Configurer la rotation centralisée des clés SSH

La rotation manuelle des clés SSH dans des environnements grands et complexes peut devenir ingérable et augmenter les risques de sécurité. Nous recommandons donc d'utiliser les fonctionnalités PAM de Devolutions Server pour centraliser la gestion des clés SSH.

Cette méthode est plutôt simple : les clés SSH importées d'un fournisseur de clés SSH dans Devolutions Server sont liées aux entrées SSH dans Remote Desktop Manager, permettant une gestion simplifiée et centralisée des clés.

Sécuriser la rotation de la clé SSH avec StrictModes

La rotation des clés SSH de Devolutions PAM nécessite un accès aux fichiers authorized_keys dans vos systèmes gérés. Il est donc recommandé d'utiliser la configuration StrictModes dans vos paramètres de serveur SSH.

Pour la compatibilité StrictModes, utiliser les commandes suivantes sur les systèmes de fichiers prenant en charge les Access Control Lists (ACLs) :

setfacl -m u:<PAM_USER>:--x /home/<ACCOUNT>
setfacl -m u:<PAM_USER>:--x /home/<ACCOUNT>/.ssh
setfacl -m u:<PAM_USER>:rw /home/<ACCOUNT>/.ssh/authorized_keys

Remplacer par le nom d'utilisateur du compte Devolutions PAM utilisé pour gérer les clés SSH et remplacer ACCOUNT par tous les comptes à gérer avec des clés SSH.

Étapes

Dans Devolutions Server

  1.  Dans Devolutions Server, aller à AdministrationAccès privilégiéFournisseurs et cliquer sur l'icône Ajouter (+). Sélectionner le type de fournisseur géré Clé SSH.

    Add a provider
    Add a provider
  2. Entrer les informations requises. S'assurer de cocher à la fois Ajouter un coffre PAM et Ajouter une nouvelle configuration de scan.

    Enter credentials and check options to add PAM vault and scan configuration
    Enter credentials and check options to add PAM vault and scan configuration
  3. Cliquer sur Tester la connexion pour s'assurer que tout est en ordre, et Sauvegarder le fournisseur.

  4. Ensuite, dans la fenêtre Configuration du scan, entrer un nom et cliquer sur Ok.

  5. Se diriger vers AdministrationGestion de l'accès privilégiéAnalyser les configurations. Cliquer sur le bouton Voir le résultat (icône œil) de la nouvelle configuration d'analyse créée.

    View result of configuration scan
    View result of configuration scan
  6. Sélectionner la clé SSH que vous souhaitez utiliser et cliquer sur le bouton Importer les ordinateurs sélectionnés.

    Select the key to import
    Select the key to import
  7.  Définir un dossier de destination pour la clé importée et cliquer sur Ok.

Dans Remote Desktop Manager

  1. Cliquer sur Ajouter une nouvelle entrée et créer une entrée de session terminal SSH. Entrer l'hôte et les informations d'identification.

  2. Dans le sous-onglet Général de l'onglet Clé SSH, définir le Type d'entrée sur Compte privilégié. Cliquer sur l'icône à points de suspension () à droite du champ Compte et trouver votre compte PAM.

    Select your PAM account
    Select your PAM account
  3. Cliquer sur Ok, puis sur Ajouter pour finaliser la création de l'entrée.

Pour vérifier que la méthode a fonctionné, réserver l'entrée terminal SSH dans Remote Desktop Manager, et entrer cat ~/.ssh/authorized_keys dans la console. La clé retournée doit alors correspondre à celle dans le dossier PAM créé lors de l'étape #7 dans Devolutions Server.

Devolutions Forum logo Donnez-nous vos commentaires