GNU/Linux >> Tutoriels Linux >  >> Panels >> cPanel

Comment ajouter une clé SSH pour l'accès cPanel SSH

En tant qu'utilisateur de cPanel, vous devrez souvent gérer votre site Web ou vos fichiers d'application via SSH ou FTP.

Voici un moyen de le faire en toute sécurité grâce à la fonctionnalité de clé SSH fournie nativement avec cPanel.

La première question est probablement la suivante :pourquoi appliquer l'authentification par clé au lieu de l'authentification normale par mot de passe pour ces tâches ?

Les mots de passe restent la forme d'authentification en ligne la plus utilisée.

C'est principalement parce qu'ils sont simples et peu coûteux à mettre en œuvre sur la plupart des infrastructures.

Cependant, il est généralement admis que les mots de passe sont le maillon le plus faible et la forme de protection la plus médiocre en matière de sécurité en ligne.

Et à mesure que la technologie évolue, les outils mis à la disposition des pirates et des intrus malveillants pour pirater vos informations d'identification en ligne évoluent également pour gagner en rapidité et en sophistication.

Le problème est également aggravé par le fait que les utilisateurs ont souvent la possibilité de créer leurs propres mots de passe lors de la création de nouvelles identités en ligne.

Les humains ne sont pas connus comme les créatures les plus patientes de la nature et, par conséquent, ils optent souvent pour des mots de passe facilement devinables et piratables.

C'est pourquoi chaque fois qu'il y a un vidage de mot de passe, vous constaterez souvent que les mots de passe les plus couramment utilisés sont "mot de passe", "1234", "dates de naissance" ou "pass".

La plupart des gens réutiliseront également le même mot de passe pour plusieurs sites.

Ainsi, lorsqu'un site est compromis, il en va de même pour tous les autres sites Web sur lesquels l'utilisateur a un compte.

En tant qu'utilisateur de cPanel, que devez-vous alors utiliser pour l'authentification SFTP/SSH – clés SSH ou mots de passe ?

Bien sûr, la réponse sera un SSH basé sur une clé.

Les clés SSH sont un excellent moyen de rester en sécurité à condition que vous utilisiez les meilleures pratiques pour les générer, les stocker, les gérer et les supprimer.

Bien que vous puissiez certainement utiliser l'authentification par mot de passe pour SSH, cela ne protège pas contre les mots de passe faibles, même lorsqu'ils sont chiffrés sur le réseau.

Si un utilisateur malveillant est capable de deviner ou d'obtenir votre mot de passe d'un utilisateur légitime, l'utilisateur malveillant peut alors s'authentifier et se faire passer pour vous.

Sur notre plate-forme d'hébergement Web, nous n'autorisons pas l'authentification par mot de passe SSH.

Il y a plusieurs avantages à cela parmi lesquels :

  • les pirates malveillants ne peuvent pas forcer la connexion par clé
  • dans le cas où un serveur serait compromis, un attaquant malveillant ne pourra pas accéder à votre serveur même s'il a pris le contrôle du mot de passe.
  • et comme aucun mot de passe n'est requis lors de la connexion, vous pouvez vous connecter aux serveurs à partir de scripts ou d'outils d'automatisation que vous devez exécuter sans surveillance.

Au lieu de cela, nous attendons des clients qui souhaitent utiliser SFTP/SSH qu'ils utilisent l'authentification par clé publique.

Avec SSH, une clé cryptographique composée de deux parties est générée :

  • une clé privée généralement nommée id_rsa qui est stockée sur votre ordinateur local.
  • une clé publique généralement nommée id_rsa.pub qui sera placée sur le serveur auquel vous vous connecterez.

Ce didacticiel est destiné à vous montrer à quel point il est facile de le faire.

Comment générer votre clé et l'ajouter à CPanel

Mac

Ouvrez votre Terminal.

Collez quelque chose comme le texte ci-dessous :

$ ssh-keygen -t rsa -b 4096 -C "$identifier"

où $identifier est soit votre adresse e-mail, soit autre chose.

Lorsque vous êtes invité à "Entrer un fichier dans lequel enregistrer la clé", appuyez sur Entrée.

Ceci accepte l'emplacement de fichier par défaut.

À l'invite, saisissez une phrase de passe sécurisée.

Créez maintenant un fichier ~/.ssh/config pour charger automatiquement les clés dans l'agent ssh et stocker les phrases secrètes dans votre trousseau.

touch ~/.ssh/config

Démarrez l'agent ssh en arrière-plan.

$ eval "$(ssh-agent -s)"

Modifiez le fichier que vous avez créé précédemment :

cd .ssh && vi ~/.ssh/config

Ajoutez ceci au fichier :

Host *

  AddKeysToAgent yes

  UseKeychain yes

  IdentityFile ~/.ssh/id_rsa

Ajoutez votre clé privée SSH à l'agent ssh et stockez votre phrase secrète dans le trousseau.

$ ssh-add -K ~/.ssh/id_rsa

Confirmez l'existence de la clé :

$ ls -al ~/.ssh

Copiez maintenant la clé publique générée que vous ajouterez au serveur cPanel :

$ cat .ssh/id_rsa.pub

Windows

Windows a un flux de travail différent, mais ceux-ci vous aideront :

Générer une paire de clés avec PuTTY

Téléchargez PuTTYgen (puttygen.exe) et PuTTY (putty.exe) depuis le site officiel à l'adresse http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html.

Lancez puttygen.exe.

Le type de clé RSA en bas de la fenêtre est sélectionné par défaut pour une paire de clés RSA, mais ED25519 (EdDSA utilisant Curve25519) est une option comparable si le serveur SSH de votre ordinateur distant prend en charge les signatures DSA.

Augmentez la taille de la clé RSA de 2048 bits à 4096 et cliquez sur Générer

PuTTY utilise l'entrée aléatoire de votre souris pour générer une clé unique.

Une fois la génération de clé commencée, continuez à déplacer votre souris jusqu'à ce que la barre de progression soit remplie.

Une fois terminé, PuTTY affichera la nouvelle clé publique.

Faites un clic droit dessus et sélectionnez Tout sélectionner, puis copiez la clé publique dans un éditeur de texte :Sublime Text , atome ou même Bloc-notes .

Enregistrez la clé publique en tant que fichier .txt .

Ceci est important car un format de texte enrichi tel que .rtf ou .doc peut ajouter des caractères de formatage supplémentaires et votre clé privée ne fonctionnera pas.

Saisissez une phrase secrète pour la clé privée dans les champs de texte Phrase secrète de la clé et Confirmer la phrase secrète.

Cliquez sur Enregistrer Clé privée.

Choisissez un nom de fichier et un emplacement dans l'Explorateur tout en conservant l'extension de fichier .ppk.

Souvenez-vous de l'emplacement du fichier de clé privée pour une utilisation future.

Si vous envisagez de créer plusieurs paires de clés pour différents serveurs, assurez-vous de leur donner des noms différents afin de ne pas remplacer les anciennes clés par les nouvelles.

Convertir la clé publique au format OpenSSH

Ouvrez maintenant votre clé privée dans PuTTYGen.

Cliquez sur Charger .

Sélectionnez votre clé privée qui se termine par .ppk puis cliquez sur "Ouvrir ”.

Regardez le menu du haut et sélectionnez "Conversions ” -> “Exporter la clé OpenSSH” .

Enregistrez la nouvelle clé OpenSSH lorsque vous y êtes invité.

La clé publique sera sous clé publique pour être collée dans cPanel.

New Windows a une meilleure approche à ce sujet et vous voudrez peut-être jeter un coup d'œil aux liens suivants :

  • https://winscp.net/eng/docs/guide_windows_openssh_server
  • https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_keymanagement
  • https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_overview
  • https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_install_firstuse

Une fois que vous avez généré vos clés, connectez-vous à cPanel

Faites défiler jusqu'à Sécurité>> Accès SSH .

Pour importer une clé SSH existante, procédez comme suit :

Cliquez sur Gérer les clés SSH .

Cliquez sur Importer la clé et copiez l'id_rsa.pub que vous avez généré.

Pour utiliser un nom de clé personnalisé, saisissez le nom de la clé dans le champ Choisir un nom pour cette clé (par défaut, id_dsa) zone de texte.

Collez les clés publique et privée dans les zones de texte appropriées.

Cliquez sur Importer .

Vous devez autoriser de nouvelles clés avant de tenter de les utiliser.

Alors revenez en arrière et cliquez sur Gérer pour gérer l'autorisation de la clé. Une nouvelle interface apparaîtra.

Cliquez sur Autoriser pour autoriser la clé ou Annuler l'autorisation lorsque vous devez révoquer l'autorisation pour la clé.

Protéger vos clés publiques SSH :

  • si vous êtes une organisation ou partagez des identifiants SSH avec d'autres personnes ou quelqu'un d'autre, disposez d'un moyen centralisé de gérer toutes vos clés SSK.
  • phrasez vos clés et n'utilisez pas la même phrase secrète avec plusieurs clés (chaque clé accordant l'accès à un serveur différent).
  • effectuer une rotation active des clés SSH en forçant les utilisateurs à générer des clés régulièrement.
  • ne partagez jamais une clé privée entre des appareils physiques.
  • si possible, associez chaque clé SSH à une personne, plutôt qu'à un compte accessible à plusieurs utilisateurs.
  • utiliser un hôte bastion. Les hôtes bastion vous permettent de créer une règle de pare-feu qui n'autorise le trafic SSH que vers une seule instance.
  • configurez des alertes pour vous avertir lorsque certains SSH ou se connectent avec succès.

Vous avez du mal avec la gestion des clés ?

Ces outils ci-dessous facilitent la gestion des clés SSH.

Ils vous donneront sûrement un moyen de consolider et d'accéder en toute sécurité à vos systèmes, applications, réseaux et serveurs de fichiers, quels que soient la plate-forme, le protocole, le fournisseur ou l'emplacement.

  • Utiliser :https://userify.com
  • Jumpcloud :https://jumpcloud.com/
  • CyberArk :https://www.cyberark.com/
  • Au-delà de la confiance :https://www.beyondtrust.com/
  • Gestionnaire de clés universel SSH :http://www.ssh.com/
  • Boîte à clés :http://sshkeybox.com

En ce qui concerne vos actifs numériques (site Web, bases de données, crypto-monnaies, etc.), l'utilisation d'un mot de passe doit être considérée comme une porte d'entrée vers un bar communautaire.

Cependant, les recommandations ci-dessous peuvent être considérées comme les meilleures pratiques en matière de mots de passe et peuvent contribuer à atténuer les risques liés aux mots de passe :

Bonnes pratiques en matière de mot de passe

  • n'utilisez aucune information d'identification personnelle dans le cadre de votre mot de passe :le vôtre, le nom de votre conjoint, celui d'un autre proche, d'un enfant, d'un ami ou d'un animal de compagnie, votre date de naissance, votre numéro de plaque d'immatriculation, votre numéro de téléphone, votre numéro de sécurité sociale, la marque de votre automobile, adresse du domicile, etc.
  • n'utilisez pas un mot contenu dans des dictionnaires anglais ou étrangers, des listes d'orthographe, des listes d'acronymes ou d'abréviations ou d'autres listes de mots.
  • ne partagez pas votre mot de passe avec une autre personne pour quelque raison que ce soit.
  • n'écrivez pas vos mots de passe sur papier.
  • ne réutilisez pas le même mot de passe (ou similaire) sur deux sites Web.
  • assurez-vous que le mot de passe que vous utilisez ou générez contient des caractères à casse mixte, des caractères/symboles non alphabétiques et qu'il comporte au moins 20 caractères.
  • prenez l'habitude d'utiliser l'authentification à deux facteurs avec tout mot de passe dont vous disposez.
  • et périodiquement ou tous les 90 à 120 jours, modifiez chaque mot de passe que vous possédez.

cPanel

  1. Comment accéder à la messagerie Web via cPanel

  2. Comment configurer les clés SSH à l'aide de cPanel

  3. Générer une clé privée et publique dans cPanel pour l'accès SSH

  4. Comment accéder à cPanel

  5. comment créer une clé ssh pour un autre utilisateur ?

Comment accéder à phpMyAdmin dans cPanel ?

Comment me connecter à mon compte cPanel via SSH ?

Comment ajouter une clé publique SSH au serveur

Comment ajouter ma clé SSH à Github/Bitbucket ?

Comment ajouter une clé SSH au code VS et se connecter à un hôte

Comment ajouter une protection par mot de passe pour un répertoire à l'aide de cPanel