1

[Série Sécurisation] Clés SSH avec passphrase

Pour la nouvelle année j'ai pris la bonne résolution de sécuriser un peu plus mon ordinateur. Être sous Linux, même si c'est un préalable, n'est pas suffisant pour avoir un poste bien sécurisé.

J'ai commencé par quelque chose de simple : sécuriser mes clés SSH avec une passphrase.

Nouvelles clés

Puisque j'ai toujours utilisé des clés sans passphrases (je sais, c'est pas bien) j'ai décidé de créer entièrement des nouvelles clés et de me débarrasser des anciennes. J'ai tout de même sauvegardé mes anciennes clés :

$ mv ~/.ssh ~/.ssh.bak

Génération des clés

Ensuite j'ai généré ma paire de clés RSA 4096bits pour plus de sûreté.

$ ssh-keygen -t rsa -b 4096

C'est à cette étape qu'il faudra entrer la passphrase. Essayez d'utiliser une passphrase assez longue avec des caractères spéciaux pour vous prémunir des attaques bruteforce ou par dictionnaire.

Connexion aux serveurs

Ensuite, copiez toute le contenu de ~/.ssh/id_rsa.pub dans le fichier ~/.ssh/authorized_keys de vos différents serveurs SSH.

Relancez maintenant ssh-agent et essayez de vous connecter à votre serveur :

$ ssh-agent -k
$ ssh user@server.tld

À noter que si vous utilisez Gnome il est aussi nécessaire de relancer gnome-keyring-daemon :

$ gnome-keyring-daemon -r

Si maintenant vous arrivez à vous connecter à votre serveur, profitez-en pour supprimer l'ancienne clé publique dans ~/.ssh/authorized_keys 😉

Le petit bonus d'être sous Gnome

Si vous faites confiance à Gnome-Keyring*, il va remplacer SSH-agent pour se souvenir de la passphrase.

Vous pouvez décider de la durée du déverouillage. Personnellement j'ai décidé de déverouiller si mon compte utilisateur est déverouillé, ce qui n'est pas le top pour la sécurité mais qui est suffisant pour moi.

*Regardez, ils m'ont empêché de prendre un screenshot pendant une étape de sécurité! On dirait l'interdiction de prendre en photo les agents de la TSA...

Changer de passphrase

Si vous souhaitez juste remplacer votre passphrase (je vous conseille de le faire quelques fois par an, tout comme n'importe quel mot de passe), la commande est simple :

$ ssh-keygen -p

  1. Herrasmiehiä ja huijareita on ihan älyttömän hyvä! Ainoa syy, miksi en osta sitä kotiin on, että sitä ei voi lukea yhtä tuoreesti toiseen kertaan, koska... no, näet sitten :-))))