diff --git a/content/articles/2020/turris-omnia-ssh-se-connecter-avec-cle/index.md b/content/articles/2020/turris-omnia-ssh-se-connecter-avec-cle/index.md index 22f77ea..53b15d1 100644 --- a/content/articles/2020/turris-omnia-ssh-se-connecter-avec-cle/index.md +++ b/content/articles/2020/turris-omnia-ssh-se-connecter-avec-cle/index.md @@ -2,11 +2,12 @@ Title: Turris Omnia : se connecter en ssh avec une clé Date: 2020-10-26 2:16 Category: sysadmin Tags: OpenWRT, SSH, Turris Omnia +Cover: assets/backgrounds/turris_ssh_cle.jpg -J'utilise depuis maintenant deux ans un routeur Onmia de chez Turris, J'en ai -parlé déjaà lors de [cet article][l_wireguard]. Je veux pouvoir m'y connecter en -SSH de façon sécurisée; j'entends par là **avec un utilisateur autre que root et -avec une clef** (si possible en ed25519). +J'utilise depuis maintenant deux ans un routeur [Omnia][l_turris] de chez +Turris, J'en ai parlé déjà lors de [cet article][l_wireguard]. Je veux pouvoir +m'y connecter en SSH de façon sécurisée; j'entends par là **avec un utilisateur +autre que root et avec une clef** (si possible en ed25519). Si en règle générale OpenWRT est livré avec *dropbear* pour servir ssh, le Turris Omnia utilise *OpenSSH* en version 8.0p1 au moment de l'écriture de cet @@ -35,9 +36,10 @@ Depuis ma machine, je n'ai plus au'à rajouter la partie publique de ma clé sur le compte de l'utilisateur fraîchement créé : ```shell -ssh user@192.168.1.254 "umask u=rwx,g=,o=; mkdir ~/.ssh && tee -a ~/.ssh/authorized_keys"\ -< ~/.ssh/ma_cle.ed25519.pub +ssh user@192.168.1.254 "umask u=rwx,g=,o=; mkdir ~/.ssh && tee -a \ +~/.ssh/authorized_keys" < ~/.ssh/ma_cle.ed25519.pub ``` + `192.168.1.254` est l'adresse de mon Turris Omnia et `~/.ssh/ma_cle.ed25519.pub` la partie publique de ma clé. @@ -49,7 +51,7 @@ ssh user@192.168.1.1 -i ~/.ssh/ma_cle.ed25525 ``` Si la connexion se passait mal, le simple fait de rajouter `-vvv` à la fin de la -commande précédente permettrait d'en apprendre un peu plus sur ce aui ne va pas. +commande précédente permettrait d'en apprendre un peu plus sur ce qui ne va pas. ## Sécuriser son accès @@ -101,8 +103,8 @@ ssh-keygen -t rsa -b 4096 -f ssh_host_rsa_key -N "" -o -a 64 De modifier la configuration en conséquence à l'aide d'`uci`: ```shell -uci add_list sshd.@openssh[0].HostKey='/etc/ssh/ssh_host_ed25519' -uci add_list sshd.@openssh[0].HostKey='/etc/ssh/ssh_host_rsa' +uci add_list sshd.@openssh[0].HostKey='/etc/ssh/ssh_host_ed25519_key' +uci add_list sshd.@openssh[0].HostKey='/etc/ssh/ssh_host_rsa_key' ``` Et de relancer le service @@ -127,7 +129,8 @@ exemple) mais sa configuration se fera en éditant le fichier * [Documentation][l_doc_uci] d'uci sur le wiki du projet OpenWRT * [OpenWRT : OpenSSH pour remplacer Dropbear][l_sshd_dropbear] par Stéphane Huc -[l_wireguard]:{document}../wireguard-avec-openwrt/index.md +[l_turris]:https://www.turris.com/en/omnia/overview/ +[l_wireguard]:{filename}../wireguard-avec-openwrt/index.md [l_durci_sshd]:https://doc.huc.fr.eu.org/fr/sec/ssh/sshd-durci/ [l_doc_turris]:https://doc.turris.cz/doc/en/public/enable_ssh_access [l_doc_uci]:https://openwrt.org/docs/guide-user/base-system/uci