Raspberry Pi : Authentification SSH par certificat

Par défaut, lorsque nous nous connectons à notre Raspberry Pi en SSH, nous nous identifions par l’intermédiaire d’un login / mot de passe.
Pour parer à l’éventualité ou un pirate réussirait à trouver notre mot de passe, nous allons le désactiver et le remplacer par un certificat sous forme de clef privée, clef publique.

• Pour commencer, dans le Terminal du client nous allons taper ceci :

ssh-keygen -t rsa -C "MonNom@MonOrdinateur"

« MonNom@MonOrdinateur » est un commentaire.
Vous pouvez mettre ce que vous voulez.
Il vous servira à repérer votre clef publique parmi d’autres dans le fichier ~/.ssh/authorized_keys que nous créerons plus tard sur le serveur.



• La commande vous demandera d’indiquer le nom du fichier dans lequel sauver les clefs :

Generating public/private rsa key pair.

Enter file in which to save the key (/Home/User/.ssh/id_rsa):

Faites juste [ENTER]. La clef sera générée et placée dans le dossier .ssh/id_rsa (caché) de l’utilisateur courant du client qui génère les clefs.



• Vous devrez ensuite choisir une phase de passe associée à votre paire de clef. Elle vous sera demandée lors de chaque connexion au serveur pour valider votre clef. Elle doit faire entre 10 et 30 caractères. Vous pouvez vous en passer en faisant [Enter].

Enter passphrase (empty for no passphrase):



• Entrez la phrase de passe une seconde fois pour confirmer qu’il n’y a pas de faute de frappe.

Enter same passphrase again:



• Et la paire de clefs est générée.

Your identification has been saved in id_rsa.

Your public key has been saved in id_rsa.pub.

The key fingerprint is:

ad:cd:d8:b8:73:23:e1:13:a6:49:ad:42:a6:d5:d8:c7 MonNom@MonOrdinateur

The key's randomart image is:

+--[ RSA 2048]----+

|                 |

|                 |

|                 |

|         .       |

|     + oS .      |

|    = + EB       |

|   = . B+o+      |

|  . . + =.o      |

|     .  .= .     |

+-----------------+

Ajout de la clef publique au fichier authorized_keys du serveur

Nous allons maintenant ajouter notre clef publique au fichier authorized_keys situé dans le dossier /home/user/.ssh du serveur pour permettre à chaque utilisateur de s’identifier avec sa clef privée.
Ici, par défaut, user pourrait être l’utilisateur pi.

Le fichier authorized_keys peut contenir plusieurs clef publiques.
Par exemple, si vous avez une clef pour chaque ordinateur qui s’y connecte.
Ceci permet de supprimer une clef publique lorsque son pendant privé a été compromis.



• Depuis le client; on tape :

cat ~/.ssh/id_rsa.pub | ssh @ 'cat >> ~/.ssh/authorized_keys'



• Une ligne sera ajoutée au fichier ~/.ssh/authorized_keys sur le serveur sous la forme :

ssh-rsa  MonNom@MonOrdinateur




Configuration de SSH Deamon (sshd)



• Nous allons éditer le fichier de configuration de sshd :

sudo nano /etc/ssh/sshd_config



• Dans le fichier, nous allons dé-commenter les lignes suivantes :

PubkeyAuthentication yes

RSAAuthentication yes

AuthorizedKeysFile      %h/.ssh/authorized_keys



• On enregistre le fichier et on redémarre ssh :

sudo service ssh restart

Si tout s’est bien passé, vous devriez pouvoir vous connecter sans entrer de mot de passe.

• Vous pouvez rééditer le fichier sshd_config et modifier la ligne PasswordAuthentication en remplaçant yes par no

sudo nano /etc/ssh/sshd_config

    

PasswordAuthentication no





source : https://www.fanjoe.be/?p=1600