From 4d3fffe0f486df81437a0a2eb921fa23b94c16da Mon Sep 17 00:00:00 2001
From: Daniel Jakots <djakots@evolix.ca>
Date: Thu, 26 Oct 2017 12:14:09 -0400
Subject: [PATCH] =?UTF-8?q?rajout=20section=20'cr=C3=A9er=20sa=20cl=C3=A9?=
 =?UTF-8?q?=20ssh',=20tr=C3=A8s=20demand=C3=A9e=20par=20lpoujol?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 HowtoOpenSSH.md | 68 +++++++++++++++++++++++++++++++++++++++++++++++++
 1 file changed, 68 insertions(+)

diff --git a/HowtoOpenSSH.md b/HowtoOpenSSH.md
index 203609ae..ed718923 100644
--- a/HowtoOpenSSH.md
+++ b/HowtoOpenSSH.md
@@ -241,6 +241,74 @@ Mettre shell `/usr/lib/sftp-server` pour l'utilisateur et s'assurer que ce shell
 
 ## Administration SSH
 
+### Créer une clé ssh
+
+Il y a plusieurs types de clé, avec suivant les algorithmes, des
+tailles de clés variables ou non. L'algorithme à préférer est
+*ed25519* mais il faut faire attention sur quelle machine la clé va
+être utilisée car les très vieilles versions d'OpenSSH ne le
+supporte. C'est notamment le cas sur Debian Wheezy. Dans ce cas là on
+préférera l'algorithme *rsa*.
+
+Dans le cas de *ed25519*, la taille de la clé est fixe. Pour *rsa*,
+2048 est la taille minimale, 4096 est recommendée.
+
+**Il est important de mettre un mot de passe pour protéger sa clé privée.**
+
+~~~
+$ ssh-keygen -t ed25519
+Generating public/private ed25519 key pair.
+Enter file in which to save the key (/home/user/.ssh/id_ed25519): 
+Enter passphrase (empty for no passphrase): 
+Enter same passphrase again: 
+Your identification has been saved in /home/user/.ssh/id_ed25519.
+Your public key has been saved in /home/user/.ssh/id_ed25519.pub.
+The key fingerprint is:
+SHA256:7tdFlczm4VJkEl4yM08O4VOPkGQiU1YR8kKuLsm9v84 user@example.com
+The key's randomart image is:
++--[ED25519 256]--+
+|        o.*oB&**.|
+|         * =+.#Oo|
+|          o .+*+o|
+|         . . .oo |
+|        S    ..  |
+|     . =      .  |
+|      + +  . .   |
+|       o o. .    |
+|        o+E.     |
++----[SHA256]-----+
+~~~
+
+Dans le cas de *rsa*, on précise la taille. On donne aussi [l'argument
+`-o`](http://man.openbsd.org/ssh-keygen#o) afin que la clé privée
+utilise un nouveau format qui est à la fois standard et qui est plus
+résistant aux attaques par brute-force. Cet argument n'est pas
+nécessaire avec *ed25519* car il est par défaut.
+
+~~~
+$ ssh-keygen -o -t rsa -b 4096
+Generating public/private rsa key pair.
+Enter file in which to save the key (/home/user/.ssh/id_rsa): 
+Enter passphrase (empty for no passphrase): 
+Enter same passphrase again: 
+Your identification has been saved in /home/user/.ssh/id_rsa.
+Your public key has been saved in /home/user/.ssh/id_rsa.pub.
+The key fingerprint is:
+SHA256:9tGKNLEbiUyAbhShJ7rncBpn/ydCXZHtJkdIsUoW2TM user@example.com
+The key's randomart image is:
++---[RSA 4096]----+
+|  o+. .+o=       |
+| .o  ...E.o      |
+|oo.   + o*       |
+|.oo  = oo++.     |
+|..   .+.S+. .    |
+| .  . .o * o     |
+|+ =.    o o      |
+| X .. . .        |
+|. . .o.o         |
++----[SHA256]-----+
+~~~
+
 ### .ssh/config
 
 Il est possible de configurer des sortes d'*alias* pour son