sorte que le serveur aille lui même récupérer les fichiers

(La deuxième me parait plus compliquée)
Si vous avez d'autres idées, je suis preneur bien entendu.

Quelle serait la meilleure solution, en terme de sécurité ?

Merci

bruno

Modération : je fusionne les deux sujets qui traitent du même problème et déplace dans la section « Support non officiel pour les autres systèmes d'exploitation » puisqu'il s'agit de Debian et non d'Ubuntu. Les forums Debian sont entre autres ici : https://www.debian-fr.org/ Ok admettons, le portable est sous Ubuntu…

bruno

Puisqu'il s'agit de transférer de logs, idéalement il faudrait configurer rsyslog (ou systemd-journal-remote) sur le serveur et le client.

Solution 1 : une tâche cron sur le portable qui exécute un script. Ce script devra envoyer les fichiers concernés sur le serveur en SFTP.
Un peu compliqué, AMHA, car cela obliger a créer un utilisateur sans shell (mais avec un home ce sera plus simple) qui est bloqué dans son dossier personnel et restreint à faire du SFTP. Cela se règle dans le ssd_config du serveur (voir les ocs et la page de man correspondante)

Solution 2 : une tâche cron sur le serveur qui exécute un script. Ce script devra tester la connectivité avec le portable et y les fichiers concernés.
Pour moi la solution la plus simple. Le portable est accessible en SSH (openssh-server y est installé). Le script s'exécute en tant que root et se connecte au compte root du portable avec une identification par clés (la clé publique de l'utilisateur root su serveur est dans le fichier authorized_keys de l'utilisateur root du portable)

Plug

bruno a écritje fusionne les deux sujets qui traitent du même problème

Je trouve que ce n'est pas le même sujet.
"Créer une clé pour un autre utilisateur" ce n'est pas "transférer des fichiers avec un compte sans shell"
Mais bon, c'est plus toi qui décide comment gérer le forum puisque je vois que tu es modérateur 😉

C'est juste qu'un membre qui ferait une recherche sur "compte sans shell" par exemple risque de ne pas s'intéresser à un problème de clé.

En revanche, déplacer dans la rubrique "Autres systèmes", c'est plutôt curieux car il s'agit bien d'un PC Ubuntu.
Heureusement que le serveur n'est pas sous Windows 😃. Je ne vois pas où mon fil aurait atterri dans ce cas :rolleyes:
Je ferme la parenthèse... [edit]et je te remercie d'avoir pris en compte mon objection 😉 [/edit]

Sur le sujet lui-même :

Solution 1 : je regarde plutôt du coté de rssh rssh - restricted secure shell allowing only scp and/or sftp
Solution 2 : là je ne vois pas du tout de quoi tu parles. Comment peut-on se connecter à un PC qui est "dans la nature" ? (je rappelle que c'est un PC nomade). Si tu as une ébauche de script, voire même une simple commande qui permette de se connecter sur un PC sur le net, je suis très intéressé...

En tout cas merci encore de me suivre sur ce sujet, car visiblement tu es le seul à avoir un avis sur la question 🙂

bruno

Ok, la solution 2 n'est pas applicable si le portable change régulièrement de réseau et donc d'adresse IP.
Il ne reste que la solution1 et rssh peut être une façon de faire si tu veut autoriser autre chose que SFTP (scp, rsync), sinon c'est inutile.

Personnellement voici comment je réaliserais la chose.

Sur le serveur :
* Un utilisateur sendlog avec pour shell /usr/sbin/nologin et pour home /srv/portable.
* Le dossier /srv/portable doit être la propriété de root pour la suite.
* On y créé un dossier /srv/portable/logs, proprité de sendlog destiné à recevoir les fichiers de log.
* L'utilisateur n'est autorisé qu'à faire du SFTP et uniquement cela, et ne peut sortir de son dossier personnel, via la configuration du serveur SSH (voir la doc et le man), exemple :

Match group sendlog
        ChrootDirectory %h
        ForceCommand internal-sftp

Sur le client :
* L'utilisateur root doit avoir un paire de clés RSA ou mieux ED25519 et sa clé publique doit être copiée sur le serveur dans /srv/portable/.ssh/authorized_keys
* Une tâche cron exécutée par root appelle à intervalles réguliers un script sendlog.sh
* Le script sendlog.sh fait ceci :
1. vérifie que le serveur est atteignable
2. envoie les fichiers voulus en SFTP dans /srv/portable/logs

-----
[HS]
Il s'agit bien du même problème depuis le départ, puisque tes manipulations du premier message résultent de ce que tu as exposé en #15. Tu aurais d'aileurs du commencer par exposer cela afin que la discussion soit claire et ne parte pas sur de fausses pistes.
[/HS]

Plug

Ta solution me plait bien. Je vais essayer de la mettre en œuvre.
Du coup mon assiduité sur le forum va s'en trouver dégradée (je vais pas faire ça en 1 journée :/).
Je m'en excuse par avance.

Sinon

bruno a écritL'utilisateur root doit avoir une paire de clés RSA ou mieux ED25519

C'est juste par principe ou c'est vraiment mieux (je connais pas du tout ED25519) ? Parce que des gens qui savent casser une clé RSA j'en connais pas beaucoup et je pense que ceux qui savent ont autre chose à faire que de s'attaquer à mon petit serveur maison 🙂

Je te tiens au courant de mes avancées et/ou de mes blocages éventuels.

---
[HS]
non non pas de fausses pistes. Pour moi le problème initial était bien résolu dès le #10.
Après c'est vrai que j'ai voulu en rajouter et là oui j'aurais dû donner plus d'infos. Désolé
[/HS]

Page suivante »