{"id":3790,"date":"2015-01-12T09:00:02","date_gmt":"2015-01-12T07:00:02","guid":{"rendered":"http:\/\/www.collet-matrat.com\/?p=3790"},"modified":"2015-01-12T08:34:53","modified_gmt":"2015-01-12T06:34:53","slug":"yubikey-securisez-vos-acces-ssh-sous-debian-avec-une-double-authentification-howto","status":"publish","type":"post","link":"https:\/\/www.collet-matrat.com\/?p=3790","title":{"rendered":"Yubikey : s\u00e9curisez vos acc\u00e8s SSH (sous Debian) avec une double authentification [HowTo]"},"content":{"rendered":"

\"Yubikey\"<\/a><\/p>\n

C'est d\u00e9sormais une certitude, les simples mots de passe ne sont plus suffisants pour assurer l'acc\u00e8s \u00e0 des services critiques. En ce qui me concerne j'utilise, d\u00e8s que cette option existe, le syst\u00e8me de double authentification (\"authentification \u00e0 facteurs multiples\"). Le principe est d'associer un mot de passe classique avec un deuxi\u00e8me identifiant \u00e0 usage unique. Beaucoup utilisent Google Authenticator<\/em>, ou bien la r\u00e9ception d'un SMS pour obtenir cette information.<\/p>\n

Il existe une solution un peu moins connue mais particuli\u00e8rement int\u00e9ressante :\u00a0 Yubikey<\/a>. Il s'agit d'une petite cl\u00e9 usb (cf. la photo d'illustration de ce billet) particuli\u00e8rement robuste, l\u00e9g\u00e8re et ne n\u00e9cessitant pas de pile. Il suffit de l\u2019ins\u00e9rer dans un port USB et d'appuyer sur le bouton central. La Yubikey se comporte alors comme un clavier (pas besoin de driver sp\u00e9cifique) et g\u00e9n\u00e8re automatiquement le code \u00e0 usage unique. Cette cl\u00e9 est vendue sur le net \u00e0 un tarif abordable (environ 23\u20ac sur Amazon<\/a>). Certaines soci\u00e9t\u00e9s (comme OVH,\u00a0 par exemple) ont adopt\u00e9 massivement ce dispositif afin de s\u00e9curiser l'acc\u00e8s \u00e0 leur syst\u00e8me d'information.<\/p>\n

J'utilise une Yubikey depuis quelques mois et je dois reconna\u00eetre que cette derni\u00e8re est particuli\u00e8rement pratique (pour s\u00e9curiser l'acc\u00e8s \u00e0 mon compte LastPass par exemple). J'ai \u00e9galement commenc\u00e9 \u00e0 s\u00e9curiser l'acc\u00e8s SSH de certains de mes serveurs avec ce dispositif et j'ai d\u00e9cid\u00e9 de cr\u00e9er ce how-to pour aider ceux qui souhaiteraient faire de m\u00eame.<\/p>\n

Comme d'habitude, ce tuto est bas\u00e9 sur Debian 7, mais il devrait \u00eatre assez facilement utilisable avec d'autres distributions.<\/p>\n

Avertissement important<\/strong> : durant toutes ces op\u00e9rations ne red\u00e9marrez pas le service SSH (ni votre serveur), vous risqueriez de ne plus pouvoir vous connecter ! Une fois la configuration achev\u00e9e (et le service SSH relanc\u00e9) conservez votre session SSH ouverte et testez en lan\u00e7ant une nouvelle connexion en parall\u00e8le : si les choses tournent mal (connexion impossible) vous conserverez ainsi un acc\u00e8s \ud83d\ude42<\/p>\n

La premi\u00e8re op\u00e9ration \u00e0 r\u00e9aliser est d'installer la librairie PAM pour Yubico\/Ybikey<\/p>\n

apt-get install libpam-yubico<\/p><\/blockquote>\n

Il faut ensuite cr\u00e9er le fichier qui va contenir la liste des Yubikey habilit\u00e9es \u00e0 se connecter avec un compte utilisateur donn\u00e9<\/p>\n

mkdir ~\/.yubico
\nvim ~\/.yubico\/authorized_yubikeys<\/p><\/blockquote>\n

Pour m\u00e9moire le \"~\" repr\u00e9sente le home directory de l'utilisateur actuellement connect\u00e9. Si vous \u00eates connect\u00e9 en root, le fichier sera donc cr\u00e9\u00e9 dans \"\/root\/.yubic\/authorized_yubikeys<\/em>\"<\/p>\n

et d'y placer la liste des Yubikey autoris\u00e9es \u00e0 se connecter de la fa\u00e7on suivante<\/p>\n

username:token_ID<\/p><\/blockquote>\n

Le username<\/em> correspond \u00e0 votre login Unix (root par exemple) et le token_ID<\/em> peut \u00eatre r\u00e9cup\u00e9r\u00e9 \u00e0 cette adresse<\/a>.<\/p>\n

Rendez-vous sur cette page<\/a>, ins\u00e9rez votre Yubikey sur un port USB, s\u00e9lectionnez \"OTP\" (1) dans \"source format\" et g\u00e9n\u00e9rez une cl\u00e9 en appuyant sur le bouton de votre cl\u00e9 (2).<\/p>\n

\"yubi_screen1\"<\/a><\/p>\n

Vous obtiendrez en retour une \"input string<\/em>\" compos\u00e9 de 12 caract\u00e8res et commen\u00e7ant par 6 fois la lettre \"c\". De la forme \"ccccccabcdef<\/em>\". Cette chaine est votre \"token_ID\". Ajuster le fichier \"authorized_yubikeys<\/em>\" avec cette valeur. On obtient donc quelque chose comme \"root:ccccccabcdef<\/em>\".<\/p>\n

\"yubi_screen2\"<\/a><\/p>\n

Si vous devez donner l'acc\u00e8s \u00e0 plusieurs Yubikey pour le m\u00eame login vous pouvez accumuler les Token_ID avec quelque chose du type \"root:token_yubikey1:token_yubikey2...<\/em>\"<\/p>\n

On \u00e9dite ensuite le fichier<\/p>\n

\/etc\/pam.d\/sshd<\/p><\/blockquote>\n

Ajoutez la ligne suivante apr\u00e8s \"@include common-auth<\/em>\"<\/p>\n

auth required pam_yubico.so id=16<\/p><\/blockquote>\n

Si vous pr\u00e9f\u00e9rez devoir g\u00e9n\u00e9rer votre code \u00e0 usage unique avant d'avoir \u00e0 mentionner votre mot de passe placez cette ligne avant \"@include common-auth<\/em>\" (\u00e0 vous de d\u00e9cider ce que vous souhaitez faire).<\/p>\n

\u00c9ditez ensuite le fichier<\/p>\n

\/etc\/ssh\/sshd_config<\/p><\/blockquote>\n

Afin de modifier la directive suivante<\/p>\n

ChallengeResponseAuthentication yes<\/p><\/blockquote>\n

Red\u00e9marrez SSH<\/p>\n

\/etc\/init.d\/ssh restart<\/p><\/blockquote>\n

Essayez d'ouvrir une nouvelle session (conservez la session en cours active - on ne sait jamais ...). Vous devriez obtenir \u00e7a<\/p>\n

\"yubi_screen3\"<\/a><\/p>\n

 <\/p>\n