Trucs:Connection SSH sans mot de passe
Vous allez me demander : "Une connection SSH (sécurisée) sans mot de passe (non sécurisé), à quoi cela peut-il servir ?".
Supposons que vous ayez 2 postes "sûrs" (c'est-à-dire dont vous n'avez pas spécialement peur qu'on puisse prendre le contrôle), si vous avez réussi a vous connecter sur le premier, c'est pénible de devoir taper un mot de passe pour faire un truc sur le second. Surtout que si quelqu'un vient de prendre possession de votre compte sur le premier poste, de toute façon, le second sera en sa possession dans pas longtemps.
solution avec une clef ssh sans mot de passe
Le but n'est pas de se passer de sécurité (au contraire). La solution du problème est la suivante. Nous avons deux postes : frodon.tux et gandalf.tux. Sur les deux postes sshd tourne et est correctement configuré. Sur chacun des postes on génére des clés :
(entrez une passe-phrase vide), et :
(entrez aussi une passe-phrase vide). Ensuite, il suffit de copier la clé publique d'un poste sur l'autre dans la liste des clés autorisées :
et :
(il peut falloir remplacer : authorized_keys2 par authorized_keys). Et voilà, à partir de maintenant, une connection :
ou
ne demandera pas de mot de passe. Mais ce ne sera pas pour autant trop "désécurisée", puisque pour se connecter sans mot de passe sur frodon il faudra réussir à se connecter avec mot de passe sur gandalf et réciproquement.
solution avec ssh-agent
Ajout de point bonnet chez 9online point fr Michel Bonnet
Personnellement, je trouve que c'est dangereux de laisser une clef privée sans mot de passe, car si quelqu'un arrive à accéder au répertoire où elle est stockée, il peut utiliser immédiatement la clé.
Il est donc préférable de passer par un agent d'authentification.
il faut générer les clés de façon identique (mais avec un mot de passe, ce qui permet de crypter la clé privée).
Pour les utiliser :
ssh-agent screen
(lancement de l'agent)ssh-add <ma liste de clés privée>
(il va demander le mot de passe pour chacune des clés s'il est différent, ou une seule fois, si c'est le même)
pour se connecter :
ssh bibi@gandalf
marchera automatiquement sans retaper le mot de passe, et ce tant que l'agent tourne.
Pour terminer,
la sécurité est un vaste sujet, qui au fond dépend de son appréciation du risque, ce qui est éminemment très personnel.