18
0
Fork 0

rajout section 'créer sa clé ssh', très demandée par lpoujol

This commit is contained in:
Daniel Jakots 2017-10-26 12:14:09 -04:00
parent 105e2b9908
commit 4d3fffe0f4
1 changed files with 68 additions and 0 deletions

View File

@ -241,6 +241,74 @@ Mettre shell `/usr/lib/sftp-server` pour l'utilisateur et s'assurer que ce shell
## Administration SSH
### Créer une clé ssh
Il y a plusieurs types de clé, avec suivant les algorithmes, des
tailles de clés variables ou non. L'algorithme à préférer est
*ed25519* mais il faut faire attention sur quelle machine la clé va
être utilisée car les très vieilles versions d'OpenSSH ne le
supporte. C'est notamment le cas sur Debian Wheezy. Dans ce cas là on
préférera l'algorithme *rsa*.
Dans le cas de *ed25519*, la taille de la clé est fixe. Pour *rsa*,
2048 est la taille minimale, 4096 est recommendée.
**Il est important de mettre un mot de passe pour protéger sa clé privée.**
~~~
$ ssh-keygen -t ed25519
Generating public/private ed25519 key pair.
Enter file in which to save the key (/home/user/.ssh/id_ed25519):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_ed25519.
Your public key has been saved in /home/user/.ssh/id_ed25519.pub.
The key fingerprint is:
SHA256:7tdFlczm4VJkEl4yM08O4VOPkGQiU1YR8kKuLsm9v84 user@example.com
The key's randomart image is:
+--[ED25519 256]--+
| o.*oB&**.|
| * =+.#Oo|
| o .+*+o|
| . . .oo |
| S .. |
| . = . |
| + + . . |
| o o. . |
| o+E. |
+----[SHA256]-----+
~~~
Dans le cas de *rsa*, on précise la taille. On donne aussi [l'argument
`-o`](http://man.openbsd.org/ssh-keygen#o) afin que la clé privée
utilise un nouveau format qui est à la fois standard et qui est plus
résistant aux attaques par brute-force. Cet argument n'est pas
nécessaire avec *ed25519* car il est par défaut.
~~~
$ ssh-keygen -o -t rsa -b 4096
Generating public/private rsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_rsa.
Your public key has been saved in /home/user/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:9tGKNLEbiUyAbhShJ7rncBpn/ydCXZHtJkdIsUoW2TM user@example.com
The key's randomart image is:
+---[RSA 4096]----+
| o+. .+o= |
| .o ...E.o |
|oo. + o* |
|.oo = oo++. |
|.. .+.S+. . |
| . . .o * o |
|+ =. o o |
| X .. . . |
|. . .o.o |
+----[SHA256]-----+
~~~
### .ssh/config
Il est possible de configurer des sortes d'*alias* pour son