Openssh avec clé privée

Configurer le SSH est important pour éviter de laisser une porte ouverte sur le monde vers votre serveur. Par défaut SSH est configuré pour accepter les connexions d'un utilisateur du système par simple demande de mot de passe.

La meilleure solution reste de changer le port du SSH, ne pas autoriser le login de root, ni la
connexion par mot de passe, mais uniquement pour un utilisateur donné avec une clé privée.

Tout d'abord, si à l'installation vous n'aviez pas coché Serveur OpenSSH, il va falloir le faire
maintenant :

apt-get install openssh-server

Pour se connecter par ssh sur un serveur, vous pouvez utiliser le client Putty sous Windows, ou la commande ssh sous Linux.

Pour éviter les problèmes, laissez ouverte une deuxième console sous SSH au cas où.

Sauvegardons l'original de la configuration et changeons les droits pour éviter les problèmes :
 
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.original
chmod a-w /etc/ssh/sshd_config.original

Maintenant, ouvrez le fichier de configuration :

nano /etc/ssh/sshd_config

Repérez ces lignes pour pouvoir modifier la configuration comme indiqué :

 Port 2222 //Le port par défaut est le 22, c'est conseillé de changer.
 PermitRootLogin no //root ne pourra pas se connecter
 RSAAuthentication yes
 PubkeyAuthentication yes
 AuthorizedKeysFile               %h/.ssh/authorized_keys
 PermitEmptyPasswords            no
 PasswordAuthentication no //connexion par simple mot de passe désactivée

Avec cette configuration, la seule solution de connexion sera d'utiliser une clé privée, fichier crypté qui vous permettra à la fois d'être le seul à pouvoir ouvrir une connexion, et à crypter les échanges du SSH vers le serveur sur le réseau.
Ce système fonctionne avec deux clés, une publique (.pub), une privée (sans extension). La privée permet de générer la publique, la publique ne permet pas de générer la privée. La clé publique doit être copiée dans un fichier du système pour SSH, la privée doit être conservée précieusement en dehors du serveur, et ne doit pas traîner n'importe où !

Tout d'abord, créons les clés – vous devez faire cette manipulation en étant logué avec
l'utilisateur qui vous intéresse, surtout pas en root :

 ssh-keygen -t rsa -b 2048

Une passphrase vous sera demandée, elle n'est pas obligatoire. Un nom de clé vous sera aussi
demandé, ici on prendra par exemple key-rsa. La clé sera créée dans le répertoire courant.

Copiez la clé publique dans le fichier d'autorisation de SSH :

 mkdir ~/.ssh
 cat key-rsa.pub >> ~/.ssh/authorized_keys
 chmod 700 ~/.ssh
 chmod 600 ~/.ssh/authorized_keys

Attention, il est nécessaire de ne donner des droits qu'à l'utilisateur propriétaire.

Maintenant, déplacez la clé privée créée sur votre pc client, ne la laissez pas sur le serveur.

Revenez en root. Redémarrons maintenant SSH pour valider la configuration :

 /etc/init.d/ssh restart

Avec une nouvelle console, essayez de vous connecter. Voici quelques explication :
Pour utiliser la clé privée sous Windows, il vous faudra la convertir au format clé privée Windows (.ppk) avec puttygen (téléchargeable gratuitement sur internet). Sous Putty, on donne le chemin de la clé ppk dans la catégorie Connection/SSH/Auth. N'oubliez pas d'indiquer comme connexion votre-login@ip-de-votre-serveur.

La clé privée sans extension servira pour une machine cliente linux. Voici la syntaxe pour ssh :

ssh votre-login@ip-serveur -p 2222 -X -i chemin_vers_clé_privée

L'option X permet l'export du serveur X chez le client, vous permettant d'ouvrir un logiciel
graphique du serveur sur votre machine linux cliente.
L'option p change le port, et le i donne le chemin vers la clé privée.

Pour vérifier la configuration, vous pouvez également essayer de vous connecter en tant que root, avec ou sans clé, vous serez refusé.