Hub de Connaissances DevOps
Hub de Connaissances DevOps

Maîtriser l'Agent SSH et le Transfert d'Agent pour une Authentification Transparente

Débloquez l'efficacité de vos flux de travail à distance en maîtrisant la gestion des clés SSH. Ce guide détaille comment utiliser `ssh-agent` pour stocker en toute sécurité les clés protégées par une phrase secrète en mémoire, éliminant ainsi les invites d'authentification répétitives. Apprenez les étapes pratiques pour activer le transfert de l'agent SSH (`-A`) afin d'obtenir une authentification multi-sauts sécurisée et sans mot de passe à travers les serveurs sans jamais exposer vos clés privées en dehors de votre machine locale.

44 vues

Maîtriser SSH Agent et le transfert d'agent pour une authentification transparente

Secure Shell (SSH) est l'épine dorsale de l'administration à distance sécurisée, reposant fortement sur l'authentification par clé pour une sécurité robuste. Cependant, la gestion de plusieurs clés SSH, chacune protégée par une phrase secrète, peut devenir fastidieuse, nécessitant une saisie répétée des secrets. Cet article sert de guide complet pour optimiser ce flux de travail en maîtrisant l'utilitaire ssh-agent et son puissant homologue, le transfert d'agent SSH. En exploitant ces outils, vous pouvez obtenir une authentification véritablement transparente et sans mot de passe dans des environnements distants complexes et multi-sauts tout en maintenant des normes de sécurité élevées.

Comprendre SSH Agent : Le gardien des clés

Le ssh-agent est un programme d'arrière-plan qui conserve en toute sécurité vos clés SSH privées en mémoire, déchiffrées et prêtes à l'emploi. Au lieu de vous obliger à saisir votre phrase secrète à chaque connexion à un serveur distant, vous ne la saisissez qu'une seule fois lors de l'ajout de la clé à l'agent. Cela améliore considérablement l'efficacité du flux de travail sans sacrifier la sécurité fournie par la protection par phrase secrète.

Démarrer et gérer SSH Agent

Le processus de démarrage de l'agent et de mise à disposition de son socket pour votre session shell est crucial. Sur la plupart des systèmes Linux et macOS modernes, l'agent est souvent démarré automatiquement par les scripts d'initialisation du système ou par votre environnement de bureau.

Si vous devez le démarrer manuellement, utilisez la séquence de commandes suivante. Cela garantit que les variables d'environnement nécessaires (SSH_AUTH_SOCK et SSH_AGENT_PID) sont correctement définies pour votre session shell actuelle :

# Démarrer l'agent et afficher les variables d'environnement nécessaires
eval "$(ssh-agent -s)"

Ajouter des clés à l'agent

Une fois l'agent en cours d'exécution, vous utilisez la commande ssh-add pour charger vos clés privées dans sa mémoire. Si votre clé est protégée par une phrase secrète, il vous sera demandé de la saisir maintenant.

Exemple : Ajout d'une clé par défaut (par exemple, ~/.ssh/id_rsa)

ssh-add
# Entrez la phrase secrète pour /home/user/.ssh/id_rsa : [Entrez la phrase secrète ici]
Identité ajoutée : /home/user/.ssh/id_rsa (/home/user/.ssh/id_rsa)

Exemple : Ajout d'un fichier de clé spécifique

ssh-add ~/.ssh/ma_cle_projet

Vérifier les clés chargées

Vous pouvez vérifier quelles clés l'agent gère actuellement en utilisant l'indicateur -l :

ssh-add -l
# Exemple de sortie :
2048 SHA256:abcdef1234567890... user@localbox (RSA)

Bonne pratique : Protégez toujours vos clés privées avec des phrases secrètes fortes. L'agent ne nécessite la phrase secrète qu'une seule fois par session ; il ne supprime pas la protection de sécurité sous-jacente du fichier de clé lui-même.

Démystification du transfert d'agent SSH

Le transfert d'agent est une fonctionnalité puissante qui vous permet d'utiliser les clés chargées dans votre ssh-agent local pour vous authentifier auprès d'un deuxième hôte distant auquel vous vous connectez depuis le premier hôte distant.

Ceci est essentiel pour les flux de travail multi-sauts, tels que la connexion depuis votre machine locale à un serveur Bastion (ou serveur de saut), puis la connexion depuis ce serveur Bastion à un serveur interne protégé (l'hôte cible).

Comment fonctionne le transfert d'agent

Lorsque vous vous connectez à l'hôte A avec le transfert d'agent activé, SSH crée un socket spécial de domaine UNIX sur l'hôte A. Ce socket agit comme un proxy. Lorsque vous essayez de vous connecter SSH depuis l'hôte A à l'hôte cible B, le client SSH de l'hôte A transfère la demande d'authentification via ce socket proxy vers le ssh-agent en cours d'exécution de votre machine locale. L'agent gère le défi cryptographique à l'aide de votre clé privée stockée et renvoie le signal de succès, complétant ainsi l'authentification vers l'hôte B.

Crucialement, votre clé privée ne quitte jamais votre machine locale, garantissant ainsi que la clé reste sécurisée sur votre poste de travail.

Activation du transfert d'agent

Pour activer le transfert d'agent lors de la connexion à un hôte distant, utilisez l'indicateur -A avec la commande ssh :

ssh -A utilisateur@serveur-bastion

Alternativement, vous pouvez le configurer de manière permanente dans votre fichier de configuration SSH (~/.ssh/config) :

Hôte serveur-bastion
    HôteNom 192.168.1.100
    Utilisateur monutilisateur
    TransfertAgent oui

Tester le transfert d'agent

Après vous être connecté avec succès au serveur bastion avec le transfert activé, testez si le socket de l'agent est disponible sur la machine distante. Vous pouvez vérifier la présence de la variable d'environnement SSH_AUTH_SOCK ou utiliser ssh-add -l sur la machine distante :

Sur le serveur Bastion :

# Vérifier si les clés sont transférées (l'agent exécuté localement devrait répondre)
ssh-add -l
# En cas de succès, vous verrez les clés gérées par votre agent LOCAL.

Vous pouvez maintenant vous connecter SSH depuis le serveur bastion vers l'hôte cible interne en utilisant l'authentification par clé, sans que le fichier de clé privée ne soit jamais présent sur le serveur bastion :

Sur le serveur Bastion :

ssh utilisateur@serveur-cible
# L'authentification s'effectue de manière transparente à l'aide de votre clé locale via le socket d'agent transféré.

Considérations de sécurité pour le transfert d'agent

Bien qu'incroyablement pratique, le transfert d'agent introduit une considération de sécurité qui nécessite la vigilance de l'utilisateur.

AVERTISSEMENT DE SÉCURITÉ : Lorsque le transfert d'agent est actif sur un hôte distant (Hôte A), tout utilisateur ayant un accès root ou la capacité d'exécuter des commandes en tant que root sur l'Hôte A peut potentiellement utiliser votre socket d'agent transféré pour s'authentifier en votre nom auprès d'autres serveurs accessibles par l'Hôte A. Vos clés sont disponibles tant que votre session SSH sur l'Hôte A est active.

Stratégies d'atténuation

  1. Utiliser ForwardAgent no par défaut : N'activez le transfert (-A) que lorsque vous en avez explicitement besoin pour un scénario multi-sauts.
  2. Limiter le transfert dans ~/.ssh/config : N'activez le transfert que pour les serveurs de saut de confiance.
    ssh-config Hôte saut-de-confiance TransfertAgent oui Hôte serveur-non-fiable TransfertAgent non
  3. Utiliser des agents restreints (facultatif) : Pour des besoins de sécurité extrêmement élevés, vous pouvez utiliser ssh-add -c, qui vous demande une confirmation avant que l'agent ne libère le matériel de la clé pour une tentative d'authentification. Cela fournit une étape de confirmation secondaire, même lorsque le transfert est actif.

Gérer le cycle de vie de l'agent

Il est de bonne pratique de gérer le cycle de vie de votre agent, surtout lorsqu'il est fait manuellement. Lorsque vous fermez votre session de terminal, l'agent peut continuer à s'exécuter en arrière-plan, consommant des ressources et laissant potentiellement le socket actif.

Supprimer des clés

Pour supprimer une clé spécifique de la mémoire de l'agent :

ssh-add -d ~/.ssh/ma_cle_projet

Pour supprimer toutes les clés de l'agent :

ssh-add -D

Arrêter l'agent

Pour terminer le processus de l'agent et effacer toutes les clés chargées de la mémoire :

ssh-agent -k

Cette commande tue le processus de l'agent et nettoie généralement les variables d'environnement associées, mettant fin à la session des clés détenues.

Conclusion

La combinaison de ssh-agent et du transfert d'agent (-A) transforme la gestion des clés SSH d'une corvée répétitive en une partie fluide et sécurisée de votre flux de travail. En chargeant vos clés avec phrase secrète une seule fois dans l'agent, vous permettez une authentification transparente et sécurisée sur l'ensemble de votre infrastructure, y compris les configurations complexes de serveurs de saut. N'oubliez pas de toujours faire preuve de prudence lors de l'activation du transfert d'agent, en vous assurant de faire confiance à l'hôte distant où réside le socket de transfert, afin de maintenir le plus haut niveau de sécurité sur vos identifiants.