ephase/xieme-art
1
0
Fork 0
Code Issues Pull requests Releases Wiki Activity

Add cover image + corrections

Browse source 
Various syntax corrections
ssh key command cut (didn't exceed 80 column)
Change document to filename
Corrections for uci ssh HostKey commands
This commit is contained in:
Yorick Barbanneau 2020-10-26 02:27:12 +01:00
parent 918d56b775
commit 06e640b572
1 changed files with 13 additions and 10 deletions
Download patch file Download diff file Expand all files Collapse all files

23
content/articles/2020/turris-omnia-ssh-se-connecter-avec-cle/index.md
View file

@ -2,11 +2,12 @@ Title: Turris Omnia : se connecter en ssh avec une clé
Date: 2020-10-26 2:16
Category: sysadmin
Tags: OpenWRT, SSH, Turris Omnia
Cover: assets/backgrounds/turris_ssh_cle.jpg
J'utilise depuis maintenant deux ans un routeur Onmia de chez Turris, J'en ai
parlé déjaà lors de [cet article][l_wireguard]. Je veux pouvoir m'y connecter en
SSH de façon sécurisée; j'entends par là **avec un utilisateur autre que root et
avec une clef** (si possible en ed25519).
J'utilise depuis maintenant deux ans un routeur [Omnia][l_turris] de chez
Turris, J'en ai parlé déjà lors de [cet article][l_wireguard]. Je veux pouvoir
m'y connecter en SSH de façon sécurisée; j'entends par là **avec un utilisateur
autre que root et avec une clef** (si possible en ed25519).
Si en règle générale OpenWRT est livré avec *dropbear* pour servir ssh, le
Turris Omnia utilise *OpenSSH* en version 8.0p1 au moment de l'écriture de cet
@ -35,9 +36,10 @@ Depuis ma machine, je n'ai plus au'à rajouter la partie publique de ma clé sur
le compte de l'utilisateur fraîchement créé :
```shell
ssh user@192.168.1.254 "umask u=rwx,g=,o=; mkdir ~/.ssh && tee -a ~/.ssh/authorized_keys"\
< ~/.ssh/ma_cle.ed25519.pub
ssh user@192.168.1.254 "umask u=rwx,g=,o=; mkdir ~/.ssh && tee -a \
~/.ssh/authorized_keys" < ~/.ssh/ma_cle.ed25519.pub
```
`192.168.1.254` est l'adresse de mon Turris Omnia et `~/.ssh/ma_cle.ed25519.pub`
la partie publique de ma clé.
@ -49,7 +51,7 @@ ssh user@192.168.1.1 -i ~/.ssh/ma_cle.ed25525
```
Si la connexion se passait mal, le simple fait de rajouter `-vvv` à la fin de la
commande précédente permettrait d'en apprendre un peu plus sur ce aui ne va pas.
commande précédente permettrait d'en apprendre un peu plus sur ce qui ne va pas.
## Sécuriser son accès
@ -101,8 +103,8 @@ ssh-keygen -t rsa -b 4096 -f ssh_host_rsa_key -N "" -o -a 64
De modifier la configuration en conséquence à l'aide d'`uci`:
```shell
uci add_list sshd.@openssh[0].HostKey='/etc/ssh/ssh_host_ed25519'
uci add_list sshd.@openssh[0].HostKey='/etc/ssh/ssh_host_rsa'
uci add_list sshd.@openssh[0].HostKey='/etc/ssh/ssh_host_ed25519_key'
uci add_list sshd.@openssh[0].HostKey='/etc/ssh/ssh_host_rsa_key'
```
Et de relancer le service
@ -127,7 +129,8 @@ exemple) mais sa configuration se fera en éditant le fichier
* [Documentation][l_doc_uci] d'uci sur le wiki du projet OpenWRT
* [OpenWRT : OpenSSH pour remplacer Dropbear][l_sshd_dropbear] par Stéphane Huc
[l_wireguard]:{document}../wireguard-avec-openwrt/index.md
[l_turris]:https://www.turris.com/en/omnia/overview/
[l_wireguard]:{filename}../wireguard-avec-openwrt/index.md
[l_durci_sshd]:https://doc.huc.fr.eu.org/fr/sec/ssh/sshd-durci/
[l_doc_turris]:https://doc.turris.cz/doc/en/public/enable_ssh_access
[l_doc_uci]:https://openwrt.org/docs/guide-user/base-system/uci