Dernière mise à jour le 22/11/2017
Objectif
Dans certains cas, l'intervention d'un administrateur OVH peut être nécessaire sur votre infrastructure dédiée.
Ce guide vous décrit l'installation d'une clé SSH OVH pour permettre l'intervention de nos administrateurs, puis sa désactivation.
Prérequis
- Être connecté en SSH (accès root).
En pratique
Étape 1 : installer la clé
Une fois connecté en SSH, voici la commande à effectuer :
- Si votre serveur est hébergé chez OVH Europe :
wget ftp://ftp.ovh.net/made-in-ovh/cle-ssh-public/installer_la_cle.sh -O installer_la_cle.sh ; sh installer_la_cle.sh
- Si votre serveur est hébergé chez OVH Canada :
wget ftp://ftp.ovh.net/made-in-ovh/cle-ssh-public/installer_la_cleCA.sh -O installer_la_cle.sh ; sh installer_la_cle.sh
Si l'opération s'est bien déroulée, le fichier authorized_keys2 a été créé. Il contient des informations sous cette forme :
cat /root/.ssh/authorized_keys2
>>> from="XX.XX.XX.XX" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIE.... suppport@cache-ng...
>>> from="::ffff:XX.XX.XX.XX" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIE.... suppport@cache-ng...
Étape 2 : résolution des défauts
Même si la clé est correctement installée, il est possible que nos administrateurs ne puissent pas se connecter sur votre serveur. Veuillez alors vérifier les points suivants :
Vérifier que le fichier /root/.ssh/authorized_keys2 existe
Pour vous assurer de la présence de ce fichier, vous devez entrer la commande suivante :
cat /root/.ssh/authorized_keys2
Vérifier que le serveur SSH est configuré de sorte à accepter les connexions provenant de root
Pour cela, vous devez vérifier les paramètres suivants dans le fichier /etc/ssh/sshd_config :
PermitRootLogin yes
'AuthorizedKeysFile' .ssh/authorized_keys2
UsePAM yes
Ensuite, redémarrez le service SSH :
/etc/init.d/sshd restart
Vérifier que le répertoire de base de l'utilisateur root est bien /root
Vous pouvez utiliser /etc/passwd pour vérifier cela :
/# grep root /etc/passwd
>>> root:x:0:0:root:/root:/bin/bash
Le 6e élément de la ligne (les éléments sont séparés par des :) doit être /root.
Vérifier que le pare-feu logiciel ne bloquera pas l'accès
En cas d'utilisation d'un pare-feu logiciel, il faudra ajouter une règle d'autorisation pour la source cache-ng.ovh.net (cache-ng.ovh.ca pour un serveur au Canada) avec comme port de destination votre port SSH (par défaut, le 22 ). Voici un exemple de règle iptables :
Pour un serveur en France
iptables -t filter -A INPUT -p TCP -s cache-ng.ovh.net --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p TCP -s cache-ng.ovh.net --dport 22 -j ACCEPT
Pour un serveur au Canada
iptables -t filter -A INPUT -p TCP -s cache-ng.ovh.ca --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p TCP -s cache-ng.ovh.ca --dport 22 -j ACCEPT
- Vérifier que le port SSH n'est pas personnalisé
Si vous avez personnalisé votre port SSH, nous vous invitons à nous le préciser afin que l'administrateur puisse se connecter.
Étape 3 : désactiver la clé
Une fois l'intervention de l'administrateur terminée, vous pouvez désactiver la clé SSH. Pour cela, vous avez seulement besoin de modifier le fichier authorized_keys2 et de le commenter (avec #) comme indiqué ci dessous :
cat /root/.ssh/authorized_keys2
>>> #from="XX.XX.XX.XX" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIE.... support@cache-ng...
>>> #from="::ffff:XX.XX.XX.XX" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIE.... support@cache-ng...
Aller plus loin
Échangez avec notre communauté d’utilisateurs sur https://community.ovh.com.