Tutoriel 📝 Déploiement de clés d'accès physiques pour les administrateurs sous Linux

[Sylvain*]

Déploiement de clés d'accès physiques pour les administrateurs sous Linux

Introduction

• Ce tutoriel décrit comment sécuriser les comptes administrateurs sous Linux avec des clés d’authentification physiques comme YubiKey.

• L’objectif est d’empêcher l’accès non autorisé en exigeant une clé matérielle pour les connexions SSH ou locales.

---

Prérequis

• Un système sous Ubuntu, Debian ou CentOS.

• Une clé de sécurité compatible (YubiKey, SoloKey).

• Un accès root ou sudo.

---

Méthodologie

• Méthode 1 : Intégration avec PAM pour restreindre l’accès local.

• Méthode 2 : Configuration avec SSH pour protéger les connexions distantes.

---

Étapes pour chaque méthode

Méthode 1 : Utilisation de PAM pour l’authentification locale

Installer le module PAM pour YubiKey :

sudo apt install libpam-yubico -y

Associer la clé au compte administrateur :

mkdir -p ~/.yubico && echo "clé_publique" > ~/.yubico/authorized_yubikeys

Modifier PAM pour exiger une clé YubiKey :

sudo nano /etc/pam.d/common-auth

Ajouter la ligne suivante :

auth required pam_yubico.so id=16 debug authfile=/etc/yubikeys

---

Méthode 2 : Sécurisation de SSH avec YubiKey

Ajouter la clé publique à l’utilisateur SSH :

echo "clé_publique" >> ~/.ssh/authorized_keys

Modifier la configuration SSH :

sudo nano /etc/ssh/sshd_config

Activer l’authentification par clé :

AuthenticationMethods publickey

Redémarrer le service SSH :

sudo systemctl restart sshd

---

Références

• Documentation YubiKey

• Linux Security

---

Conclusion

• L’utilisation de clés d’authentification physiques améliore la sécurité des comptes administrateurs sous Linux.

• L’intégration avec PAM est idéale pour les accès locaux, tandis que l’authentification via SSH permet de sécuriser les connexions distantes.

• L’implémentation de ces méthodes réduit considérablement les risques liés aux attaques par vol de mots de passe.