Skip to content

Sécurité : gestion des moyens de connexion

Nous recommandons fortement l'utilisation d'une clé SSH pour vous connecter à Austral.
Toutefois le mot de passe reste indispensable pour l'utilisation de JupyterHub et du service de visualisation.

Configurer une clé SSH de connexion

Remarque : connectez-vous une première fois à Austral pour changer votre mot de passe initial avant de suivre la procédure ci-dessous.

  • Sur votre poste de travail :

    • si non déjà existantes, générer les paires de fichiers (clé privée / clé publique) en utilisant la commande ssh-keygen (sous Linux/MacOS) ou via l'application putty-gen (sous Windows).
      Pour des raisons évidentes de sécurité, privilégiez une connexion avec une passphrase NON vide avec, à la rigueur, l'utilisation d'un ssh-agent.
    $ ssh-keygen -t rsa -b 4096
Generating public/private rsa key pair.
Enter file in which to save the key (/home/machine-locale/login/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/machine-locale/login/.ssh/id_rsa.
Your public key has been saved in /home/machine-locale/login/.ssh/id_rsa.pub.
The key fingerprint is:
26:e3:d4:29:b7:5b:29:15:d7:68:39:eb:a3:12:0b:02 login@machine-locale.domaine.fr

    Deux fichiers : id_rsa et id_rsa.pub sont créés dans le répertoire .ssh de la machine locale.

    • transférez la clé publique vers votre compte sur Austral : elle sera rajoutée au fichier ~/.ssh/authorized_keys Commande à taper à partir de votre poste de travail :
    $ ssh-copy-id login@austral.criann.fr

Attention, très important

votre clé privée (fichier id_rsa) ne doit jamais être recopiée sur un autre serveur... Elle doit rester uniquement sur votre poste de travail.

Changer la clé SSH de connexion

Si vous aviez déjà configuré une clé SSH pour vous connecter sur Austral, il faut supprimer l'ancienne clé en éditant le fichier ~/.ssh/authorized_keys sur le calculateur puis suivre la procédure ci-dessus pour regénérer un nouveau couple clé publique / clé privée et transférer la clé publique sur Austral.

Utilisation de l'agent ssh-agent pour ne taper qu'une seule fois sa phrase de passe

L'agent ssh-agent Il faut taper les deux commandes suivantes sur votre machine locale :

$ eval 'ssh-agent'
$ ssh-add ~/.ssh/id_rsa
Enter passphrase for /home/machine-locale/login/.ssh/id_rsa:
Identity added: /home/machine-locale/login/.ssh/id_rsa
(/home/machine-locale/login/.ssh/id_rsa)

Attention : la connexion pourra se faire sans saisie de la phrase de passe seulement pendant la durée de vie de l'agent. Vous devrez donc le relancer à chaque nouvelle session ou ouverture d'un nouveau terminal.

Si vous êtes en environnement Windows et que vous utilisez le client SSH Putty, vous pouvez également utiliser le programme Pageant fourni avec Putty.

Changement du mot de passe

  • Se connecter sur une des frontales de connexion
  • Taper la commande passwd et répondre aux questions en indiquant le mot de passe en cours puis 2 fois le nouveau mot de passe. Cela modifiera le mot de passe pour toutes les frontales.

Documentation et recommandations de l'IDRIS

En complément, voici un extrait des recommandations du centre national IDRIS (http://www.idris.fr/faqs/ssh_keys.html) :

Pour plus de sécurité, nous vous demandons quatre choses :

  • prendre toutes les précautions sur votre poste de travail pour protéger votre clé privée (phrase de passe solide, droits d'accès restrictifs),
  • ne pas copier votre clé privée sur les serveurs de l'IDRIS,
  • générer des clés RSA d'au moins 4096 bits, ou d'utiliser des algorithmes de cryptographie sur les courbes elliptiques (ECDSA, ed25519)
  • vérifier que les empreintes (fingerprint) des clés publiques des serveurs SSH de l'IDRIS sur lesquels vous vous connectez sont bien référencées dans la liste donnée sur le site web de l'IDRIS

  • restreindre ces clés à la seule utilisation des machines que vous avez déclarées dans les filtres de l'IDRIS. Pour cela, vous devez éditer le fichier authorized_keys de votre machine locale et ajouter au début de chaque ligne contenant une clé générée sur une des machines de l'IDRIS, la chaîne de caractères suivante :

    • from="votre_ip" ou éventuellement ;
    • from="machine.domaine_local.fr" ou ;
    • from="*.machine.domaine_local.fr".
    $ cat ~/.ssh/authorized_keys
from="machine.domaine_local.fr" ssh-rsa AAAAB3NzaC1yc2EA........... login@host
Last update: October 8, 2025 12:15:05