Si vous avez votre propre site web ou blog ; vous disposez peut-être d’un serveur dédié ou un hébergement mutualisé ? Dès lors, vous avez probablement recourt au protocole SSH pour vous connecter à votre serveur… Comment automatiser ce processus de connexion à votre serveur dédié (login, mdp) sans pour autant nuire à la sécurité de votre serveur ? Une clé SSH !

Outre l’avantage de ne pas avoir à saisir encore et encore votre login et mot de passe, vous pourrez avec une seule et unique clé SSH vous connectez à plusieurs machines différentes. Plus besoin alors de retenir X mots de passe pour les X machines auxquelles vous avez accès.

Génération des clés SSH

Dans un premier temps, nous allons devoir générer deux types de clés : l’une des dite publique tandis que l’autre est dite privée. La clé publique devra être installée sur toutes les machines auxquelles vous voulez accéder tandis que la clé privée restera du côté du client, sur votre PC.

Pour générer ces deux clés nous allons utiliser un logiciel appelé PuTTYgen que vous pourrez télécharger directement ici. Une fois ce logiciel téléchargé et lancé, il vous suffit de cliquer sur le bouton « Generate » (laissez toutes les options par défaut) pour générer automatiquement vos deux clés. Vous devrez déplacer votre souris afin de renforcer l’aléatoire dans la création de vos clés.

Une fois vos deux clés générées, vous devriez obtenir une fenêtre similaire à celle-ci.

A cette étape, vous devez maintenant sauvegarder vos deux clés SSH. En cliquant successivement sur « Save public key » et « Save private key« . Nommez les par exemple publique.key et private.key.

Installation de votre clé publique sur le serveur distant

Vous allez maintenant vous connecter en utilisant votre login/mdp pour installer votre nouvelle clé publique sur le serveur dédié. Pour cela utilisez PuTTY.

Une fois connecté sur votre serveur, dirigez-vous dans votre répertoire personnel habituellement /home/votrelogin. Allez ensuite dans le répertoire .ssh/ ; si celui-ci n’existe pas créé le. Vous allez maintenant ouvrir ou créer un fichier appelé « authorized_keys » dans ce même dossier en utilisant votre éditeur de texte préféré (dans mon cas nano).

Il vous suffit alors de copier coller le contenu de votre clé publique dans ce fichier sur une seule ligne. Attention toutefois, vous ne devez pas ajouter d’espace à la fin de la ligne. Votre copié collé devrait ressembler à peu de chose prés à la partie que j’ai surligné en orange :

ssh-rsa votre_cle_ssh_publique

Sauvegarder votre fichier et déconnectez-vous de votre serveur. Vous venez d’installer votre clé SSH publique sur votre serveur dédié.

Configuration de PuTTY avec votre clé privée

Nous allons maintenant configurer PuTTY avec votre clé privée pour vous connecter automatiquement à votre serveur distant.

1. Rentrez une nouvelle fois l’IP de votre serveur dédié. SSH. Port : 22
2. Allez ensuite dans la section « Connection » et dans le champs « Auto-login username » entrez le login que vous utilisez habituellement pour vous connecter en SSH.
3. Toujours dans la section « Connection » allez maintenant dans la sous-section « SSH » puis « Auth« . En bas, indiquez lui le chemin vers votre clé privée.

Une fois que vous avez bien configurez toutes ces options, ne faîtes pas encore « Open » ! Retournez dans la toute première section « Session« . Au niveau du champs « Save Sessions » entrez un nom afin d’enregistrer votre prodil de connexion. Celui-ci va apparaître dans la liste en bas. Dans mon exemple, j’ai créé un profil OVH.

Il vous suffit désormais de double-cliquer sur le profil « OVH » pour vous connecter de manière automatique à votre serveur dédié. Le login sera automatiquement entré et le serveur vous identifiera également automatiquement grâce à votre clé SSH.

Si vous ne vous êtes pas trompés, vous ne devriez plus avoir besoin de renseigner ni votre login, ni votre mot de passe.

Si vous avez des questions, n’hésitez pas !

• Tags : hébergement, serveur, clé, SSH, putty

• Articles relatifs :

• Sécuriser et surveiller votre serveur dédié : quelques trucs et astuces
• Serveur d’impression TRENDnet – TE100MP1UN

Surveillance des fichiers logs : Logwatch

Une première étape peut-être d’installer un logiciel qui va vérifier régulièrement vous envoyer un récapitulatif des différents fichiers logs contenus sur votre serveur afin de mieux cerner l’activité journalière de votre serveur. Dans ce domaine, j’aurais tendance à conseiller Logwatch. Il s’agit d’un analyseur de logs systèmes pour Unix qui vous enverra un mail chaque jour en vous précisant les différentes connexion ssh, ftp (qu’elles soient réussies que échouées). Cet utilitaire est d’autant plus intéressant qu’il est entièrement personnalisable.

L’installation est très simple. Sous Ubuntu :

>> apt-get install logwatch

La configuration est d’ailleurs tout aussi simple puisqu’il vous suffira de configurer les quelques paramètres dans le fichier se trouvant :

>> /usr/share/logwatch/default.conf

Et d’y repérer le fichier configuration nommé logwatch.conf. Dans ce fichier, pas grand chose à modifier pour que cela fonctionne :

# The default detail level for the report.
Detail = Med
#Default email to send the report
MailTo = you@yourdomain.net

Evidemment, ce ne sont que des choix personnels. N’hésitez pas à modifier ces lignes en fonction de vos besoins.

Monitoring de votre serveur – Surveillance charge

Pour ce faire, je ne vous conseillerais que Monit. En réalité, c’est le seul que je connais : je le trouve à la fois simple à configurer et fonctionnel.

>> apt-get install monit
>> nano /etc/default/monit

Modifiez l’option startup=1 (retirez le #).

Editons ensuite le fichier configuration :

>> nano /etc/monit/monitrc

Vous trouverez ici un fichier configuration exemple. Téléchargez le et modifiez le à votre guise en fonction de la configuration de votre serveur : exemple_configuration_monit. Pensez notamment à modifier la partie login/password pour vous connecter à l’interface web et pensez également à vérifiez le fonctionnement des ports des différents services en fonction de votre configuration. En effet, d’une machine à l’autre le port MySQL ou SSH ne sont pas les mêmes…

Vous pouvez rajouter tous les services que vous souhaitez surveiller. La syntaxe est assez abordable pour pouvoir être modifiée facilement. Il vous est également possible de faire vérifier la syntaxe de votre fichier configuration par Monit ; pour ce faire utilisez la commande suivante :

>> sudo /etc/init.d/monit syntax

Et, s’il vous dit que c’est correct. Vous pouvez ensuite lancer Monit :

>> sudo /etc/init.d/monit start

* Utilisez la commande monit -v pour vérifier l’état de Monit à tout moment.

Avec une configuration similaire à celle ci-dessus vous pouvez ensuite vous connecter à l’adresse suivante : http://domaine:8080. Vous devrez vous identifier avec le login/mdp que vous avez déclaré dans le fichier configuration. Au final, vous devriez voir un fenêtre semblable à celle-ci (volontairement pas la mienne) :

Connexions SSH & Envoi d’emails…

C’est votre serveur ? Mais d’autres potes ont l’habitude de s’y connecter pour partager leurs fichiers, s’occuper de leurs blogs etc… ?

Vous avez également la possibilité d’être prévenu par email dès qu’une connexion SSH à votre serveur a réussie. Cela peut-être intéressant de pouvoir suivre ces connexions sans avoir à décrypter les fichiers logs chaque jour. De plus, l’avantage de cette méthode et de pouvoir être prévenu en temps réel. Ainsi, si vous voyez par exemple l’un de vos potes se connecter de Taiwan (ou autre) alors qu’il habite dans la même rue que vous… Vous pouvez vous poser des questions sur la complexité de son MDP…

Pour ce faire, il vous suffit de créer un nouveau fichier appelé sshrc dans le dossier /etc/ssh/.

Dans ce fichier, collez-y ceci :

DATE=`date "+%d.%m.%Y--%Hh%Mm"`
IP=`echo $SSH_CONNECTION | awk '{print $1}'`
REVERSE=`dig -x $IP +short`

echo "User connected - User : $USER - IP: $IP - REVERSE: $REVERSE - Date: $DATE"
sendEmail -f root@votredomaine.net -t vous@votredomaine.net -u "User connecte sur $HOSTNAME" -m "Connexion sur Serveur de IP: $IP - Date: $DATE - User : $USER"

Vous serez alors averti par email à chaque connexion SSH !

Notez quand même que si vous avez beaucoup d’utilisateurs différents et des connexion régulières : il vous faudra ajouter une règle de filtrage dans votre client mail.

Si vous avez des questions, n’hésitez pas! :16:

• Une Clé SSH sous Windows avec PuTTY
• Serveur d’impression TRENDnet – TE100MP1UN
• La stéganographie ou comment échanger en toute sécurité ?