cClaude.rocks ☕ Le blog

Le protocle ssh s’appuie sur une paire de clés, pour utiliser pleinement ce protocole vous avez besoin d’une clé ssh bien à vous.

Dans le cas où vous avez déjà une clé ssh notez que l’algorithme de hachage |RSA SHA-1 est progressivement déprécié dans les systèmes d’exploitation et les clients ssh en raison de diverses failles de sécurité. Ainsi un certain nombre de ces outils rejettent désormais purement et simplement l’utilisation de cet algorithme : Les paires de clés publique-privée RSA ne sont plus considérées comme sûre.

En 2024, si vous avez une clé RSA assurez-vous qu’elle est au moins une taille de 3072 octets (la valeur maximum étant 4096). Dans ce cas et uniquement dans ce cas le chiffrement reste sécurisé.

À partir de maintenant il est conseillé d’utiliser un type de clé plus moderne et plus sûr tel que ed25519.

Pour créer votre propre clé ssh au format ed25519 ; par exemple pour vous connecter de manière sécurisée à un serveur git, vous devez simplement utiliser la commande suivante :

★☆☆

ssh-keygen -o -a 100 -t ed25519 -C "Commentaire"

• -t : Spécifie le type de clé à créer, dans notre cas le Ed25519.
• -C : Cette option qui permet tout simplement d’ajouter un commentaire à votre clé. Comme valeur il est raisonnable d’utiliser votre nom d’utilisateur et le nom de la machine où la clé a été générée (où la clé privée est hébergée). Je vous invite fortement l’utilisation de paramètre pour vous aider à gérer vos clés.

• -a : Pour une clé de type RSA c’est sa taille qui était le critère de complexité et on utilise l’option -b pour définir cette taille. Pour ed25519, la complexité est définir à l’aide de l’option -a, il s’agit du nombre de tours de KDF (« Key Derivation Function »). Plus le nombre est élevé, plus la vérification de la phrase de passe est lente, ce qui augmente la résistance au craquage brutal du mot de passe en cas de vol de la clé privée.

• -o : Sauvegarde la clé privée en utilisant le nouveau format OpenSSH plutôt que le format PEM. En fait, cette option est implicite lorsque vous spécifiez le type de clé comme étant ed25519. On pourra donc omettre ce paramètre.
• -f : Spécifie le nom du fichier de la clé générée. Si vous voulez qu'il soit découvert automatiquement par l'agent SSH, il doit être stocké dans le répertoire par défaut .ssh dans votre répertoire personnel.

Et du coup, cela donne :

★★☆

ssh-keygen -o -a 100 -t ed25519 -f ~/.ssh/id_ed25519 -C "${USER}@${HOSTNAME}.$( date +'%Y-%m' )"

Une phrase secrète vous sera alors demandée de manière interactive.

Par défaut :

• La clé privée se nomme : ~/.ssh/id_ed25519 (Ce fichier vous le garder précieusement là où il est et vous ne le communiquer à personne sous aucun motif).
• La clé publique se nomme : ~/.ssh/id_ed25519.pub. C’est ce fichier que vous utiliserez lorsqu’une application vous demande votre clé.

Notez que comme commentaire, je préconise la chaîne ${USER}@${HOSTNAME}.$( date +'%Y-%m' ) qui vous permet de savoir par qui elle a été créée, sur quelle machine et quand. La dernière information, vous permettant de vous donner de règle pour changer votre clé de temps en temps. Si vous administrez un parc de machine, vous aurez besoin de clés différentes sur chaque machine, que les autres informations vous permettront de gérer.

Automatisation, clé ssh par défaut.

Si vous devez créer une clé ssh depuis un script vous devrez préciser d’autre paramètres, cela donnera quelque chose comme :

On peut dans suivant le cas ignorer la phrase secrète en mettant un texte vide :

★★★

ssh-keygen -a 100 -t ed25519 -C "${USER}@${HOSTNAME}.$( date +'%Y-%m' )" -f "${HOME}/.ssh/id_ed25519" -N ''

Automatisation, création d’une clé personnalisée

Pour la configuration d’un service ou tout usage très spécifique, dans ce cas c’est une bonne idée d’utiliser le champ commentaire pour identifier le nom du service, l’utilisateur et/ou le fichier relatif à cette configuration.

Par exemple :

APP_USER='appuser' # User for the application
APP_NAME='appname' # Name of the application

ssh-keygen -a 100 -t ed25519 -C "${APP_USER}_${APP_NAME}@${HOSTNAME}.$( date +'%Y-%m' )" -f "${HOME}/.ssh/${APP_USER}_${APP_NAME}_id_ed25519" -N ''

Utilisation de plusieurs clés ssh

Les systèmes Linux prennent en compte généralement la clé par défaut, mais ils ignorent les autres clés. Pour résoudre cela vous devez utiliser le code suivant :

eval $( ssh-agent -s ) # Seulement une fois par session.

ssh-add [file …] # Vous pouvez enregistrer plusieurs clés à la fois

Pour voir les clés connues par votre système vous pouvez utiliser la commande suivante :

ssh-add -l

Protection de vos clés

Votre dossier .ssh doit avoir les droits d’écriture que pour votre utilisateur. Une bonne pratique est de le rendre accessible qu’à vous en lecture et écriture.

chmod 700 ~/.ssh # 755 est aussi une valeur acceptable.

Votre clé privée doit rester privée. Cette configuration est acceptable, mais pas nécessaire. Votre clé publique est accessible.

chmod 600 ~/.ssh/id_*     # chmod u=rw,go= ~/.ssh/id_*
chmod 644 ~/.ssh/id_*.pub # chmod a=r,u+w ~/.ssh/id_*.pub

Votre clé privée doit rester privée, mais le fichier qui contient votre clé publique peut l’être aussi.

★★★

chmod 600 ~/.ssh/id_*
# chmod u=rw,go= ~/.ssh/id_*

Le contenu de votre clé publique est un simple texte que vous pouvez copier-coller très facilement.

cat ~/.ssh/_id_ed25519.pub

Vous pouvez également utiliser la copie si vous avez positionné les bits de lecture pour le groupe et les autres comme indiqué plus haut (chmod 644). Mais souvent vous transmettrez cette clé à l’aide d’un copier-coller sur une application web, c’est donc la commande cat qui vous servira le plus.

Liens

• OpenSSH 8.3 released (and ssh-rsa deprecation notice)
• Ubuntu 22.04 SSH the RSA key isn't working since upgrading from 20.04
• Upgrade Your SSH Key to Ed25519

ᦿ