Table des matières

SSH : Administration distante sécurisée

SSH : Administration distante sécurisée

SSH (secured shell) est un protocole et le service permettant une connexion distante vers un équipement en vue de son administration système (gestion des services, installations, modification du paramétrage matériel, etc).

Caractéristiques

Protocole sécurisé : la connexion est chiffrée par une technologie asymétrique (RSA, DSA, …)
Port TCP/22
Possibilités d'authentification
- par comptes utilisateurs de l'environnement (PAM)
- par clé privée/certificat pour le client

Pour des raisons de sécurité, l'établissement d'une connexion en SSH avec un compte super-utilisateur n'est plus autorisée (il existe des commandes pour lever cette interdiction, au risque d'ouvrir une faille de sécurité dans le système ; voir ci-après).

Il est donc nécessaire de suivre la procédure suivante :

créer un compte non super-utilisateur sur la machine hébergeant le service SSH
se connecter avec le client SSH de votre choix, en utilisant ce compte
une fois la connexion établie (et les échanges sécurisés), basculer en mode super-utilisateur

Contributeurs

(SISR2-2016) Anthony Varin, Alexandre Saligny

Mise en route et utilisation

Installation du paquet ssh

Utiliser la commande :

 apt install ssh
//ou
apt install openssh-server

Connexion distante

La connexion distante à une machine hébergeant le service SSH s'établit par la commande ssh ou un client dédié comme Putty.

ssh -l <nomCompte> <IPServeurDistant>
//ou
ssh <nomCompte>@<IPServeurDistant>

Sécurisation

Accès root

L'accès distant en root est interdit par défaut.

On n'autorisera que pour des raisons très spécifiques en mesurant les risques qu'on encoure.

Pour définir l'accès distant avec un compte root, on éditera le fichier /etc/ssh/sshd_config , pour adapter la ligne :

PermitRootLogin {yes|no}

Suite au paramétrage, on redémarre le service :

systemctl restart ssh

Comptes et groupes autorisés

Le fichier de configuration de SSH est /etc/ssh/sshd_config :

nano /etc/ssh/sshd_config

Il est possible de limiter les individus autorisés à se connecter en SSH :

pour des comptes individuels :
```
AllowUsers <nom1> <nom2> <...> 
```
pour des groupes :
```
AllowGroups <groupe1> <groupe2> <...> 
```

Tous les comptes n'appartenant pas aux éléments listés (utilisateurs ou groupe) seront empêchés de se connecter. On établit ainsi une liste blanche.

On peut aussi choisir de travailler en liste noire en indiquant les comptes interdits (et tous les autres seront autorisés :

pour des comptes individuels :
```
DenyUsers <nom1> <nom2> <...> 
```
pour des groupes :
```
DenyGroups <groupe1> <groupe2> <...> 
```

après modification, on rechargera le service :

systemctl reload ssh

Limitation de la navigation

Par défaut, un utilisateur autorisé à se connecter en SSH est positionné dans son dossier /home, mais il peut naviguer sur l'intégralité de la machine distante.

Cela pose de sérieux problèmes de sécurité :

accès illicite à des contenus privés,
destruction de données,
installation de logiciels malveillants,
modification ou altération de contenus (pages d'un site, paramètres d'un service, mots de passe, données d'une base, etc).

Blocage dans un dossier (chroot)

Dans le fichier de configuration de SSH (/etc/ssh/sshd_config), on peut ajouter des paramétrages pour un utilisateur (Match User <nomUser>) ou pour un groupe (Match Group <nomgroupe>).

Notamment, on limitera l'utilisateur :

à l'accès à un dossier avec le paramètre ChrootDirectory
à une fonction précise (échange de données en SFTP ou scp) avec le paramètre ForceCommand

Exemple pour un groupe webDepot dédié aux développeurs autorisés à déposer des fichiers dans le dossier de Apache :

Remarque Le dossier attribué à ChrootDirectory doit être en écriture uniquement pour le compte root

Match Group webDepot
        ChrootDirectory /var/www/html/
        ForceCommand internal-sftp
        AllowTcpForwarding no
        GatewayPorts no
        X11Forwarding no

Détection et blocage du brute force

SSH est une porte d'entrée très prisée des hackers : une fois entrés sur la machine, il ne leur reste plus qu'à exploiter les failles locales.

On peut chercher à limiter leurs tentatives d'intrusion par brute force en utilisant Fail2ban pour SSH (ou en interne).

Fail2ban propose 4 modes de blocage :

normal : s'appuie sur les connexions d'utilisateur en échec (mauvais compte/mot de passe, mauvais certificat, etc)
extra : ajoute les erreurs de négociations (de version, de protocole de chiffrement), méthode qui peut être utilisée pour détecter des failles en listant toutes les possibilités
ddos : ajoute la prise en compte des demandes de connexions non abouties (les machines pirates lancent des demandes de connexion puis les interrompent pour saturer le service)
aggressive : normal + ddos + extra

Connexion par clé privée / certificat

L'authentification par compte / mot de passe devient de plus en plus une fragilité des systèmes, avec des risques multiples :

mots de passe faibles
phishing
attaques par dictionnaire ou brut force
données volées

Pour SSH en particulier, le risque est d'autant plus important qu'il s'agit de permettre l'accès à une machine pour y opérer des actions sensibles : alimenter le contenu d'un site, paramétrer l'ordinateur, etc.

Une solution plus robuste consiste à garantir la connexion par un système fort de clé privée/clé publique.

l'utilisateur génère sa clé privée
on génère ensuite sa clé publique (soit lui-même, soit en passant par une autorité)
on fourni la clé publique de l'utilisateur à la machine à laquelle on accèdera en SSH
on paramètre la connexion (par exemple avec Putty) pour utiliser la clé privée du client lors de la connextion

Une démarche complète et bien expliquée est présentée ici : https://www.tutos-informatique.com/comment-activer-lauthentification-par-cle-ssh-sur-votre-serveur/.

Gérer l'établissement d'une connexion distante récurrente

Lorsque l'on souhaite établir une connexion distante récurrente sans nécessiter de renseigner le compte et le mot de passe à chaque connexion (par exemple pour automatiser une sauvegarde), on réalisera la procédure suivante :

créer une clé et son certificat (clé publique .pub) sur une machine qui devra accéder à une cible de façon récurrente
copier le certificat (clé publique) sur la cible

Démarche

Création des éléments de sécurité

Pour créer la clé et son certificat, on utilisera la commande :

ssh-keygen –t {rsa|dsa} [-b <nombre_bits>]

<nombre_bits> est une puissance de 2 précisant la complexité de la clé (1024, 2048, etc)

une fois la commande exécutée ce type de message apparaît.
On peut renseigner la passphrase si on veut sécuriser la connexion par un code d'accès

 Generating public/private rsa key pair.
    Enter file in which to save the key (/~root/.ssh/id_rsa):
    Enter passphrase (empty for no passphrase):
    #(la passphrase crypte la clé publique est augmentent ainsi la sécurité de la communication) 
    Enter same passphrase again:
    Your identification has been saved in /~root/.ssh/id_rsa.
    Your public key has been saved in /~root/.ssh/id_rsa.pub.
    The key fingerprint is:
    da:21:b7:c9:ef:81:76:de:80:02:54:51:06:03:17:25
    The key's randomart image is:
 
    +--[ RSA 2048]----+
    |    ..E*+        |
    |     o +         |
    |    .            |
    |   .             |
    |    . . S        |
    |     . * *       |
    |      o O +      |
    |       o + +     |
    |         .+ .    |
    +-----------------+

Copie de la clé sur la cible

On peut alors recopier la clé sur la cible, ce qui permettra ensuite d'établir une connexion SSH sans interaction avec le <compte> utilisé pour la copie.

ssh-copy-id -i <chemin/clé_publique> <compte>@<IP_ou_FQDN_cible>

la clé publique générée par ssh-keygen se trouve par défaut dans /root/.ssh/ sous le nom id_rsa.pub.

A TRIER et replacer au bon endroit La commande ssh-add : permet de sauvegarder la passphrase dans une mémoire cache, car sinon il redemande à chaque fois qu'on relance le script, la passphrase. Mais si on éteint la machine, il oublie la passphrase.

Si la commande ne fonctionne pas il faut utiliser la commande ssh-agent /bin/bash puis retaper la commande ssh-add

Installation du paquet sshpass avec la commande :

apt install sshpass

Pour éviter de devoir renseigner le mot de passe à chaque fois dans le script .

Script.bash :

#! /bin/bash 
echo off 
while read nom ip
  do 
    sshpass –f motpasse.txt ssh-copy-id –i id_rsa.pub $nom@$ip 
    echo –e "machine" $ip "déployée" >> sshpass.log
done < ./machine.csv

#! /bin/bash (pour afficher la syntaxe en couleur)
echo off (pour ne pas afficher l’echo présent plus bas)
while read nom ip (lit chaque donnée du fichier)
eo (pour faire une boucle)
sshpass –f motpasse.txt ssh-copy-id –i id_rsa.pub $nom@$ip (sshpass –f motpasse.txt sert à dire que à chaque demande du mot de passe l'information se trouve dans le fichier texte, ssh-copy-id –i id_rsa.pub pour envoyer la clé publique au machine définie dans le fichier csv)
echo –e “machine” $ip “déployée” » sshpass.log (cette ligne sert à créer un fichier log qui dit quelle adresse Ip est déployée)
done<./machine.csv (done pour dire que la boucle à exécuter est terminée, et on précise le fichier dont on lit le contenu)

Installer le paquet ssh sur les postes utilisateurs avec la commande : apt-get install ssh