38,760
edits
SSH Keys/fr: Difference between revisions
Jump to navigation
Jump to search
Updating to match new version of source page
No edit summary |
(Updating to match new version of source page) |
||
| Line 20: | Line 20: | ||
<b>Nous vous recommandons fortement d'utiliser l'authentification par CP</b> qui est habituellement plus sécuritaire qu'un mot de passe. | <b>Nous vous recommandons fortement d'utiliser l'authentification par CP</b> qui est habituellement plus sécuritaire qu'un mot de passe. | ||
<div class="mw-translate-fuzzy"> | |||
==Générer une clé SSH== | ==Générer une clé SSH== | ||
Ceci exige du travail de configuration de votre part, mais une fois en place, vous y gagnerez en sécurité et en praticabilité. | Ceci exige du travail de configuration de votre part, mais une fois en place, vous y gagnerez en sécurité et en praticabilité. | ||
Vous devez générer une paire de clés et installer la clé publique sur tous les systèmes auxquels vous voulez vous connecter. | Vous devez générer une paire de clés et installer la clé publique sur tous les systèmes auxquels vous voulez vous connecter. | ||
</div> | |||
Vous devriez créer une paire de clés sur votre propre ordinateur ou sur un ordinateur que vous croyez sécuritaire. Comme c'est le cas pour les mots de passe, la clé privée de cette paire ne devrait pas être partagée ou copiée sur un autre ordinateur. | <div class="mw-translate-fuzzy"> | ||
Vous devriez créer une paire de clés sur votre propre ordinateur ou sur un ordinateur que vous croyez sécuritaire. Comme c'est le cas pour les mots de passe, la clé privée de cette paire ne devrait pas être partagée ou copiée sur un autre ordinateur. | |||
</div> | |||
<div class="mw-translate-fuzzy"> | <div class="mw-translate-fuzzy"> | ||
| Line 72: | Line 76: | ||
OfJUwHSNqUc6SfIt7w== user@machine | OfJUwHSNqUc6SfIt7w== user@machine | ||
<div class="mw-translate-fuzzy"> | |||
Prenez note que vous devez générer votre propre paire de clés (publique et privée); vous ne pouvez pas copier et utiliser l'exemple ci-dessus. Si le format est différent, ce qui est le cas par exemple quand la clé est générée avec PuTTY, vous pouvez ouvrir PuTTY Key Generator ou MobaxTerm SSH Key Generator et sous ''File'', sélectionner ''Load private key'' puis copier le contenu sous ''Public key for pasting into OpenSSH authorized_keys'' comme [https://docs.computecanada.ca/wiki/File:Puttygen2.png illustré ici]. | Prenez note que vous devez générer votre propre paire de clés (publique et privée); vous ne pouvez pas copier et utiliser l'exemple ci-dessus. Si le format est différent, ce qui est le cas par exemple quand la clé est générée avec PuTTY, vous pouvez ouvrir PuTTY Key Generator ou MobaxTerm SSH Key Generator et sous ''File'', sélectionner ''Load private key'' puis copier le contenu sous ''Public key for pasting into OpenSSH authorized_keys'' comme [https://docs.computecanada.ca/wiki/File:Puttygen2.png illustré ici]. | ||
</div> | |||
Voici l'exemple avec une clé publique en format PEM qui doit être convertie avant de passer à l'étape 3 : | Voici l'exemple avec une clé publique en format PEM qui doit être convertie avant de passer à l'étape 3 : | ||
| Line 95: | Line 101: | ||
</div> | </div> | ||
<div class="mw-translate-fuzzy"> | |||
Après avoir cliqué sur ''Ajouter la clé'', les informations suivantes seront affichées :<br> | Après avoir cliqué sur ''Ajouter la clé'', les informations suivantes seront affichées :<br> | ||
[[File:Ccdb-keys-fig3-FRN.png|400px]] | [[File:Ccdb-keys-fig3-FRN.png|400px]] | ||
</div> | |||
Une fois que votre clé est enregistrée dans la CCDB, elle peut être utilisée pour vous connecter à toutes nos grappes. Cependant, nos nuages OpenStack n'ont pas accès aux clés enregistrées dans la CCDB. | Une fois que votre clé est enregistrée dans la CCDB, elle peut être utilisée pour vous connecter à toutes nos grappes. Cependant, nos nuages OpenStack n'ont pas accès aux clés enregistrées dans la CCDB. | ||
| Line 112: | Line 120: | ||
Le fait d'enregistrer votre clé publique dans la CCDB la rend disponible sur toutes nos grappes, ce qui est pratique et souvent souhaitable. | Le fait d'enregistrer votre clé publique dans la CCDB la rend disponible sur toutes nos grappes, ce qui est pratique et souvent souhaitable. | ||
<div class="mw-translate-fuzzy"> | |||
Cependant, dans certains cas vous pourriez vouloir installer une clé sur juste une grappe particulière. Pour ce faire, ajoutez la clé dans un fichier de votre répertoire /home sur cette grappe. Par exemple, pour une clé qui fonctionne uniquement sur Cedar, copiez votre clé publique dans le fichier <code>~/.ssh/authorized_keys</code> sur Cedar. | Cependant, dans certains cas vous pourriez vouloir installer une clé sur juste une grappe particulière. Pour ce faire, ajoutez la clé dans un fichier de votre répertoire /home sur cette grappe. Par exemple, pour une clé qui fonctionne uniquement sur Cedar, copiez votre clé publique dans le fichier <code>~/.ssh/authorized_keys</code> sur Cedar. | ||
Ceci vous permettra de vous connecter aux nœuds de connexion de Cedar avec le CP. | Ceci vous permettra de vous connecter aux nœuds de connexion de Cedar avec le CP. | ||
Sur nos grappes (et toute autre grappe avec OpenSSH), la commande <code>ssh-copy-id</code> est la façon la plus pratique de procéder. | Sur nos grappes (et toute autre grappe avec OpenSSH), la commande <code>ssh-copy-id</code> est la façon la plus pratique de procéder. | ||
ssh-copy-id -i computecanada-key username@cedar.computecanada.ca | ssh-copy-id -i computecanada-key username@cedar.computecanada.ca | ||
</div> | |||
<div class="mw-translate-fuzzy"> | |||
Le mécanisme <code>authorized_keys</code> est standard et utilisé presque partout sur l'internet, mais il est quelque peu fragile. | Le mécanisme <code>authorized_keys</code> est standard et utilisé presque partout sur l'internet, mais il est quelque peu fragile. | ||
En particulier, SSH est très sensible aux permissions pour le fichier <code>authorized_keys</code>, ainsi que pour votre répertoire /home et sous-répertoire <code>.ssh</code>. | En particulier, SSH est très sensible aux permissions pour le fichier <code>authorized_keys</code>, ainsi que pour votre répertoire /home et sous-répertoire <code>.ssh</code>. | ||
Pour plus d'information, voyez [[Using_SSH_keys_in_Linux/fr|Utiliser des clés SSH sous Linux]]. | Pour plus d'information, voyez [[Using_SSH_keys_in_Linux/fr|Utiliser des clés SSH sous Linux]]. | ||
</div> | |||
== Agent d'authentification == | == Agent d'authentification == | ||
| Line 128: | Line 140: | ||
{{Warning|title=Attention|content=Cette opération devrait être effectuée sur votre propre mordinateur et '''non sur un ordinateur partagé''' comme une grappe.}} | {{Warning|title=Attention|content=Cette opération devrait être effectuée sur votre propre mordinateur et '''non sur un ordinateur partagé''' comme une grappe.}} | ||
<div class="mw-translate-fuzzy"> | |||
Quand une clé est générée, les valeurs par défaut conviennent habituellement, mais certaines options sont à considérer. Dans les exemples suivants, nous utilisons <code>ssh-keygen</code> tel que décrit dans [[Using SSH keys in Linux/fr|Utiliser des clés SSH sous Linux]], mais les options s'appliquent également avec une interface graphique tel que décrit dans [[Generating SSH keys in Windows/fr|Générer des clés SSH sous Windows]]. | Quand une clé est générée, les valeurs par défaut conviennent habituellement, mais certaines options sont à considérer. Dans les exemples suivants, nous utilisons <code>ssh-keygen</code> tel que décrit dans [[Using SSH keys in Linux/fr|Utiliser des clés SSH sous Linux]], mais les options s'appliquent également avec une interface graphique tel que décrit dans [[Generating SSH keys in Windows/fr|Générer des clés SSH sous Windows]]. | ||
<br> | <br> | ||
| Line 139: | Line 152: | ||
* pour renforcer certains types de clés tels RSA avec une clé plus longue | * pour renforcer certains types de clés tels RSA avec une clé plus longue | ||
ssh-keygen -t rsa -b 4096 | ssh-keygen -t rsa -b 4096 | ||
</div> | |||
<div class="mw-translate-fuzzy"> | |||
== Définir des contraintes == | == Définir des contraintes == | ||
Dans la syntaxe pour la clé publique, vous pouvez définir des contraintes qui limitent ce que la clé peut faire. Par défaut, une clé sans contrainte peut tout faire. | Dans la syntaxe pour la clé publique, vous pouvez définir des contraintes qui limitent ce que la clé peut faire. Par défaut, une clé sans contrainte peut tout faire. | ||
| Line 147: | Line 162: | ||
restrict,command="/usr/libexec/openssh/sftp-server" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIGhczaUoV6SzR2VEf9Rp4/P9xHVU8S72CKHrwKU+Yntx | restrict,command="/usr/libexec/openssh/sftp-server" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIGhczaUoV6SzR2VEf9Rp4/P9xHVU8S72CKHrwKU+Yntx | ||
qui permet d'utiliser la clé seulement pour SFTP, (ce qui est la façon dont sshsf fonctionne). | qui permet d'utiliser la clé seulement pour SFTP, (ce qui est la façon dont sshsf fonctionne). | ||
</div> | |||
<div class="mw-translate-fuzzy"> | |||
Une contrainte peut aussi limiter les hôtes pouvant se connecter avec la clé | Une contrainte peut aussi limiter les hôtes pouvant se connecter avec la clé | ||
restrict,from="d24-141-114-17.home.cgocable.net" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIGhczaUoV6SzR2VEf9Rp4/P9xHVU8S72CKHrwKU+Yntx | restrict,from="d24-141-114-17.home.cgocable.net" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIGhczaUoV6SzR2VEf9Rp4/P9xHVU8S72CKHrwKU+Yntx | ||
Le fait de limiter les hôtes est un excellent moyen de minimiser le risque que la clé soit compromise. Le terme ''restrict'' désactive l'allocation pty qui crée un comportement insolite. Pour définir un seul hôte pour une session interactive et permettre une allocation pty, | Le fait de limiter les hôtes est un excellent moyen de minimiser le risque que la clé soit compromise. Le terme ''restrict'' désactive l'allocation pty qui crée un comportement insolite. Pour définir un seul hôte pour une session interactive et permettre une allocation pty, | ||
restrict,from="d24-141-114-17.home.cgocable.net",pty ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIGhczaUoV6SzR2VEf9Rp4/P9xHVU8S72CKHrwKU+Yntx | restrict,from="d24-141-114-17.home.cgocable.net",pty ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIGhczaUoV6SzR2VEf9Rp4/P9xHVU8S72CKHrwKU+Yntx | ||
</div> | |||
<div class="mw-translate-fuzzy"> | |||
Il existe plusieurs de ces contraintes qui sont décrites dans la page ''sshd man'' (''man sshd'' sous Linux). | Il existe plusieurs de ces contraintes qui sont décrites dans la page ''sshd man'' (''man sshd'' sous Linux). | ||
</div> | |||
== Meilleures pratiques== | == Meilleures pratiques== | ||
| Line 190: | Line 210: | ||
* Remove the compromised key from <i>all</i> services (Alliance or other) to prevent unauthorized access or data breaches. | * Remove the compromised key from <i>all</i> services (Alliance or other) to prevent unauthorized access or data breaches. | ||
If you believe that your SSH key has been listed on the Key Revocation List in error, or if you have concerns or questions related to key revocation and access to Alliance services, contact our [[Technical support]] for assistance. They will be able to guide you through the resolution process and help ensure the continued security of your digital interactions with | If you believe that your SSH key has been listed on the Key Revocation List in error, or if you have concerns or questions related to key revocation and access to Alliance services, contact our [[Technical support]] for assistance. They will be able to guide you through the resolution process and help ensure the continued security of your digital interactions with our services. | ||
Security is of paramount importance, and swift action in response to a compromised SSH key is essential to maintain the integrity of digital research and collaboration. | Security is of paramount importance, and swift action in response to a compromised SSH key is essential to maintain the integrity of digital research and collaboration. | ||