[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: SSH : Authentification par clefs + interdiction d'accès par mot de passe - Trixie brut d'installation

Bonjour,

 Le Sat, 11 Oct 2025 10:15:35 +0200,
Basile Starynkevitch <basile@starynkevitch.net> a écrit :
[...]

Il me semble (et c'est logique) que les clefs publiques doivent être
accessibles de tous. Certains publient même leur clef publique sur le
web

Pour ma part (mon user est basileu et mon groupe basileg)
% ls -ld ~/.ssh
drwxr-xr-x 3 basileu basileg 4096 Oct  8 09:05 .ssh

%  ls -ls .ssh
 4 drwx------ 2 basileu basileg  4096 Oct 11 09:11 agent
 8 -rw------- 1 basileu basileg  5138 Apr 18 16:09 authorized_keys
 4 -rw------- 1 basileu basileg  1349 Apr  6  2006 authorized_keys2
 4 -rw------- 1 basileu basileg  1650 Mar 30  2020 config
 4 -rw------- 1 basileu basileg  1192 Apr  6  2006 id_dsa
 4 -rw------- 1 basileu basileg  1716 Jul 19  2008 id_dsa.keystore
 4 -rw------- 1 basileu basileg  1115 Feb 16  2019 id_dsa.pub
 4 -rw------- 1 basileu basileg   365 Aug 22  2016 id_ecdsa
 4 -rw-r--r-- 1 basileu basileg   269 Aug 22  2016 id_ecdsa.pub
 4 -rw------- 1 basileu basileg   529 Dec  3  2000 identity
 4 -rw------- 1 basileu basileg   333 Dec  3  2000 identity.pub
 4 -rw------- 1 basileu basileg  1675 Jan 26  2007 id_rsa
 4 -rw------- 1 basileu basileg   630 Jul 19  2008 id_rsa.keystore
 4 -rw------- 1 basileu basileg   395 Jan 26  2007 id_rsa.pub
28 -rw------- 1 basileu basileg 26111 Jul  8 09:42 known_hosts
28 -rw------- 1 basileu basileg 25275 Jul  8 09:42 known_hosts.old
 8 -rw------- 1 basileu basileg  8053 Oct 21  2002 known_hosts_old
 4 -rw------- 1 basileu basileg   512 Oct  8  2000 random_seed
 4 -rw------- 1 basileu basileg   399 Jun 25  2015 ssh_config


Avec .ssh/agent contenant deux sockets unix récents


Librement


Merci Basile pour cet exemple concret.

Le problème est résolu. Je fais un retour très prochainement.
A part l'agent et le random_seed, maintenant le contenu de mon .ssh est presque similaire. 

La création des paires de clefs m'a été très chronophage.
On peut créer une seule paire de clefs et la donner à toutes les personnes autorisées. En quelque sorte c'est comme le pass des serrures des boîtes à lettres que possèdent les facteurs. C'est rapide à mettre en place mais ce n'est certainement pas la bonne façon de procéder si la confiance ne règne pas à 100%. Si on créé une paire de clefs par personne alors la personne ne peut se connecter que sur son compte distant. Pour donner accès à d'autres comptes il va falloir remplir les authorized_keys en conséquence. Si j'ose un parallèle c'est comme si chacun avait son propre pass mais restreint à quelques serrures de boîtes à lettres. Il y a certainement d'autres façons de gérer un parc de clefs à l'intérieur d'un groupe mais je ne les ai pas étudiées.
Après avoir passé autant de temps à organiser ces clefs, que pour ne pas les perdre, je les ai sauvegardées dans Keepass par des copiés-collés. 
J'espère ne pas avoir à les restaurer un jour depuis Keepass.


--
Cordialement,
Alain Vaugham
Clef GPG : 0xDB77E054673ECFD2
Reply to: