29.3. Configuration d'un serveur OpenSSH pour l'authentification par clé

Pour améliorer la sécurité du système, appliquez l'authentification par clé en désactivant l'authentification par mot de passe sur votre serveur OpenSSH.

Conditions préalables

  • Le paquet openssh-server est installé.
  • Le démon sshd est en cours d'exécution sur le serveur.

Procédure

  1. Ouvrez la configuration de /etc/ssh/sshd_config dans un éditeur de texte, par exemple : 

    # vi /etc/ssh/sshd_config

  2. Remplacer l'option PasswordAuthentication par no: 

    PasswordAuthentication no

    Sur un système autre qu'une nouvelle installation par défaut, vérifiez que PubkeyAuthentication no n'a pas été défini et que la directive KbdInteractiveAuthentication est définie sur no. Si vous êtes connecté à distance, sans utiliser la console ou l'accès hors bande, testez le processus de connexion par clé avant de désactiver l'authentification par mot de passe.

  3. Pour utiliser l'authentification par clé avec les répertoires personnels montés sur NFS, activez le booléen SELinux use_nfs_home_dirs: 

    # setsebool -P use_nfs_home_dirs 1

  4. Rechargez le démon sshd pour appliquer les modifications : 

    # systemctl reload sshd

Ressources supplémentaires

  • sshd(8), sshd_config(5) et setsebool(8).