Re: ssh, pass-phrase... et sens unique

Page principale

Répondre à ce message
Auteur: Yves Martin
Date:  
À: guilde
Sujet: Re: ssh, pass-phrase... et sens unique
Selon Patrice KARATCHENTZEFF <patrice.karatchentzeff-alplog@???>:

> Salut,
>
> Je cherche à établir une connexion chiffrée entre deux machines de façon
> automatique. Facile, j'utilise ssh. Je fabrique une clé avec ssh-keygen
> sur la première machine, envoie la clé dans la seconde et tout va pour
> le mieux dans le meilleur des mondes...


 Si je schématise: deux machines A (client) et S (serveur)
    A: ssh-keygen
    A: scp id_rsa.pub S:.ssh/authorized_keys
       (pas catholique mais c'est pour aller vite dans le schéma !!)
    A: ssh S   OK!!


> Par contre, il m'est impossible de faire la manip inverse (fabrication
> de la clé -> OK, envoi -> OK et connexion automatique impossible (mot de
> passe demandé)).


    S: ssh-keygen
    S: scp id_rsa A:.ssh/id_rsa
       (Là c'est la sécurité qui n'est pas catholique !!)
    A: ssh S    OK!!


> Les configs sont identiques de part et d'autre... Là, je sèche !


  Où que tu génères le couple de clefs (privée id_rsa et publique id_rsa.pub),
  tu dois obtenir la situation:
  - la clef privée sur le client  .ssh/id_rsa
  - la clef publique dans le fichier .ssh/authorized_keys 
    (on peut en mettre plusieurs, souvent on fait cat >> et pas scp comme
     je l'ai décrit)


Donc en fonction de l'endroit où tu génères les clefs, il faut déplacer
l'une ou l'autre des deux clefs.

D'un point de vue sécurité, il faut éviter de déplacer la clef privée car
elle pourrait être interceptée !
Placer/Laisser une clef privée sur un serveur susceptible d'être attaqué,
c'est exposé les machines auquelles on se connecte avec cette clef.

Personnellement, j'ai une paire de clefs pour tous les serveurs internes
au réseau de l'entreprise - et ma clef privée n'a jamais bougé de mon poste
client personnel. D'ailleurs elle n'a pas de pass-phrase pour économiser
quelques secondes, oui c'est pas bien car il y a ssh-agent pour cela.

Est-ce que mon explication répond à ta question ? J'ai eu un peu de mal à
deviner ton problème... Pourquoi parles-tu de pass-phrase dans ton titre ?

A+
--
Yves Martin