4 203
modifications
« Installation et configuration de OpenSSH » : différence entre les versions
Aller à la navigation
Aller à la recherche
Installation et configuration de OpenSSH (voir la source)
Version du 2 février 2019 à 21:10
, 2 février 2019→Forcer des utilisateurs à utiliser sftp
| (2 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 98 : | Ligne 98 : | ||
Il faut ensuite générer vos clés publique et privée : | Il faut ensuite générer vos clés publique et privée : | ||
<pre>ssh-keygen -t rsa -b 4096</pre> | <pre>ssh-keygen -t rsa -b 4096</pre> | ||
Ici je génère une clé rsa de 4096 bits. D'autres algorithmes sont disponibles. | Ici je génère une clé rsa de 4096 bits. D'autres algorithmes sont disponibles comme ecdsa et ed25519.<br /> | ||
Il vous sera posé deux questions. La première vous demandera d'indiquer le chemin où les clés doivent être installés. Vous pouvez laisser le chemin proposé par défaut si vous ne souhaitez utiliser qu'un seul couple de clé. La seconde question vous demande d'entrer la passphrase qui servira à protéger la clé privé. Vous pouvez entrer une passphrase ou non, mais il est recommandé d'en entrer une par mesure de sécurité. | Il vous sera posé deux questions. La première vous demandera d'indiquer le chemin où les clés doivent être installés. Vous pouvez laisser le chemin proposé par défaut si vous ne souhaitez utiliser qu'un seul couple de clé. La seconde question vous demande d'entrer la passphrase qui servira à protéger la clé privé. Vous pouvez entrer une passphrase ou non, mais il est recommandé d'en entrer une par mesure de sécurité. | ||
Une fois les clés générées, il va falloir ajouter la clé publique à la liste des clés autorisées par votre serveur. Pour cela, on utilise la commande ssh-copy-id | Une fois les clés générées, il va falloir ajouter la clé publique à la liste des clés autorisées par votre serveur. Pour cela, on utilise la commande ssh-copy-id | ||
| Ligne 173 : | Ligne 172 : | ||
* que leurs répertoires home appartiennent à root et ne puissent être écrit par aucun autre utilisateur ou groupe. | * que leurs répertoires home appartiennent à root et ne puissent être écrit par aucun autre utilisateur ou groupe. | ||
Vous pouvez aussi, pour plus de sécurité, changer le shell de ces utilisateurs à <code>/bin/false</code> : <code>chsh -s /bin/false username</code> | Vous pouvez aussi, pour plus de sécurité, changer le shell de ces utilisateurs à <code>/bin/false</code> : <code>chsh -s /bin/false username</code> | ||
=Forcer des utilisateurs aux commandes de transfert de fichiers= | |||
Vous pouvez utiliser <code>rssh</code> qui est un shell restreint qui ne permet l'usage que des commandes scp, sftp, cvs, svnserve (Subversion) rdist et rsync. | |||
=Renouveler les clés ssh du serveur= | =Renouveler les clés ssh du serveur= | ||