TP : Configurer une connexion SSH par clés

Configuration SSH sécurisée par clés entre un client Windows et un serveur Linux

---

Objectifs du TP :

• Configurer une connexion SSH sécurisée par clés entre un client Windows (CLIENT) et un serveur Debian Linux (LX01).
• Appliquer des mesures de durcissement SSH :
  • Autoriser uniquement certains utilisateurs (AllowUsers).
  • Changer le port par défaut de SSH.
  • Désactiver la connexion par mot de passe.
• Configurer PuTTY/KiTTY sur Windows pour une connexion simplifiée via un profil.

---

Contexte technique

Réseau Local (LAN)

• CLIENT (Windows 11) : 10.10.10.10/24
• LX01 (Debian Linux) : 10.10.10.200/24
• PF (pare-feu DynFi, passerelle) : 10.10.10.1/24

Accès à l'interface Web du pare-feu DynFi depuis CLIENT (root/dynfi) :
https://10.10.10.1

---

Déroulé du TP

Étape 1 : Vérification initiale

• Depuis CLIENT, vérifiez la connectivité vers LX01.

Étape 2 : Génération des clés SSH (CLIENT)

• Depuis le terminal Windows, générez une paire de clés SSH.
• Une passphrase est recommandée mais facultative.

Étape 3 : Copie de la clé publique vers LX01

• Depuis CLIENT, copiez la clé publique vers LX01 (compte adminweb).

Étape 4 : Test de la connexion SSH par clé

• Testez la connexion SSH avec clés depuis CLIENT.
• Vérifiez que vous êtes connectés sans saisir de mot de passe.

Étape 5 : Durcissement SSH sur LX01

• Modifiez le fichier /etc/ssh/sshd_config sur LX01 pour appliquer les changements suivants :
  • Changer le port SSH (62345)
  • Désactiver la connexion root directe.
  • Désactiver l'authentification par mot de passe.
  • Autoriser uniquement l'utilisateur adminweb.
• Redémarrez le service SSH.

Étape 6 : Validation des modifications

• Depuis CLIENT, testez la connexion SSH sécurisée en utilisant le nouveau port.
• Vérifiez que la connexion par mot de passe est impossible.

Étape 7 : Configuration PuTTY/KiTTY

• Sur CLIENT, convertissez la clé privée au format requis par PuTTY/KiTTY.
• Créez un profil PuTTY/KiTTY en indiquant :
  • IP de LX01.
  • Nouveau port SSH.
  • Authentification par clé privée.
• Sauvegardez le profil.

Étape 8 : Test final

• Connectez-vous à LX01 en utilisant le profil configuré sur PuTTY/KiTTY.

---

Validation et Livrable

À l'issue de ce TP :

• Fournissez un rapport succinct expliquant les étapes réalisées et incluant :
  • Un schéma réseau (diagrams.net - banque d'icônes "citrix legacy" ou "IBM")
  • Une connexion SSH réussie par clé depuis CLIENT vers LX01 (terminal et PuTTY/KiTTY).
  • Que la connexion par mot de passe est bien désactivée.
  • Que seul l'utilisateur adminweb est autorisé à se connecter.

---