Configurer la rotation centralisée des clés SSH

La rotation manuelle des clés SSH dans des environnements grands et complexes peut devenir ingérable et augmenter les risques de sécurité. Nous recommandons donc d'utiliser les fonctionnalités PAM de Devolutions Server pour centraliser la gestion des clés SSH.

Cette méthode est plutôt simple : les clés SSH importées d'un fournisseur de clés SSH dans Devolutions Server sont liées aux entrées SSH dans Remote Desktop Manager, permettant une gestion simplifiée et centralisée des clés.

La rotation des clés SSH de Devolutions PAM nécessite un accès aux fichiers authorized_keys dans vos systèmes gérés. Il est donc recommandé d'utiliser la configuration StrictModes dans vos paramètres de serveur SSH.

Pour la compatibilité StrictModes, utiliser les commandes suivantes sur les systèmes de fichiers prenant en charge les Access Control Lists (ACLs) :

setfacl -m u:<PAM_USER>:--x /home/<ACCOUNT>
setfacl -m u:<PAM_USER>:--x /home/<ACCOUNT>/.ssh
setfacl -m u:<PAM_USER>:rw /home/<ACCOUNT>/.ssh/authorized_keys

Remplacer par le nom d'utilisateur du compte Devolutions PAM utilisé pour gérer les clés SSH et remplacer ACCOUNT par tous les comptes à gérer avec des clés SSH.

1.  Dans Devolutions Server, aller à Administration – Accès privilégié – Fournisseurs et cliquer sur l'icône Ajouter (+). Sélectionner le type de fournisseur géré Clé SSH.

   

2. Entrer les informations requises. S'assurer de cocher à la fois Ajouter un coffre PAM et Ajouter une nouvelle configuration de scan.

   

3. Cliquer sur Tester la connexion pour s'assurer que tout est en ordre, et Sauvegarder le fournisseur.

4. Ensuite, dans la fenêtre Configuration du scan, entrer un nom et cliquer sur Ok.

5. Se diriger vers Administration – Gestion de l'accès privilégié – Analyser les configurations. Cliquer sur le bouton Voir le résultat (icône œil) de la nouvelle configuration d'analyse créée.

   

6. Sélectionner la clé SSH que vous souhaitez utiliser et cliquer sur le bouton Importer les ordinateurs sélectionnés.

   

7.  Définir un dossier de destination pour la clé importée et cliquer sur Ok.

1. Cliquer sur Ajouter une nouvelle entrée et créer une entrée de session terminal SSH. Entrer l'hôte et les informations d'identification.

2. Dans le sous-onglet Général de l'onglet Clé SSH, définir le Type d'entrée sur Compte privilégié. Cliquer sur l'icône à points de suspension (…) à droite du champ Compte et trouver votre compte PAM.

   

3. Cliquer sur Ok, puis sur Ajouter pour finaliser la création de l'entrée.

Pour vérifier que la méthode a fonctionné, réserver l'entrée terminal SSH dans Remote Desktop Manager, et entrer cat ~/.ssh/authorized_keys dans la console. La clé retournée doit alors correspondre à celle dans le dossier PAM créé lors de l'étape #7 dans Devolutions Server.