Bonjour,
Je me connecte régulièrement par SSH à des serveurs sous Debian.
Par habitude, j'interdis sur ces serveurs l'accès au compte root par SSH.
J'accède à ces machines depuis un PC sous Debian, mais je peux plus
rarement le faire depuis un PC sous Windows ou un smartphone sous Android.
Je souhaite améliorer la sécurité de ces accès et me simplifier la vie
en changeant mes habitudes.
J'ai pensé à la chose suivante:
- sur toutes les machines distantes (sous Debian), l'accès par SSH
s'opère uniquement par clés SSH,
- je stocke mes propres clés SSH sur une clé USB (voir plus loin) qui
comme mon smartphone est toujours avec moi,
- quand je veux me connecter à une machine distante depuis un PC,
j'insère la clé USB dans le PC, je lance SSH agent en lui indiquant
qu'il pourra trouver mes clés sur la clé USB
- quand je lance SSH agent, celui-ci me demande un mot de passe
- sur toutes les machines distantes, j'autorise les clés SSH qui se
trouvent sur ma clé USB et la clé SSH sur mon smartphone
- en cas de perte de ma clé USB ou de mon smartphone, je répudie la
clé SSH correspondante sur tous les machines qui l'autorise et je
rajoute la nouvelle clé SSH.
J'utilise ici le terme clé USB à la fois comme un terme générique
désignant un appareil portable avec une interface USB, et en pensant
aux simples clés USB du commerce.
Mes questions sont nombreuses:
- Ai-je pensé à tout ?
- Que choisir comme clé USB ?
- Comment la protéger sans perdre la possibilité de l'utiliser sur
une machine occasionnelle (*) ?
- Y-a-t-il une astuce particulière (ie une option d'un logiciel) pour
conserver la liste des machines sur lesquelles une clé SSH a été
copiée afin de ne pas oublier cette machine en cas de répudiation) ?
- Conseils, remarques et suggestions ?
Slts
(*) Il m'arrive souvent, sur une machine occasionnelle, de
télé-charger PuTTY avant de me connecter et ça me semble acceptable.
S'il fallait installer des drivers et des logiciels, pour utiliser les
clés SSH stockées sur la clé USB, ça ne me semble pas acceptable.