Comment se connecter en SSH sans mot de passe?

cadenas-ssh
Dernière mise a jour 18 Avr 2017 a 09:46

Le grand classique du « comment faire communiquer 2 machines en SSH sans mot de passe »? Souvent on a besoin pour des scripts d’automatisation de s’affranchir de l’authentification par mot de passe entre 2 machines.
Le SSH permet d’assurer la l‘authentification, la confidentialité des échanges entre 2 machines. C’est à dire que tout ce qui passe dans les tuyaux entre les 2 machines est chiffré.

Comment SSH fait il?

Il s’appuie sur la cryptographie asymétrique. Un nom bien pompeux derrière lequel se cache un mécanisme simple et rudement efficace.

Le principe:
On va reprendre le fameux exemple du « bob et alice ».

BOB souhaite parler à ALICE de manière confidentielle. Pour ce faire, ils disposent chacun de 2 clés:

  • 1 clé privée et 1 clé publique.
  • ALICE envoie en clair sa clé publique à BOB . Au passage, comme son nom l’indique , n’importe qui peut avoir accès à la clé publique d’ALICE. N’importe qui souhaitant communiquer avec elle utilise la clé publique d’ALICE.

La clé publique d’ALICE ,c’est en quelque sorte comme un cadenas que BOB va apposer sur son message.

chiffrement asymetrique

Ok , maintenant que Bob possède la clé publique d’ALICE, il va pouvoir lui écrire et chiffrer son message . (mettre son petit cadenas dessus : – )

Seule, ALICE avec sa clé privée pourra déchiffrer le contenu du message de BOB. La clé privée est en quelque sorte la clé qui ouvre le cadenas posé par BOB.

Scenario inverse:

Alice veut répondre à BOB.

Alice =>demande la clé publique de BOB
BOB=>envoie en clair sa clé publique à ALICE
ALICE chiffre son message avec la clé publique de BOB
BOB recoit le message et le déchiffre avec sa clé privée.

Concrètement, les commandes…

On veut que la machine A se connecte sur la machine B sans mot de passe.

1/ Générer les clés publiques (sur la machine A)

ssh-keygen -t  rsa
Répondre « oui » et « rien » aux questions qui vous seront posées.
2 fichiers sont générés dans le répertoire « ~/.ssh »

  • id_rsa => c’est la clé privée. A conserver précieusement à l’abri des indiscrets sur sa machine.
  • id_rsa.pub => c’est la clé publique. Que l’on peut transmettre à tous ceux qui veulent communiquer avec moi.

2/ Copier la clé publique de la machine A

ssh-copy-id user@machineB
Vous devriez voir ces messages:

/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys

Rentrer le mot de passe habituel pour accéder à B.
Cette commande a pour effet de copier le contenu de la clé publique de A dans le fichier « ~/.ssh/authorized_keys » de B.

3/ Tester la connexion de A vers B

ssh user@machineB
et là magie magie, vous êtes directement connecté sur la machine B.

NOTA BENE:
Si c’est la toute première connexion de A vers B alors un message du type:
The authenticity of host 'machineB (192.168.2.3)' can't be established. RSA key fingerprint is c6:ee:c6:e4:9a:b6:7e:46:4c:17:b4:d0:7b:80:af:2c. Are you sure you want to continue connecting (yes/no)?
Répondre « yes » , l’empreinte la machine B sera copié dans le fichier « ~/.ssh/known_hosts » de la machine A.

4/ pour les curieux

Sur la machine B:
cat /home/user/.ssh/authorized_keys
on retrouve la clé publique de la machine A:

ssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAABAQDIAePqXozbqzerGr3jCj7nF2Vd2Bqi7BbQJXw/ROGH+210Y41kEe9gzioV/Q86z31pMJdUhC+LU96wiBPbPMUlPqSNBckcbmQK0LoWZYaxwrlFdqcmbAhqx9lHywPCQdJCIGkkk9sFsuSmxli7mfuzNjKVdA6C8BuGvEgM1QBWQ9gGPIKCs+BXkCtfU1KyxZOdNnnP9apT/i2P+Pk3XocJJuXSR887Vu81a/hG2uy46/M8t/n7/Btrt44FZZ root@machineA

Si on supprimait cette clé du fichier authorized_keys de la machine B, à la prochaine tentative de connexion de A vers B, un mot de passe serait demandé.

Remarque:

Pour être plus précis, le protocole SSH utilise le chiffrement asymétrique pour que client et serveur s’échange une clé de session.(je simplifie au max et ne parle pas de toutes les étapes pour ne pas embrouiller). Cette clé de session va permettre ensuite de chiffrer le reste des communications entre les 2 machines.

5/ sécurité?

  • ne pas créer de connexions ssh automatique sans mot de passe pour Root.
  • Conserver sa clé privée comme la prunelle de ses yeux . Au besoin la sauvegarder dans un lieu sûr.
  • Du coup ,mettre des droits restrictifs sur la clé privée id_rsa. ( par exemple : chmod 600 id_rsa)

 

2 Trackbacks & Pingbacks

  1. SSH sans mot de passe - Memo
  2. Générer des clés SSH qui tiennent la route - tutox.fr

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*