Bonsoir par ici,
Je vous propose petit tuto rapide pour se connecter directement sur le NAS grâce au couple clé publique/privée.
Il y a plusieurs intérêts selon moi:
Il y aura 3 étapes pour ce tuto:
C'est parti ! (Le tuto est fait sur un AS5002T)
1/ Générez les clés
Connectez vous en temps que root sur le NAS, et rentrer la commande suivant pour générer le couple de clé:
Les options: "-t" pour le type de clé (rsa/dsa/...), "-b" pour une clé 2048 bits 
Plusieurs choses vous seront demandées:
- L'endroit où vous voulez sauvegarder les clés: laissez par défaut
- La passphrase: laissez vide
- Confirmation de la passphrase: vide encore une fois
Une fois ces validations effectuées, le couple de clé sera créé dans l'arborescence "/root/.ssh/" (cf. screen ci-dessous)
2/ Configurer le NAS
Cette étape consiste à créer un fichier dans le répertoire utilisateur, et configurer le daemon SSH pour accepter la connexion par clé et optionnellement désactiver la connexion par mot de passe:
Rentrez tout d'abord cette commande:
Encore une fois le détail: On affecte le droit en lecture/écriture/exécution au répertoire ".ssh/" pour l'utilisateur root, puis on créé un fichier vide "authorized_keys" dans ce répertoire avec les droits en lecture/écriture toujours pour l'utilisateur root. (résultat ci-dessous)
Comme son nom l'indique dans le fichier "authorized_keys", on va renseigner les clés publiques qui seront autorisées à se connecter au NAS:
Pour se faire, on tape la commande suivant:
Cette commande, au lieu d'afficher le contenu du fichier id_rsa.pub (pub pour "publique" donc), va rediriger le flux vers le fichier précédemment créé "authorized_keys". Vous pouvez voir sur le screen ci-dessous que le fichier n'est plus vide, mais a une taille de 396 octets.
Avant de passer à la configuration du daemon SSH, sauvegarder le contenu du fichier id_rsa (votre clé privée en fait) dans un éditeur type Notepad: elle vous servira pour la dernière étape du tuto, à savoir la configuration de Putty.
Pour le fichier de configuration SSH, vous pouvez éditer le fichier "/usr/etc/ssh/sshd_config"'.
Je vous invite à vérifier/modifier les paramètres suivants:
La valeur "without-password" associé au paramètre "PermitRootLogin" permet à l'utilisateur root de se connecter au NAS uniquement grâce à sa clé publique, et non plus avec un simple mot de passe, terminé le bruteforce
Vous pouvez complètement désactivé l'accès par mot de passe avec le paramètre suivant:
:!: Je vous déconseille de désactiver tout de suite ce paramètre: si la configuration avec les clés ne fonctionnent pas au premier essai, et que cette option est à "no", vous n'aurez tout simplement plus accès à la console ! :!:
Une fois ce fichier sauvegardé, vous pouvezredémarrer le NAS relancer le process SSH pour que les changements soient pris en compte !
:?:Petit détail: en temps normal un "restart" du daemon est suffisant, mais le script de redémarrage présent sur le NAS de base ne relance jamais le daemon, et oblige dans tous les cas à redémarrer. Je n'ai pas encore eu le temps de m'y pencher, mais pour ceux que ça intéresse, le fichier est le suivant "/etc/init.d/S41ssh"
3 / Configuration du client Putty
Voilà le moment où on se sert de la clé RSA sauvegardée à l'étape 2. Commencez par ouvrir "Putty Key Generator" et cliquer sur "Load" pour charger la clé sauvegardée
Mettez un petit commentaire qui va bien
Cliquez sur "Save Private Key" et validez quand vous avez le warning concernant la passphrase
On peut maintenant configurer un profil dans Putty: rentrez l'adresse IP du NAS, choisir "SSH" en connection type, mettre un nom dans "Saved Sessions"
Dans la catégorie "Connection -> Data" remplir le username avec "root"
Dans la catégorie "Connection -> SSH -> Auth", parcourez votre ordinateur à la recherche de votre clé privée précédemment sauvegardée.
Vous pouvez sauvegarder cette session Putty et cliquer sur "Open" et si tout s'est bien déroulé, vous devriez être logué grâce à votre couple de clé !
4 / BONUS: Connexion avec Filezilla
Maintenant que vous savez vous connecter à votre NAS en SSH, il peut être intéressant de se connecter en SFTP avec un logiciel comme Filezilla par exemple. L'avantage c'est qu'il faut juste configurer le logiciel en question vu que vous avez déjà votre couple de clés.
Première chose à faire une fois Filezilla lancé:
Allez dans "Édition -> Paramètres", puis sur le bandeau latéral, cliquer sur "SFTP" et vous allez pouvoir y "Ajouter une clé privée" (oui, la même que celle des étapes précédentes)
Il ne reste plus qu'à créer un nouveau site dans "Fichier -> Gestionnaire de Sites..."
Voici les paramètres à renseigner:
Hôte: l'adresse IP de votre NAS
Port: 22
Protocole: SFTP - SSH File Transfer Protocol
Type d'authentification: Interactif
Identifiant: root
:!: Le mot de passe est grisé car vous allez utiliser votre clé privée pour vous connecter.
Il ne vous reste plus qu'à lancer la connexion et si tout se passe bien vous devriez avoir le message ci-dessous.
Si la clé utilisée n'est pas la bonne, un mot de passe vous sera demandé
Vous pouvez récupérer/modifier directement vos fichiers avec l'explorateur de Filezilla.
J'espère que ce tuto servira à d'autre, et si jamais vous avez des questions ou des doutes, n'hésitez pas !
Je vous propose petit tuto rapide pour se connecter directement sur le NAS grâce au couple clé publique/privée.
Il y a plusieurs intérêts selon moi:
- Plus besoin de mot de passe pour se connecter (utile pour les accès à répétition)
- + de sécurité avec la possibilité de désactiver l'authentification par mot de passe pour le compte admin,root, ou les 2.
- Facilité pour des scripts de transferts de fichiers entre serveurs (par exemple)
Il y aura 3 étapes pour ce tuto:
- Générer le couple de clés publique/privée directement depuis le NAS
- Configurer le NAS
- Configurer Putty pour se connecter sans mot de passe
C'est parti ! (Le tuto est fait sur un AS5002T)
1/ Générez les clés
Connectez vous en temps que root sur le NAS, et rentrer la commande suivant pour générer le couple de clé:
Code:
ssh-keygen -t rsa -b 2048Plusieurs choses vous seront demandées:
- L'endroit où vous voulez sauvegarder les clés: laissez par défaut
- La passphrase: laissez vide
- Confirmation de la passphrase: vide encore une fois
Une fois ces validations effectuées, le couple de clé sera créé dans l'arborescence "/root/.ssh/" (cf. screen ci-dessous)
2/ Configurer le NAS
Cette étape consiste à créer un fichier dans le répertoire utilisateur, et configurer le daemon SSH pour accepter la connexion par clé et optionnellement désactiver la connexion par mot de passe:
Rentrez tout d'abord cette commande:
Code:
mkdir .ssh && chmod 700 .ssh/ && touch .ssh/authorized_keys && chmod 600 .ssh/authorized_keysComme son nom l'indique dans le fichier "authorized_keys", on va renseigner les clés publiques qui seront autorisées à se connecter au NAS:
Pour se faire, on tape la commande suivant:
Code:
cat id_rsa.pub > authorized_keysCette commande, au lieu d'afficher le contenu du fichier id_rsa.pub (pub pour "publique" donc), va rediriger le flux vers le fichier précédemment créé "authorized_keys". Vous pouvez voir sur le screen ci-dessous que le fichier n'est plus vide, mais a une taille de 396 octets.
Avant de passer à la configuration du daemon SSH, sauvegarder le contenu du fichier id_rsa (votre clé privée en fait) dans un éditeur type Notepad: elle vous servira pour la dernière étape du tuto, à savoir la configuration de Putty.
Pour le fichier de configuration SSH, vous pouvez éditer le fichier "/usr/etc/ssh/sshd_config"'.
Je vous invite à vérifier/modifier les paramètres suivants:
- PermitRootLogin without-password
- StrictModes yes
- RSAAuthentication yes
- PubkeyAuthentication yes
- AuthorizedKeysFile %h/.ssh/authorized_keys
La valeur "without-password" associé au paramètre "PermitRootLogin" permet à l'utilisateur root de se connecter au NAS uniquement grâce à sa clé publique, et non plus avec un simple mot de passe, terminé le bruteforce
Vous pouvez complètement désactivé l'accès par mot de passe avec le paramètre suivant:
- PasswordAuthentication no (yes par défaut)
:!: Je vous déconseille de désactiver tout de suite ce paramètre: si la configuration avec les clés ne fonctionnent pas au premier essai, et que cette option est à "no", vous n'aurez tout simplement plus accès à la console ! :!:
Une fois ce fichier sauvegardé, vous pouvez
Code:
/etc/init.d/S41ssh stop && /etc/init.d/S41ssh start &:?:
3 / Configuration du client Putty
Voilà le moment où on se sert de la clé RSA sauvegardée à l'étape 2. Commencez par ouvrir "Putty Key Generator" et cliquer sur "Load" pour charger la clé sauvegardée
Mettez un petit commentaire qui va bien
Cliquez sur "Save Private Key" et validez quand vous avez le warning concernant la passphrase
On peut maintenant configurer un profil dans Putty: rentrez l'adresse IP du NAS, choisir "SSH" en connection type, mettre un nom dans "Saved Sessions"
Dans la catégorie "Connection -> Data" remplir le username avec "root"
Dans la catégorie "Connection -> SSH -> Auth", parcourez votre ordinateur à la recherche de votre clé privée précédemment sauvegardée.
Vous pouvez sauvegarder cette session Putty et cliquer sur "Open" et si tout s'est bien déroulé, vous devriez être logué grâce à votre couple de clé !
4 / BONUS: Connexion avec Filezilla
Maintenant que vous savez vous connecter à votre NAS en SSH, il peut être intéressant de se connecter en SFTP avec un logiciel comme Filezilla par exemple. L'avantage c'est qu'il faut juste configurer le logiciel en question vu que vous avez déjà votre couple de clés.
Première chose à faire une fois Filezilla lancé:
Allez dans "Édition -> Paramètres", puis sur le bandeau latéral, cliquer sur "SFTP" et vous allez pouvoir y "Ajouter une clé privée" (oui, la même que celle des étapes précédentes)
Il ne reste plus qu'à créer un nouveau site dans "Fichier -> Gestionnaire de Sites..."
Voici les paramètres à renseigner:
Hôte: l'adresse IP de votre NAS
Port: 22
Protocole: SFTP - SSH File Transfer Protocol
Type d'authentification: Interactif
Identifiant: root
:!: Le mot de passe est grisé car vous allez utiliser votre clé privée pour vous connecter.
Il ne vous reste plus qu'à lancer la connexion et si tout se passe bien vous devriez avoir le message ci-dessous.
Si la clé utilisée n'est pas la bonne, un mot de passe vous sera demandé
Vous pouvez récupérer/modifier directement vos fichiers avec l'explorateur de Filezilla.
J'espère que ce tuto servira à d'autre, et si jamais vous avez des questions ou des doutes, n'hésitez pas !
