Ssh S

[Aizen]

Bonjour,

A priori, il est conseillé de sécurisé le SSH par une clé publique/privé, plutôt que par mot de passe.

Cependant je me pose une question!

Comment cela se passe dans le cas ou l'on perd sa clé privée?

Est t'il possible d'arranger les choses?

[Sp@r0]

Reset de la conf du nas tu peux le faire sans perdre les données (même si l'objectif c pas de valider la fonction)

Tu peux aussi aller via l'interface web régénèrer une nouvelle clés ou changer la conf de sshd

[loli71]

Euh .. c'est surtout que la clé privée est censé être sur le PC et la clé publique sur le NAS (pour les connexions ssh sur le NAS).

Donc en cas de perte de la clé privée sur ton PC, tu pourras toujours te connecter avec le mot de passe du compte et remettre une nouvelle clé publique sur ton NAS.

Au pire, si tu interdisais dans la conf sshd la connexion par mot de passe, uniquement par clé, tu pourras toujours activer temporairement le telnet sur ton nas par le DSM, arrêter le ssh et changer la conf sshd par connexion telnet, et relancer le ssh par le DSM.

[Aizen]

Merci pour vos réponses!!!

Ça me rassure

Je vais pouvoir utiliser le système de clé en ayant l'esprit tranquille

En effet j'avais pas penser à utiliser telnet en cas de problème

Sinon Sp@ro, comment ça se passe pour le reset de la conf ou par l'interface web pour régénérer une nouvelle clé? (je préfère anticiper un problème futur )

[Sp@r0]

Ben pour le reste y a un bouton faut regarder sur le net mais c'est un appui long de mémoire pour initialiser intégralement la confit du nas (mais ca Pete tt les réglages y compris les mots de passes)

Sinon via l'interface web plein de possibilité :

- passage en telnet

- installation d'un paquet pour éditer les configs

- ....

[Aizen]

Sinon autres question:

il vaut mieux utiliser RSA ou DSA?

Et pour créer les clés, le meilleur moyen est puttygen?

[loli71]

DSA est plus sécurisé que RSA.

Puttygen est effectivement ce qu'il te faut pour générer sur un windows une clé public/privée

[gaetan.cambier]

le mieux est encore les "ECDSA key" (elliptic curve) http://en.wikipedia.org/wiki/Elliptic_curve_cryptography

 ssh-keygen -t ecdsa -b 256

Niveau sécurité :

256 ec = 3072 bit rsa

384 ec = 7680 bit rsa

521 ec = 15360 bit rsa

rapide et fiable, il y a rien de mieux

[Aizen]

Sur puttygen, il n'y a pas ecdsa

sinon pour ssh-keygen il faut avoir une distrib. linux et je n'en ai pas!

A moins que je puisse le faire directement sur le nas?

[loli71]

nop, si tu veux utiliser putty, il vaut mieux faire la clé avec puttygen .. sinon c'est la galère pour transformé la clé privée faite sous linux en format lisible par putty et pageant ;-)

[Aizen]

Je suppose qu'il faut mieux utiliser une passphrase?

[gaetan.cambier]

je viens de bien regarder, le support des clé ECDSA va seulement arriver sous putty, http://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/ecdsa.html

[Aizen]

Pour putty le support des clés ECDSA va arriver quand???

sinon il y a tera term qui supporte l'ECDSA

[gaetan.cambier]

J'en sais rien, sur le délai

Par contre c'est intéressant tera term, j'y regarderai demain

[Aizen]

Où mettre la clé publique, si l'on a pas de dossier /homes/.ssh ???

[loli71]

Déjà le dossier que l'on appelle "homedirectory" est celui où tu arrives lorsque tu te connectes avec ton user, et c'est dans ce dossier que tu dois créer le répertoire ".ssh"

donc connectes toi avec putty et le compte que tu souhaites utiliser et passe les commandes suivantes :

mkdir ~/.ssh
cat ~/id_rsa.pub >> ~/.ssh/authorized_keys"
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

Où le fichier "id_rsa.pub" contient ta clé publique, ou alors si tu connais la commande vi, utilise "vi ~/.ssh/authorized_keys" et insère ta clé publique.

le signe "~/" devant permet de dire à linux que tu parles du homedirectory de l'utilisateur avec lequel tu es connecté.

[Aizen]

Je ne peux pas,

ça me met une erreur comme j'ai pas de dossier /homes

Ca me marque

mkdir: can't create directory '/var/services/aizen/.ssh': no such files or directory

Pour infos mon service accueil de l'utilisateur est decoché

[loli71]

Ah ben il faut soit le cocher, soit te connecter en tant que root ...

ou alors tout faire manuellement si on part du principe que le nom d'utilisateur (username) que tu utilises pour te connecter en ssh est "aizen":

1) créer un répertoire où tu souhaites avoir ton homedirectory: mkidr -p /volume1/homes/aizen

2) donner les droits/propiétés corrects à ce répertoire :

chown <username>:users /volume1/homes/aizen

chmod 700 <username>:users /volume1/homes/aizen

3) modifier par vi le fichier /etc/passwd et la ligne correspondant à ton compte pour mettre le homedirectory correct :

aizen:x:<id utilisateur>:100::/volume1/homes/aizen:/bin/ash

Reconnexion en ssh puis ce que je t'ai indiqué avant ... mais ce n'est pas ce qu'il y a de plus standard ... et tu risque de rencontrer des problèmes si un jour tu actives le service accueil de l'utilisateur

Modifié le 7 mai 2015 par loli71

[Aizen]

On est obligé d'avoir un dossier /homes ???

On ne peut pas directement créer ./ssh dans /etc/ssh ? (ou ailleurs?)

Aizen est mon compte administrateur (le compte admin par défaut est désactivé)

[loli71]

ben c'est mieux oui, et de préférence un endroit qui ne sera pas écrasé lors d'un upgrade de DSM .. donc dans /volume1 (ou /volume2 ..).

Sinon tu risque de perdre la config de ta clé publique et autre ...

Mais bon, fait comme tu le souhaites, le tout est que le répertoire ".ssh" se trouve dans le homedirectory défini dans le fichier /etc/passwd sinon sshd ne sera pas où cherche le fichier authorized_keys qui contient toutes les clé publiques que tu auras défini pour le compte.

[Aizen]

Quand j'active le service accueil de l'utilisateur, ça me créer le dossier /homes dans /volumes1

Mais en quoi c'est mieux de l'activer??? (mis à part pour l'histoire des clés )

Sinon dans /etc/passwd mon homedirectory est /var/services/homes/aizen

Mais j'ai pas accès à /homes

[loli71]

Quand j'active le service accueil de l'utilisateur, ça me créer le dossier /homes dans /volumes1

Mais en quoi c'est mieux de l'activer??? (mis à part pour l'histoire des clés )

Au moins, tu utilises un fonctionnement standard de Linux, ce qui t'évitera beaucoup de désagréments dans le futur ;-)

Sinon dans /etc/passwd mon homedirectory est /var/services/homes/aizen

Mais j'ai pas accès à /homes

Lorsque tu te connectes en ssh avec ton compte aizen + mot de passe, tu devrais maintenant arriver directement dans /volume1/homes/aizen/ non ?

Si tu passes la command "pwd", ca te dit quoi ?

Si c'est bien le cas, il ne te reste plus qu'à créer le répertoire ".ssh" et mettre ta clé

[Aizen]

Lorsque tu te connectes en ssh avec ton compte aizen + mot de passe, tu devrais maintenant arriver directement dans /volume1/homes/aizen/ non ?

Si tu passes la command "pwd", ca te dit quoi ?

Sans avoir activer le service utilisateur, lorsque que je me connecte avec aizen et que je met la commande "pwd", cela me met "/"

Donc je me trouve directement sur le dossier racine

[loli71]

oui, et le dossier racine "/" est un dossier qui peut être écrasé à chaque upgrade DSM, c'est un dossier système.

Donc tu fais comme tu le souhaites, je pense que tu as maintenant toutes les infos qu'il te faut.

[Aizen]

En effet, merci pour ton aide

Dernier question, est ce qu'il est possible de rendre le dossier /homes/aizen non visible depuis filestation?