Le Blog de C-quad

Archive pour la catégorie ‘Sécurité’

Connexion SSH sans mot de passe – Utilisation des clés RSA

Il est parfois nécessaire de se connecter d’une machine à une autre avec le protocole SSH.

Nous allons voir ici comment se connecter sans avoir à saisir de mot de passe.

Machine locale

Sur la machine locale nous allons créer une clé privée et publique :

ssh-keygen -t dsa

Attention de bien garder la clé privée, celle-ci ne doit jamais être diffusée. Si l’on ne désire pas avoir à saisir une passphrase, il faut la laisser vide.

Nous allons envoyer notre clé publique sur la machine distante (machine sur laquelle on désire se connecter)

cat .ssh/id_dsa.pub | ssh utilisateur@hote_distant "cat >> .ssh/authorized_keys"

Machine distante

Il est possible de se connecter par clef et non plus par mots de passe. L’avantage est que l’on améliore énormément la sécurité ! Nous allons commencer par configurer le serveur SSH via le fichier « /etc/ssh/sshd_config ». Editez-le et modifiez les lignes comme ceci:

PubkeyAuthentication yes
PermitEmptyPasswords no

Il faut bien être vigilent à ce que le répertoire « .ssh » ne soit pas accessible pour les autres utilisateurs :

chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

Petite piqure de rappel sur les droits Unix

Plus précisément sur la représentation octale des droits.

Sur les systèmes Unix/Linux/BSD, les droits sur les fichiers sont définis pour le propriétaire, pour les utilisateurs appartenant au groupe et pour les autres utilisateurs. Ils sont représentés – par exemple lorsque l’on invoque la commande ls -l – par une suite de 3 lettres (r,w et x pour respectivement read/lire, write/écrire, execute/exécuter), mais peuvent être représentés par des chiffres, par exemple comme suit :

r w – r – – r – – est la même chose que 644

Il s’agit de la représentation octale. Pour être expliquée, il faut partir de la forme binaire des droits, suivant ce schéma :

000 = 0
001 = 1
010 = 2
011 = 3
100 = 4
101 = 5
110 = 6
111 = 7

On peut associer chaque triplet aux trois entités (propriétaire, groupe, autres) des droits, ainsi, un fichier ayant le droit du propriétaire en lecture et écriture (r w -) sera écrit 110, 1 pour le r, 1 pour le w et 0 pour le flag x qui n’est pas attribué. Le procédé est le même pour les deux autres triplets. Pour l’exemple complet, prenons : r w – r – – r – -, soit 110 100 100. Ensuite on part du principe que l’on ajoute les chiffres des valeurs binaires des triplets pour obtenir la valeur octale. En continuant sur l’exemple précédent : 110 en binaire vaut 6 en décimal, 100 vaut 4, ainsi nous avons 6 – 4 – 4, simplifié en 644. Notre fichier a les droits 644.

r w -  r - -  r - - = 110 100 100 = 644
r w - r w -  r - - = 100 100 100 = 664
r - x r - x  r - x = 101 101 101 = 555
r w x  r - x r - - = 111 101 000 = 754

Transferer les mails systèmes de root vers une adresse mail valide

Il arrive que vous ayez ce type de message lors de l’utilisation du terminal :

Vous avez du nouveau courrier dans /var/spool/mail/root

Afin de consulter ce mail, il suffit d’utiliser la commande mail. Mais cela s’avère vite fastidieux et nécessite de faire la démarche d’aller consulter ces mails spécifiquement.

L’idéal serait de faire suivre ces mails sur votre boite mail perso.

La solution est alors de faire suivre les courriels du root vers une autre adresse mail.

Pour cela, éditez le fichier /etc/aliases :

vi /etc/aliases

Et rajoutez l’alias :

root: mon_mail@mon_domaine.com

Ensuite, rechargez les alias :

newaliases

Si votre service d’envoi de mail (Postfix ou Sendmail) est correctemnt configuré alors vous recevrez les mails root sur cette adresse.

Pour tester :

echo "hello world" |mail -s test root

BackupPC

Introduction

Backuppc est un logiciel libre de sauvegardes publié sous licence GPL. Il est utilisé pour sauvegarder sur disque un ensemble de postes clients et de serveurs, sous Linux ou Windows. Les protocoles utilisables pour les transferts sont : SMB (partage windows), tar grâce à ssh/rsh/nfs, et rsync. Il ne nécessite l’installation d’aucun logiciel client sur les machines à sauvegarder. Il possède une interface web pour lancer des sauvegardes ou restaurer des fichiers.

Installation

L’installation se fera grâce au paquet disponible sur les dépots.

 yum install BakcupPC

Il nous reste a configurer les accès.

Lire la suite de cette entrée »