Aizen Posté(e) le 5 mai 2015 Posté(e) le 5 mai 2015 Bonjour, A priori, il est conseillé de sécurisé le SSH par une clé publique/privé, plutôt que par mot de passe. Cependant je me pose une question! Comment cela se passe dans le cas ou l'on perd sa clé privée? Est t'il possible d'arranger les choses? 0 Citer
Sp@r0 Posté(e) le 5 mai 2015 Posté(e) le 5 mai 2015 Reset de la conf du nas tu peux le faire sans perdre les données (même si l'objectif c pas de valider la fonction) Tu peux aussi aller via l'interface web régénèrer une nouvelle clés ou changer la conf de sshd 0 Citer
loli71 Posté(e) le 5 mai 2015 Posté(e) le 5 mai 2015 Euh .. c'est surtout que la clé privée est censé être sur le PC et la clé publique sur le NAS (pour les connexions ssh sur le NAS). Donc en cas de perte de la clé privée sur ton PC, tu pourras toujours te connecter avec le mot de passe du compte et remettre une nouvelle clé publique sur ton NAS. Au pire, si tu interdisais dans la conf sshd la connexion par mot de passe, uniquement par clé, tu pourras toujours activer temporairement le telnet sur ton nas par le DSM, arrêter le ssh et changer la conf sshd par connexion telnet, et relancer le ssh par le DSM. 0 Citer
Aizen Posté(e) le 6 mai 2015 Auteur Posté(e) le 6 mai 2015 Merci pour vos réponses!!! Ça me rassure Je vais pouvoir utiliser le système de clé en ayant l'esprit tranquille En effet j'avais pas penser à utiliser telnet en cas de problème Sinon Sp@ro, comment ça se passe pour le reset de la conf ou par l'interface web pour régénérer une nouvelle clé? (je préfère anticiper un problème futur ) 0 Citer
Sp@r0 Posté(e) le 6 mai 2015 Posté(e) le 6 mai 2015 Ben pour le reste y a un bouton faut regarder sur le net mais c'est un appui long de mémoire pour initialiser intégralement la confit du nas (mais ca Pete tt les réglages y compris les mots de passes) Sinon via l'interface web plein de possibilité : - passage en telnet - installation d'un paquet pour éditer les configs - .... 0 Citer
Aizen Posté(e) le 6 mai 2015 Auteur Posté(e) le 6 mai 2015 Sinon autres question: il vaut mieux utiliser RSA ou DSA? Et pour créer les clés, le meilleur moyen est puttygen? 0 Citer
loli71 Posté(e) le 6 mai 2015 Posté(e) le 6 mai 2015 DSA est plus sécurisé que RSA. Puttygen est effectivement ce qu'il te faut pour générer sur un windows une clé public/privée 0 Citer
gaetan.cambier Posté(e) le 6 mai 2015 Posté(e) le 6 mai 2015 le mieux est encore les "ECDSA key" (elliptic curve) http://en.wikipedia.org/wiki/Elliptic_curve_cryptography ssh-keygen -t ecdsa -b 256 Niveau sécurité : 256 ec = 3072 bit rsa 384 ec = 7680 bit rsa 521 ec = 15360 bit rsa rapide et fiable, il y a rien de mieux 0 Citer
Aizen Posté(e) le 6 mai 2015 Auteur Posté(e) le 6 mai 2015 Sur puttygen, il n'y a pas ecdsa sinon pour ssh-keygen il faut avoir une distrib. linux et je n'en ai pas! A moins que je puisse le faire directement sur le nas? 0 Citer
loli71 Posté(e) le 6 mai 2015 Posté(e) le 6 mai 2015 nop, si tu veux utiliser putty, il vaut mieux faire la clé avec puttygen .. sinon c'est la galère pour transformé la clé privée faite sous linux en format lisible par putty et pageant ;-) 0 Citer
Aizen Posté(e) le 6 mai 2015 Auteur Posté(e) le 6 mai 2015 Je suppose qu'il faut mieux utiliser une passphrase? 0 Citer
gaetan.cambier Posté(e) le 6 mai 2015 Posté(e) le 6 mai 2015 je viens de bien regarder, le support des clé ECDSA va seulement arriver sous putty, http://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/ecdsa.html 0 Citer
Aizen Posté(e) le 6 mai 2015 Auteur Posté(e) le 6 mai 2015 Pour putty le support des clés ECDSA va arriver quand??? sinon il y a tera term qui supporte l'ECDSA 0 Citer
gaetan.cambier Posté(e) le 6 mai 2015 Posté(e) le 6 mai 2015 J'en sais rien, sur le délai Par contre c'est intéressant tera term, j'y regarderai demain 0 Citer
Aizen Posté(e) le 7 mai 2015 Auteur Posté(e) le 7 mai 2015 Où mettre la clé publique, si l'on a pas de dossier /homes/.ssh ??? 0 Citer
loli71 Posté(e) le 7 mai 2015 Posté(e) le 7 mai 2015 Déjà le dossier que l'on appelle "homedirectory" est celui où tu arrives lorsque tu te connectes avec ton user, et c'est dans ce dossier que tu dois créer le répertoire ".ssh" donc connectes toi avec putty et le compte que tu souhaites utiliser et passe les commandes suivantes : mkdir ~/.ssh cat ~/id_rsa.pub >> ~/.ssh/authorized_keys" chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keys Où le fichier "id_rsa.pub" contient ta clé publique, ou alors si tu connais la commande vi, utilise "vi ~/.ssh/authorized_keys" et insère ta clé publique. le signe "~/" devant permet de dire à linux que tu parles du homedirectory de l'utilisateur avec lequel tu es connecté. 0 Citer
Aizen Posté(e) le 7 mai 2015 Auteur Posté(e) le 7 mai 2015 Je ne peux pas, ça me met une erreur comme j'ai pas de dossier /homes Ca me marque mkdir: can't create directory '/var/services/aizen/.ssh': no such files or directory Pour infos mon service accueil de l'utilisateur est decoché 0 Citer
loli71 Posté(e) le 7 mai 2015 Posté(e) le 7 mai 2015 (modifié) Ah ben il faut soit le cocher, soit te connecter en tant que root ... ou alors tout faire manuellement si on part du principe que le nom d'utilisateur (username) que tu utilises pour te connecter en ssh est "aizen": 1) créer un répertoire où tu souhaites avoir ton homedirectory: mkidr -p /volume1/homes/aizen 2) donner les droits/propiétés corrects à ce répertoire : chown <username>:users /volume1/homes/aizen chmod 700 <username>:users /volume1/homes/aizen 3) modifier par vi le fichier /etc/passwd et la ligne correspondant à ton compte pour mettre le homedirectory correct : aizen:x:<id utilisateur>:100::/volume1/homes/aizen:/bin/ash Reconnexion en ssh puis ce que je t'ai indiqué avant ... mais ce n'est pas ce qu'il y a de plus standard ... et tu risque de rencontrer des problèmes si un jour tu actives le service accueil de l'utilisateur Modifié le 7 mai 2015 par loli71 0 Citer
Aizen Posté(e) le 7 mai 2015 Auteur Posté(e) le 7 mai 2015 On est obligé d'avoir un dossier /homes ??? On ne peut pas directement créer ./ssh dans /etc/ssh ? (ou ailleurs?) Aizen est mon compte administrateur (le compte admin par défaut est désactivé) 0 Citer
loli71 Posté(e) le 7 mai 2015 Posté(e) le 7 mai 2015 ben c'est mieux oui, et de préférence un endroit qui ne sera pas écrasé lors d'un upgrade de DSM .. donc dans /volume1 (ou /volume2 ..). Sinon tu risque de perdre la config de ta clé publique et autre ... Mais bon, fait comme tu le souhaites, le tout est que le répertoire ".ssh" se trouve dans le homedirectory défini dans le fichier /etc/passwd sinon sshd ne sera pas où cherche le fichier authorized_keys qui contient toutes les clé publiques que tu auras défini pour le compte. 0 Citer
Aizen Posté(e) le 7 mai 2015 Auteur Posté(e) le 7 mai 2015 Quand j'active le service accueil de l'utilisateur, ça me créer le dossier /homes dans /volumes1 Mais en quoi c'est mieux de l'activer??? (mis à part pour l'histoire des clés ) Sinon dans /etc/passwd mon homedirectory est /var/services/homes/aizen Mais j'ai pas accès à /homes 0 Citer
loli71 Posté(e) le 8 mai 2015 Posté(e) le 8 mai 2015 Quand j'active le service accueil de l'utilisateur, ça me créer le dossier /homes dans /volumes1 Mais en quoi c'est mieux de l'activer??? (mis à part pour l'histoire des clés ) Au moins, tu utilises un fonctionnement standard de Linux, ce qui t'évitera beaucoup de désagréments dans le futur ;-) Sinon dans /etc/passwd mon homedirectory est /var/services/homes/aizen Mais j'ai pas accès à /homes Lorsque tu te connectes en ssh avec ton compte aizen + mot de passe, tu devrais maintenant arriver directement dans /volume1/homes/aizen/ non ?Si tu passes la command "pwd", ca te dit quoi ? Si c'est bien le cas, il ne te reste plus qu'à créer le répertoire ".ssh" et mettre ta clé 0 Citer
Aizen Posté(e) le 8 mai 2015 Auteur Posté(e) le 8 mai 2015 Lorsque tu te connectes en ssh avec ton compte aizen + mot de passe, tu devrais maintenant arriver directement dans /volume1/homes/aizen/ non ? Si tu passes la command "pwd", ca te dit quoi ? Sans avoir activer le service utilisateur, lorsque que je me connecte avec aizen et que je met la commande "pwd", cela me met "/" Donc je me trouve directement sur le dossier racine 0 Citer
loli71 Posté(e) le 8 mai 2015 Posté(e) le 8 mai 2015 oui, et le dossier racine "/" est un dossier qui peut être écrasé à chaque upgrade DSM, c'est un dossier système. Donc tu fais comme tu le souhaites, je pense que tu as maintenant toutes les infos qu'il te faut. 0 Citer
Aizen Posté(e) le 8 mai 2015 Auteur Posté(e) le 8 mai 2015 En effet, merci pour ton aide Dernier question, est ce qu'il est possible de rendre le dossier /homes/aizen non visible depuis filestation? 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.