🔑 Créer une clé SSH pour votre téléphone

janv.

2022

🔑 Créer une clé SSH pour votre téléphone

Si vous utiliser une application sur votre téléphone qui se connecte à une machine en utilisant le protocole ssh, en général vous aurez la possibilité de vous identifier en utilisant un mot de passe mais en également en utilisant une clé ssh.

Vous serez sans doute tentés d’utiliser votre pair de clés que vous avez probablement déjà sur votre ordinateur personnel.

Pour des raisons de sécurité ce n’est pas une bonne idée: si vous perdez votre téléphone, votre clé privée pourrait être compromise.

Je vais m’appuyer sur deux applications Android utilisant le protocole ssh.

ඏ

ConnectBot
ConnectBot

ConnectBot est un client Secure Shell pour Android qui vous permet de vous connecter à des serveurs distants via une liaison sécurisée.

ConnectBot est un client ssh et telnet, et un émulateur de terminal pour le shell local. Supporte sessions multiples, y compris leur exécution simultanée.
- ConnectBot est disponible sur f-droid.
- Site Web
- Code source
ConnectBot est assez basique, mais il offre la possibilité de créer la paire de clé. L’application garde la clé privée secrète et vous donne la possibilité d’exporter la clé publique. Cette fonctionnalité peut sembler être un gadget, mais elle incite l’utilisateur à générer correctement la sécurité.

Vous n’aurez alors qu’à importer la clé publique vers les machines que vous souhaitez contrôler.

Raspi Check
Raspi Check

Raspi Check permet de voir l’état actuel du système d’un ordinateur Raspberry Pi. Pour cela, RasPi Check utilise une connexion ssh.

RasPi Check vous montre des informations sur l’overclocking (fréquence, température, volts) et d’autres informations système (mémoire libre, temps d’exécution, état du disque).

Vous pouvez également redémarrer ou arrêter votre Raspberry Pi et envoyer des commandes personnalisées ! Si vous voulez toujours garder un œil sur votre Pi, il y a aussi un widget pour votre écran d’accueil.

Tout ce dont vous avez besoin pour que l’application fonctionne, ce sont vos identifiants de connexion ssh. Vous pouvez soit vous authentifier par mot de passe ou par clé privée/publique.
- Raspi Check est disponible sur f-droid.
- Code source

ඏ

Générer une paire de clés spécifique :

Depuis une machine Linux, vous générerez votre paire de clé à l’aide de ssh-keygen, la syntaxe est la suivante :

ssh-keygen -P '' -b 4096 -f my-key-pair -m PEM -t rsa -C 'Comment'

Détaillons :

-P: indique le contenu de la phrase secrète. Elle permet de sécuriser la clé elle-même. Ici, elle est vide, il n’y en a donc pas.
-b: Précise le nombre de bits de la clé. Pour les clés RSA, je vous encourage à utiliser au minimum 2048, voir 4096.
-f: Spécifie le nom de fichier de sortie du fichier de clé.
-m: Spécifie un format de clé pour la génération de clés. Si vous définissez le format PEM lors de la génération d’un type de clé privée pris en charge, la clé sera stockée dans le format de clé privée PEM traditionnel.
-t: Indique le type de clé que l’on souhaite créer. D’après mon expérience, cela se rapporte à la clé publique qui est créée.
-C: Permet d’ajouter un commentaire à la clé publique (presque indispensable dès que vous avez plus d’une paire de clés)

Précisions

Les options -t et -b peuvent sembler redondantes, mais -t indique le type de clé que l’on souhaite créer (lié à l’algorithme cryptographique) alors que -b précise le format de la clé (comment les clés sont encodées dans les fichiers). Les formats de clé pris en charge sont : RFC4716 (clé publique ou privée RFC 4716/SSH2), PKCS8 (clé publique PEM PKCS8) ou PEM (clé publique PEM). Sur Linux Mint, le format par défaut est RFC4716, mais cela peut-être différents ailleurs, en particulier sur FreeBSD. La définition d’un format PEM lors de la génération ou de la mise à jour d’un type de clé privée pris en charge entraînera le stockage de la clé dans l’ancien format de clé privée PEM.

OK, je vous ai perdu.

Pour faire simple, les Linux dérivés de Debian, comme Ubuntu, Linux Mint et Raspberry Pi OS utilise un format de clé « moderne » correspondant à la norme SSH2.

Il semblerait qu'Android (ou au moins les applications que j’ai testées) ne supporte pas la norme SSH2, et il est donc nécessaire d’utiliser l’ancien format de clé qui s’obtient en ajoutant -m PEM lors de la création de la clé.

Voici comment concrètement créer une paire de clé, déjà évoquer dans 🔑 Comment créer une clé ssh mais ici on va créer des clés en utilisant le format historique :

Pour une clé dans mot de passe :

ssh-keygen -t rsa -b 4096 -m PEM -C "Moi@Tel-PEM" -f "my_phone_pem_id_rsa" -N ''

Pour une clé avec mot de passe :

ssh-keygen -t rsa -b 4096 -m PEM -C "Moi@Tel-PEM-secret" -f "my_phone_pem_pass_id_rsa" -N 'secret'

Heu, là, il est pourri le mot de passe. L’idée est de mettre une phrase complète, dans la documentation anglaise on parle de « passphrase », donc de phrase secrète.

ඏ

Importer une clé publique

Maintenant que vous avez votre paire de clés SSH, l’étape suivante consiste à copier la clé publique sur le serveur ou les machines que vous voulez gérer.

Voici les paires de clés générées par les commandes précédentes:

my_phone_pem_id_rsa
my_phone_pem_id_rsa.pub

my_phone_pem_pass_id_rsa
my_phone_pem_pass_id_rsa.pub

Le fichier .pub est la clé publique, c’est fichier que contient rien de secret, vous devrez ajouter son contenu dans le fichier ~/.ssh/authorized_keys

L’autre fichier (qui ne finit pas par .pub) est votre clé privée à mettre sur votre téléphone uniquement (et éventuellement dans une sauvegarder que vous maintiendrez en lieu sûr).

Utilisation de ssh-copy-id
Le moyen le plus simple et le plus recommandé pour copier la clé publique sur le serveur distant est d’utiliser l’outil ssh-copy-id.

Exécutez la commande suivante sur votre machine locale ; qui vous demandera le mot de passe de l’utilisateur distant :
```
ssh-copy-id utilisateur_distant@adresse_ip -i fichier_rsa_id
```
Une fois l’utilisateur authentifié, le contenu du fichier de clé publique (fichier_rsa_id.pub) sera ajouté au fichier ~/.ssh/authorized_keys de l’utilisateur distant, et la connexion sera fermée.

Sans l'utitilitaire ssh-copy-id
Si l’utilitaire ssh-copy-id n’est pas disponible sur votre machine locale, utilisez la commande suivante pour copier la clé publique :
```
cat fichier_rsa_id.pub | ssh utilisateur_distant@adresse_ip "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys".
```
Les inconvénients de cette solution est que si vous exécuter plusieurs fois cette commande, le fichier sera ajouté plusieurs fois, mais également si le fichier authorized_keys est mal formé (il ne finit pas par un saut de ligne), cela ne fonctionnera pas.

Par ailleurs notez que ssh-copy-id prend en compte SELinux.

ඏ

Tester

Pour vérifier que la clé est bien configurée sur le serveur distant, vous pouvez utiliser la syntaxe avant de mettre la clé sur votre téléphone:

ssh -o "IdentitiesOnly=yes" -v -i my_phone_pem_id_rsa pi@192.168.1.108

-o "IdentitiesOnly=yes" – Permet d’ignorer la recherche automatique des clés (à travers le système de fichier, comme dans l’agent d'authentification. Cela permet de s’assurer que c’est bien le fichier d’identité que vous avez spécifié qui sera utilisé (voir man ssh_config).
-v – Mode verbeux. Cela permettra de vérifier quel fichier ou méthode d’authentification a été utilisé.
-i my_phone_pem_id_rsa – Indique le fichier d’identité (clé privée) pour l’authentification.
pi@192.168.1.108 – Indique la machine (hostname ou ip) vers laquelle aura lieu la connexion. Permet de spécifier le nom d’utilisateur (par défaut c’est le nom de l’utilisateur courant qui est utilisé): Les syntaxes possibles sont : [user@]hostname ou la forme URI : ssh://[user@]hostname[:port].

ඏ

Références et plus

ᦿ

Vos commentaires

Pas encore de commentaire - ajouter le votre.
Ajouter votre commentaire

cClaude.rocks ☕ Le blog

ConnectBot

Raspi Check

Générer une paire de clés spécifique :

Importer une clé publique

Tester

Références et plus