[SSH] Connexion / authentification de n'importe où avec une clé unique ? [Résolu]

[marchand_de_sable]

Bonjour à tous.

Pour l'authentification par clé lors d'une connexion SSH, je n'ai trouvé qu'un solution qui consiste à :
- créer une paire de clés publique/privé côté client,
- puis d'ajouter la clé public aux clés autorisées sur le serveur.

Ce qui implique que la manipulation est à effectuer pour chaque nouveau poste client d'où on veut se connecter. Et si on a désactivé l'authentification par login/mot de passe, impossible d'ajouter une nouvelle clé...

N'est-il pas possible de se connecter en ne disposant, par exemple, que de la seule clé privée du serveur ?
(pour pouvoir me connecter de n'importe quelle machine, sans nouveaux paramétrage à chaque fois)

Merci par avance.

[gangsoleil]

Bonjour,

Je pense que tu n'as pas bien compris le fonctionnement des clefs

Tu as besoin, pour te connecter, que le client ait la clef privee et que le serveur (celui qui recoit la connexion) ait la clef publique. Regarde le principe du chiffrement asymetrique pour plus d'informations.

En gros, ce que tu demanderais, c'est d'avoir sur ta machine cliente le droit de te connecter sur une machine que tu ne connais pas, et qui ne te connait pas. C'est surtout ce dernier point qui bloque : si ta clef publique n'est pas dessus, c'est qu'il y a une raison, a savoir que tu n'as probablement pas de raison de te connecter sur cette machine.

Quel est exactement ton cadre de travail, et pourquoi est-ce que ta clef n'est pas deployee si tu as le droit d'acceder a cette nouvelle machine ?

[marchand_de_sable]

Effectivement, je n'avais que survolé le principe de base du chiffrement asymétrique. Et il me faudra plus qu'un coup d’œil pour maîtriser un peu plus la question...

Citation:

Envoyé par gangsoleil

Quel est exactement ton cadre de travail, et pourquoi est-ce que ta clef n'est pas deployee si tu as le droit d'acceder a cette nouvelle machine ?

Actuellement, j'ai un serveur SSH chez moi, auquel je me connecte par login/mot de passe. J'utilise une version portable de PuTTy (sur clé USB) pour accéder au serveur, depuis le boulot, de chez les amis, la famille, etc. Bref de n'importe où.
J'aimerais donc avoir une clé unique avec moi (stockée sur clé USB avec PuTTy) qui me permette de m'authentifier d'où que je sois.

Or de ce que j'ai compris, il faut une paire de clés privée/publique par machine cliente possible...

[marchand_de_sable]

OK, j'ai trouvé.

Citation:

Envoyé par marchand_de_sable

Or de ce que j'ai compris, il faut une paire de clés privée/publique par machine cliente possible...

J'avais compris qu'une clé privée était indissociable de la machine (host) sur laquelle elle avait été générée... ce que je trouvais très (trop) contraignant.
J'avais manifestement mal compris et je peux effectivement me connecté depuis n'importe où avec une seule clé privée.

Récapitulatif :
- j'ai généré une paire de clés publique/privée,
- j'ai déclaré la clé publique sur le serveur,
- je garde une copie de la clé privée avec moi => je peux me connecter de n'importe.

Question subsidiaire : à quoi correspondent les clés ssh_host_dsa_key, ssh_host_dsa_key.pub, ssh_host_rsa_key, etc., présentent d'office sur le serveur ?

[gangsoleil]

ssh_host_dsa_key : clef privee DSA
ssh_host_dsa_key.pub : cle publique DSA

En remplacant DSA par RSA, tu as la meme chose pour un autre algorithme.

[marchand_de_sable]

Citation:

Envoyé par gangsoleil

ssh_host_dsa_key : clef privee DSA
ssh_host_dsa_key.pub : cle publique DSA

J'avais saisi
Elles semblent être créées lors de l'installation du serveur ssh, mais à quoi servent-elles ? Peut-on les utiliser directement pour l'authentification ? ou est-ce pour le fonctionnement "interne" du service (et donc à ne pas toucher) ?

[gangsoleil]

je ne connais pas ton serveur, mais j'aurais tendance a dire que ce sont des paires de clef generees lors de la creation du profil ou un truc du genre.

Quoi qu'il en soit, moi, je n'utiliserai jamais de clef ssh que je n'aurai pas genere moi-meme.

[marchand_de_sable]

Il y a des infos sur la manpage de mon serveur ssh concernant ces clés, mais mes faibles connaissances techniques sur la question et mon niveaux d'anglais lui aussi limité, ne m'ont pas permis de comprendre leur raison d'être au 1er coup d'oeil...

Je m'y pencherai plus tard.

En tout cas merci pour les conseils !