Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[SSH] Créer une clé privée pour un autre utilisateur

bruno

La préférence pour ED25519 c'est par principe. Il y a déjà eu des preuves d'attaques réussies sur des clés RSA 1024 et sans doute 2048 bits. Et ce n n'est pas forcément une question de savoir (la doc est publique) mais surtout de puissance de calcul.
RSA 2048 bits ou 4096 bits est sans aucun doute suffisamment sécurisé.
La cryptographie par courbes elliptiques (comme ED25519) est une alternative sérieuse pour le jour ou RSA sera définitivement cassé. Et cela a surtout l'avantage d'utiliser des clés de beaucoup plus petite taille (128 bits pour ED25519).
Sur mes machines j'ai systématiquement les deux (RSA 4096 bits et ED25519).

Plug

Bon, j'avance doucement mais j'ai besoin de précisions...

bruno a écritSur le serveur :
* Un utilisateur sendlog avec pour shell /usr/sbin/nologin et pour home /srv/portable.
* Le dossier /srv/portable doit être la propriété de root pour la suite.

Si sendlog ne peut plus accéder à son home, comment pourra-t-il accéder à la clé publique /srv/portable/.ssh/authorized_keys lors de la connexion ?

bruno a écrit

Match group sendlog

Est-ce que cette directive ne s'applique qu'au groupe sendlog (ou seulement à SFTP) ou vient-elle également impacter mon utilisateur restricted définit précédemment (mais qui n'a pas besoin de faire du SFTP) ?

bruno

J'ai donné un exemple, à toi de l'adapter. J'ai choisi sendlog comme nom d'utilisateur comme j'aurais pu choisir toto.
Un utilisateur sans shell peut parfaitement accéder à son home. C'est une pratique courante sous Linux.

J'ai mis Match group dans mon exemple, mais tu peux utiliser Match user. Encore une fois il faut lire la doc.

Plug

Alors pour ceux qui suivent ce fil (et qui n'ont pas forcément envie de se taper la doc 😛) je donne les réponses à mes propres questions :cool:

Plug a écritcomment pourra-t-il accéder à la clé publique /srv/portable/.ssh/authorized_keys lors de la connexion ?

Comme j'ai déjà un utilisateur restricted qui fait du SSH mais qui n'a pas de maison (home), et que la directive AuthorizedKeysFile de /etc/ssh/sshd_config est déjà définie, j'ai réglé le problème en mettant toutes mes clés publiques (y compris celle du serveur) au même endroit.

#AuthorizedKeysFile	%h/.ssh/authorized_keys
AuthorizedKeysFile	/etc/ssh/authorized_keys

Match group (ou Match user)

Plug a écritEst-ce que cette directive ne s'applique qu'au groupe sendlog (ou seulement à SFTP)

Elle s'applique à tout SSH (pas seulement à SFTP). A partir du moment où les conditions initiales sont réunies, elle substitue les valeurs globales de sshd_config par celles définies dans les lignes suivant le Match.
Donc oui, ça peut impacter un autre utilisateur, s'il appartient au même groupe par exemple (ce qui n'est pas le cas dans ma config).

J'ai donc choisi la config suivante :

# Passer UsePAM à no est impossible sinon SFTP génère un :
# "User sftp-user not allowed because account is locked"
UsePAM yes

Match group sendlog
        ChrootDirectory %h
        X11Forwarding no
        AllowTcpForwarding no
        PasswordAuthentication no
        PermitTunnel no
        AllowAgentForwarding no
        ForceCommand internal-sftp

et ça fonctionne bien... en local 🙂

J'attends le retour du PC nomade pour tester en remote.

[edit]
Bon, pour moi tout est OK

root@pc-linuxshop:~# sftp -i /home/commun/ssh_client_rsa_key -oPort=212223 sftp-user@109.24.25.26

    ALERT! You are entering into a secured area!
This service is restricted to authorized users only.
    All activities on this system are logged.
Your IP, Login Time, Username has been noted and has been sent
            to the server administrator!
Unauthorized access will be fully investigated and reported to
       the appropriate law enforcement agencies.

Connected to 109.24.25.26
sftp> ls
logs
sftp> bye
root@pc-linuxshop:~#

Y'a plus qu'à mettre ça dans un script bash avec un here document et c'est fini.
Je passe en résolu (pour de bon cette fois 😃 )
[/edit]

« Page précédente