Tynsoe.org

Depuis un certain temps d�j�, SSH a remplac� le vieux et on ne peut moins s�curis� telnet traditionnel sur plateforme Unix. Outre la facult� de se connecter sur un shell distant de mani�re s�curis�e et crypt�e, SSH ajoute un certain nombre de fonctions qui peuvent rendre son utilisation beaucoup plus ais�e si on sait s’en servir. Ce premier article d�taille comment g�n�rer, et utiliser des cl�s SSH pour rendre les connexions plus simples en restant s�curis�es.

Principe de fonctionnement

Lorsqu’un client SSH se connecte au serveur, il essaye plusieurs m�thode d’authentification, principalement l’�change de cl�s et la saisie du mot de passe si celle-ci est permise (oui par d�faut, m�me pour root). Une cl� consiste en deux fichiers, l’un �tant appel� cl� priv�e, et l’autre cl� publique. ces deux fichiers portent la m�me base de nom, mais la cl� publique se termine par ".pub". Les cl�s sont en g�n�ral stock�es dans le r�pertoire /.ssh/ (le d�signe votre r�pertoire de base). Appel� sans arguments, ssh essayera d’utiliser par d�faut, et si elle existe la cl� /.ssh/id_dsa (.pub pour la publique). Il est possible de pr�ciser une autre cl� via l’argument -i.

G�n�ration des cl�s

Les cl�s sont g�n�r�es gr�ce � la commande ssh-keygen qui, apr�s nous avoir pos� quelques questions, cr�era les deux fichiers constituants la cl� priv�e et la cl� publique. La passphrase sera n�c�ssaire pour d�bloquer une cl�, demani�re � ce que m�me si quelqu’un entre en possession de votre cl� priv�e, il lui soit n�c�ssaire de conna�tre la passphrase pour l’utiliser. Il est possible de ne pas en pr�ciser, au d�triment de la s�curit�. Choisissez donc une phrase assez longue (10/20 caract�res) dont vous vous rappelerez. N’h�sitez pas � m�langer les majuscules et les minuscules.

user@hote_local $ ssh-keygen -t dsa Generating public/private dsa key pair. Enter file in which to save the key (/Users/user/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in id_dsa. Your public key has been saved in id_dsa.pub. The key fingerprint is: d1:56:d2:6b:dc:8c:dc:9b:50:c6:27:9a:99:c8:71:9c user@machine.domaine.com

Vous disposez � pr�sent d’une cl� que vous allez pouvoir utiliser pour vos connexions SSH. La cl� publique (.pub) peut �tre distribu�e sans risques, la cl� priv�e par contre doit imp�rativement rester secr�te.

Echange des cl�s

Le principe est que le compte de la machine distante sur laquelle vous vous connectez doit avoir connaissance de votre cl� publique pour pouvoir vous authentifier. Pour cela SSH pr�voit un fichier qui stockera toute les cl�s publiques des utilisateurs pouvant se connecter, il s’agit du fichier /.ssh/authorized_keys2 (le fichier authorized_keys, si vous l’avez, est r�serv� � l’usage du protocole 1 de ssh, cette diff�rentiation est ammen�e � dispara�tre). Un moyen commode donc pour ajouter votre cl� � celles d’un compte distant est de l’envoyer... en ssh ! Vous devez bien s�r disposer du mot de passe de l’utilisateur distant, donc �tre d�j� en mesure de vous connecter :

user@hote_local $ cat .ssh/id_dsa.pub | ssh user@hote_distant "cat >> .ssh/authorized_keys2"

Ceci a pour effet d’ajouter le contenu de id_dsa.pub au fichier distant authorized_keys2. A pr�sent, vous devriez pouvoir vous connecter en utilisant votre cl� :

user@hote_local $ ssh user@hote_distant Enter passphrase for key '.ssh/clients': user@hote_distant $

Et l� vous me dites "C’est g�nial, avant je tapais un mot de passe court, maintenant j’ai carr�ment une phrase � taper !", et je vous r�pond que c’est le prix de la s�curit�, mais ne partez pas tout de suite, ce n’est pas fini, nous allons �tudier un moyen de nous �viter la saisie de cette passphrase.

L’agent ssh (ssh-agent)

C’est notre sauveur, nous allons lui d�l�guer la gestion des cl�s, et il s’occupera de nous demander les passphrases une bonne fois pour toutes. Pour cela, il faut d�j� lancer l’agent :

user@hote_local $ ssh-agent SSH_AUTH_SOCK=/tmp/ssh-SOX10624/agent.10624; export SSH_AUTH_SOCK; SSH_AGENT_PID=10625; export SSH_AGENT_PID; echo Agent pid 10625;

Interessant n’est il pas ? l’agent nous retourne des lignes de shell � �x�cuter si nous voulons l’utiliser. En effet, les connexions ssh que nous allons lancer devront connaitre ces information pour utiliser l’agent, alors pourquoi l’agent n’exporte t’il pas lui m�me ces valeurs ? Eh bien parceque s’il nous les donne, on peut les retenir, et donc les utiliser pour les futurs shell que nous allons ouvrir. Le but final �tant de saisir la/les passphrase � l’ouverture du premier terminal. Pour �x�cuter ces lignes, on peut utiliser la souris et copier/coller dans une ligne de commande :

user@hote_local $ SSH_AUTH_SOCK=/tmp/ssh-SOX10624/agent.10624; export SSH_AUTH_SOCK; user@hote_local $ SSH_AGENT_PID=10625; export SSH_AGENT_PID; user@hote_local $ echo Agent pid 10625; Agent pid 10065

Un moyen commode de lancer l’agent tout en exportant les variables est de l’�x�cuter comme ceci :

user@hote_local$ eval `ssh-agent` Agent pid 10838

(Notez que les guillemets sont invers�s, il s’agit de backquotes, la m�me touche que la livre � sur le clavier d’un Macintosh)

Ajout des cl�s

Maintenant que l’agent est lanc�, et l’environnement export�, il ne sert � rien sans connaitre les cl�s, qu’il faut lui fournir avec l’outil ssh-add :

user@hote_local $ ssh-add ~/.ssh/id_dsa Enter passphrase for .ssh/id_dsa: Identity added: .ssh/id_dsa (.ssh/id_dsa)

A pr�sent, toute authentification n�c�ssitant l’usage d’une cl� g�r�e par l’agent ne demandera plus de passphrase. On peut ajouter autant de cl� que l’on veut dans l’agent, pour chaque cl�, l’agent tentera de les d�verrouiller avec les passphrase fournies pr�c�demment, donc si vous utilisez toujours la m�me passphrase, elle ne vous sera demand�e qu’une fois.

C’est mieux non ? Quoique un peu lourd � l’ouverture du premier terminal de devoir lancer l’agent n’est-ce pas ? Coninuez donc � lire, cette derni�re partie est consacr�e � keychain, originaire de la distribution Linux gentoo, il va s’occuper de lancer l’agent quand besoin est et y ajouter les cl�s voulues.

Keychain

Le principe de cet outil est de v�rifier si un agent tourne sur le syst�me, et si ce n’est pas le cas, il le lance et y ajoute les cl�s pass�es en argument. Pour l’installer, commencez par le t�l�charger, et apr�s l’avoir d�compress�, copiez le fichier keychain dans un r�pertoire standard de votre syst�me :

user@hote_local$ cp keychain /usr/bin/

Sa mise en oeuvre est tr�s simple, il s’agit juste de deux lignes dans votre fichier .bash_profile (bash), .zprofile (zsh) ou .cshrc (compatible csh).

Si votre shell est celui par d�faut de MacOS X, il s’agit de tcsh, vous devez donc ins�rer ceci dans votre fichier /.cshrc :

keychain ~/.ssh/id_dsa source ~/.ssh-agent-csh-${HOSTNAME}

Si vous utilisez un autre shell, compatible bash, ces lignes sont pour vous :

keychain ~/.ssh/id_dsa . ~/.ssh-agent-${HOSTNAME}

Respectez scrupuleusement la syntaxe de ces lignes (la deuxi�me commence par un "."). Vous pouvez en outre pr�ciser autant de cl� que vous le d�sirez apr�s la commande keychain, j’ai juste pr�cis� la cl� par d�faut dans l’exemple.

Ouvrez un nouveau terminal :

KeyChain 1.8; http://www.gentoo.org/projects/keychain Copyright 2001 Gentoo Technologies, Inc.; Distributed under the GPL * All previously running ssh-agent(s) have been stopped. * Initializing /Users/yann/.ssh-agent-ibook.home.net file... * Initializing /Users/yann/.ssh-agent-csh-ibook.home.net file... * Starting new ssh-agent * 2 more keys to add... Enter passphrase for /Users/yann/.ssh/id_dsa: Identity added: /Users/yann/.ssh/id_dsa (/Users/yann/.ssh/id_dsa) Identity added: /Users/yann/.ssh/clients (/Users/yann/.ssh/clients)

Voil� ce que cela donne chez moi, je dispose de deux cl�s, une personelle id_dsa et une professionelle pour mes clients clients avec la m�me passphrase, que keychain ne me demande qu’une fois puisqu’elle lui permet de d�verrouiller les deux cl�s.

C’est tout ! A pr�sent, vous �tes s�rs de ne taper qu’une fois vos passphrase dans une session, et vos connexions restent s�curis�e (aucun mot de passe ou passphrase est stock� dans un fichier, le m�canisme est fiable).