ssh sans passord

D'après :
http://lea-linux.org/cached/index/Reseau-secu-ssh.html#

Création de paire de clefs

Ssh s'appuie sur des algorithmes à paire de clefs, ce qui signifie que vous disposez d'une clef publique, disponible pour tout un chacun et une clef privée dont vous gardez jalousement l'entrée. Ce système va nous permettre de nous identifier auprès des hôtes que nous désirons contacter. Il nous faut au préalable créer le trousseau.

$ ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/jop/.ssh/id_dsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/jop/.ssh/id_dsa.
Your public key has been saved in /home/jop/.ssh/id_dsa.pub.
The key fingerprint is:
4a:0b:3b:eb:ed:05:47:56:cb:23:28:d3:d7:81:69:08

$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/jop/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/jop/.ssh/id_rsa.
Your public key has been saved in /home/jop/.ssh/id_rsa.pub.
The key fingerprint is:
52:65:28:9a:8b:64:cb:b7:6e:70:75:10:d9:0a:01:d9

Pour les deux algorithmes (dsa, rsa), le système nous demande dans quel fichier nous désirons sauvegarder la clef. Les fichiers par défaut semblent une bonne solution. Par la suite, une passphrase nous est demandée. Celle-ci est un « mot de passe amélioré », car non limité à un mot ou une petite suite de caractères. Il faut cependant prendre des précautions, car en cas de perte de la passphrase, vous ne pourriez plus vous authentifier en tant que propriétaire authentique.

[modifier]

Connexion par paires de clef

Puisque nous utilisons des algorithmes à paire de clefs (rsa, dsa), c'est à dire composée d'une clef secrète et d'une clef publique, il faut bien que cela nous serve à quelque chose. Nous allons donc automatiser la connexion. Pour ce faire, votre hôte contient un fichier authorized_keys dans le répertoire .ssh où vous vous connectez (en général un home directory). Il suffit de copier l'identifiant ou les identifiants de vos clefs publiques pour que vous soyez reconnu du serveur.

Attention, il faut que PubkeyAuthentication soit positionné à yes dans vos fichiers de configuration.
Pour insérer ma clef, j'ai plusieurs méthodes à ma disposition. Je peux employer des moyens conventionnels tels que le ftp ou le mail (à l'administrateur par exemple), ou je peux le faire au moyen d'outil sécurisé. Puisque c'est notre sujet, profitons en pour donner un exemple de scp sur lequel nous reviendrons ultérieurement.

$scp .ssh/id_dsa.pub jop@scipc-jpg:/home/jop/.ssh/dsa2connex
Warning: Permanently added 'scipc-jpg' (RSA) to the list of known hosts.
jop@scipc-jpg's password:
id_dsa.pub 100% |*****************************| 613 00:00

Mon fichier est maintenant copié sur l'hôte distant, il me reste à inclure la clef dant le fichier authorized_keys. Une simple commande suffira :

$ cat dsa2connex >>authorized_keys

Je peux maintenant me connecter, l'hôte distant me reconnaît. Je peux me connecter sans mot de passe et avec une passphrase si j'en ai désiré une.

[modifier]

Disques durs : le clic de la mort

Source : http://www.silicon.fr/fr/news/2008/09/30/disques_durs___le_clic_de_la_mort

Disques durs : le clic de la mort

30-09-2008

Par David Feugey

---

Une inadéquation entre certaines fonctions des systèmes d’exploitation et des disques durs pourrait réduire leur durée de vie à seulement quelques mois. Explication et solution

Certains disques durs modernes (en particulier ceux des ordinateurs portables) disposent de techniques d’économie d’énergie agressives. Après seulement quelques secondes d’inactivité, les têtes de lecture se rangent automatiquement, ce qui peut limiter les risques de pertes de données en cas de chute. Au besoin, le disque sera ensuite complètement arrêté.

Problème, les systèmes d’exploitation modernes, tels Windows, Mac OS X ou Linux, tiennent un journal (log) des opérations en cours. L’accès à ce journal s’effectue toutes les 10 secondes environ. Conséquence ? Les têtes du disque dur font des allers/retours réguliers entre leur position de « parking » et les plateaux du disque. Ce mouvement s’accompagne d’un petit clic caractéristique, particulièrement audible sur les modèles destinés aux ordinateurs portables.

Évidemment, ce phénomène ne se produit pas quand le système d’exploitation est en pleine activité, le disque dur n’ayant alors pas le temps d’activer ses fonctions d’économie d’énergie. Notez également que tous les disques ne sont pas concernés par ce problème. Ceux dont le temps avant mise au repos des têtes de lecture se révèle supérieur à celui compris entre deux écritures du journal, n’ont jamais l’occasion de ranger les têtes.

Une durée de vite fortement réduite

Tout ceci serait sans conséquence, si les disques durs pouvaient supporter un nombre illimité de ces cycles. Malheureusement, la plupart sont garantis pour un maximum d’environ 600.000 cycles. Considérons un PC de bureau, allumé 10 heures par jour (en comptant la pause déjeuner) : il sera actif 6 heures par jour, 5 jours sur 7. Dans ces conditions, le disque dur aura franchi la barrière des 600.000 cycles en moins de 16 mois (congés compris).

Le cas des serveurs web est encore plus critique. Ceux qui desservent pour l’essentiel des pages statiques (lesquelles demeurent en mémoire) ont une activité disque qui peut descendre en dessous des 50 %. La durée de vie de l’unité de stockage peut alors chuter à des valeurs dramatiques : seulement 4 mois et demi !

Connaissant ce problème, pourquoi les constructeurs ne corrigent pas le tir ?

Notre solution, pour Windows et Linux

Nous avons cherché la solution la plus facile à appliquer pour contrer ce problème (qui sera moins radicale que de couper les services de log). Sous Linux, la commande « hdparm » permet de fixer les paramètres d’économie d’énergie du disque. La valeur peut être comprise entre 1 et 255. Plus elle est grande et plus important sera le temps avant la mise au repos des têtes de lecture.

Une valeur de 200 résout la plupart des soucis. Il est toutefois plus logique – avec les systèmes d’exploitation actuels – de couper purement et simplement cette fonctionnalité via la commande « hdparm -B 254 ». Nous n’utilisons pas la valeur 255, car avec certains disques elle revient à réinitialiser l'unité à son réglage d’origine. Un « hdparm -I » permet de vérifier que la valeur a bien été prise en compte.

« hdparm » existe également en version Windows. Le problème est toutefois plus épineux, car le script qui vous permettra de fixer les bons paramètres à chaque démarrage (ou sortie de veille) doit être exécuté en mode administrateur. Sous Vista cela nécessite une intervention de la part de l’utilisateur, à chaque lancement du script. Un jeune programmeur de 22 ans, qui officie sous le pseudonyme de Tsukasa, propose une solution : un service pour Windows, qui relance le paramétrage du disque, dès que nécessaire.