Sécurité : gestion des moyens de connexion¶
Nous recommandons fortement l'utilisation d'une clé SSH pour vous connecter à Austral.
Toutefois le mot de passe reste indispensable pour l'utilisation de JupyterHub et du service de visualisation.
Configurer une clé SSH de connexion¶
Remarque : connectez-vous une première fois à Austral pour changer votre mot de passe initial avant de suivre la procédure ci-dessous.
-
Sur votre poste de travail :
- si non déjà existantes, générer les paires de fichiers (clé privée / clé publique) en utilisant la commande
ssh-keygen
(sous Linux/MacOS) ou via l'applicationputty-gen
(sous Windows).
Pour des raisons évidentes de sécurité, privilégiez une connexion avec une passphrase NON vide avec, à la rigueur, l'utilisation d'un ssh-agent.
$ ssh-keygen -t rsa -b 4096 Generating public/private rsa key pair. Enter file in which to save the key (/home/machine-locale/login/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/machine-locale/login/.ssh/id_rsa. Your public key has been saved in /home/machine-locale/login/.ssh/id_rsa.pub. The key fingerprint is: 26:e3:d4:29:b7:5b:29:15:d7:68:39:eb:a3:12:0b:02 login@machine-locale.domaine.fr
Deux fichiers :
id_rsa
etid_rsa.pub
sont créés dans le répertoire.ssh
de la machine locale.- transférez la clé publique vers votre compte sur Austral : elle sera rajoutée au fichier
~/.ssh/authorized_keys
Commande à taper à partir de votre poste de travail :
- si non déjà existantes, générer les paires de fichiers (clé privée / clé publique) en utilisant la commande
Attention, très important
votre clé privée (fichier id_rsa
) ne doit jamais être recopiée sur un autre serveur... Elle doit rester uniquement sur votre poste de travail.
Changer la clé SSH de connexion¶
Si vous aviez déjà configuré une clé SSH pour vous connecter sur Austral, il faut supprimer l'ancienne clé en éditant le fichier ~/.ssh/authorized_keys
sur le calculateur puis suivre la procédure ci-dessus pour regénérer un nouveau couple clé publique / clé privée et transférer la clé publique sur Austral.
Utilisation de l'agent ssh-agent pour ne taper qu'une seule fois sa phrase de passe¶
L'agent ssh-agent Il faut taper les deux commandes suivantes sur votre machine locale :
$ eval 'ssh-agent'
$ ssh-add ~/.ssh/id_rsa
Enter passphrase for /home/machine-locale/login/.ssh/id_rsa:
Identity added: /home/machine-locale/login/.ssh/id_rsa
(/home/machine-locale/login/.ssh/id_rsa)
Attention : la connexion pourra se faire sans saisie de la phrase de passe seulement pendant la durée de vie de l'agent. Vous devrez donc le relancer à chaque nouvelle session ou ouverture d'un nouveau terminal.
Si vous êtes en environnement Windows et que vous utilisez le client SSH Putty, vous pouvez également utiliser le programme Pageant fourni avec Putty.
Changement du mot de passe¶
- Se connecter sur une des frontales de connexion
- Taper la commande
passwd
et répondre aux questions en indiquant le mot de passe en cours puis 2 fois le nouveau mot de passe. Cela modifiera le mot de passe pour toutes les frontales.
Documentation et recommandations de l'IDRIS¶
En complément, voici un extrait des recommandations du centre national IDRIS (http://www.idris.fr/faqs/ssh_keys.html) :
Pour plus de sécurité, nous vous demandons quatre choses :
- prendre toutes les précautions sur votre poste de travail pour protéger votre clé privée (phrase de passe solide, droits d'accès restrictifs),
- ne pas copier votre clé privée sur les serveurs de l'IDRIS,
- générer des clés RSA d'au moins 4096 bits, ou d'utiliser des algorithmes de cryptographie sur les courbes elliptiques (ECDSA, ed25519)
- vérifier que les empreintes (fingerprint) des clés publiques des serveurs SSH de l'IDRIS sur lesquels vous vous connectez sont bien référencées dans la liste donnée sur le site web de l'IDRIS
-
restreindre ces clés à la seule utilisation des machines que vous avez déclarées dans les filtres de l'IDRIS. Pour cela, vous devez éditer le fichier
authorized_keys
de votre machine locale et ajouter au début de chaque ligne contenant une clé générée sur une des machines de l'IDRIS, la chaîne de caractères suivante :from="votre_ip"
ou éventuellement ;from="machine.domaine_local.fr"
ou ;from="*.machine.domaine_local.fr"
.