Comment configurer l'authentification par clés SSH avec PuTTY et un serveur Linux en 5 étapes rapides

Objectif et variantes de recherche

But principal : remplacer l’authentification par mot de passe par une authentification par clés SSH avec PuTTY. Variantes utiles : configuration PuTTY clé SSH, Pageant clé privée, authorized_keys2 Linux, PuTTYgen tutoriel, authentification sans mot de passe SSH.

Définition rapide

SSH : protocole sécurisé pour gérer des machines à distance. Clé publique / clé privée : paire cryptographique ; la clé publique va sur le serveur, la clé privée reste sur le client.

1. Récupérer l’archive contenant les exécutables PuTTY

Téléchargez l’archive contenant les binaires PuTTY :

http://the.earth.li/~sgtatham/putty/latest/x86/putty.zip

Conservez le fichier .zip dans un dossier que vous contrôlez (par exemple C:\Tools\putty). Dézippez-le.

2. Générer une paire de clés (publique / privée)

1. Lancez PuTTYgen.exe.
2. Cliquez sur le bouton Generate et bougez la souris dans la zone vide pour générer de l’entropie.
3. Saisissez une phrase secrète (passphrase) robuste. Cette phrase protège la clé privée.
4. Sauvegardez la clé publique (Save public key) et la clé privée (Save private key).

Important : choisissez une passphrase longue et mémorisable ou utilisez un gestionnaire de mots de passe.

3. Configurer le serveur Linux (créer l’utilisateur, enregistrer la clé publique)

Pour cet exemple, le nom d’utilisateur régulier sera autotimesheet. Remplacez-le par votre nom d’utilisateur si nécessaire.

En tant que root, créez l’utilisateur sans mot de passe :

adduser autotimesheet --disabled-password

Ensuite, connectez-vous en tant que cet utilisateur et créez le répertoire .ssh :

su autotimesheet
cd /home/autotimesheet
mkdir .ssh
chmod 700 .ssh
cd .ssh

Dans ce dossier, créez un fichier nommé authorized_keys2 et collez-y votre clé publique sur UNE SEULE LIGNE. C’est essentiel.

À NE PAS FAIRE :

• N’ajoutez pas [email protected] à la fin de la ligne.
• N’ajoutez pas les balises BEGIN/END PUBLIC KEY.
• N’ajoutez pas de suffixes comme rsa-key-20090614.
• Assurez-vous que la ligne commence par ssh-rsa (ou le préfixe approprié selon le type de clé).

Exemple (une seule ligne) :

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIBzPeFQv+295iKzuuPH0jA9449pSHVpCwXvCR9EstmYh...

Puis :

chmod 600 authorized_keys2

Note : certains systèmes modernes utilisent authorized_keys (sans le «2»). Si votre distribution ignore authorized_keys2, copiez le contenu dans ~/.ssh/authorized_keys.

4. Ajouter la clé privée à l’agent d’authentification PuTTY (Pageant)

Démarrez Pageant (PAGEANT.EXE). Une icône apparaît dans la zone de notification de Windows. Faites un clic droit sur l’icône et choisissez «Add Key» (Ajouter une clé). Sélectionnez votre fichier de clé privée (.ppk) et saisissez la passphrase quand Pageant le demande.

Pageant garde la clé déverrouillée pendant la session Windows et permet à PuTTY d’utiliser la clé privée sans resaisir la passphrase à chaque connexion.

5. Utiliser PuTTY pour se connecter au serveur

Ouvrez PuTTY. Dans la rubrique Host Name, entrez autotimesheet@votre-serveur (ou simplement l’adresse IP / nom d’hôte) et connectez-vous.

Si Pageant est chargé avec la bonne clé, vous serez authentifié sans mot de passe :

Sécurité et durcissement (bonnes pratiques)

• Désactivez l’authentification par mot de passe dans /etc/ssh/sshd_config : PasswordAuthentication no puis redémarrez sshd.
• Autorisez uniquement des algorithmes et tailles de clé modernes (ex : ed25519 ou rsa >= 3072 bits).
• Limitez l’accès SSH par AllowUsers ou par un pare-feu (iptables, nftables, UFW).
• Changez le port SSH uniquement comme obstacle mineur ; ce n’est pas une protection réelle.

Quand cela peut échouer (contre-exemples)

• Mauvais chemin, permissions incorrectes sur ~/.ssh (700) ou authorized_keys2 (600) : SSH ignore la clé.
• Clé publique mal collée sur plusieurs lignes ou avec en-têtes : authentification échoue.
• Vous avez mis la clé dans authorized_keys2 mais votre système attend authorized_keys.
• Pageant n’est pas démarré ou ne contient pas la bonne clé privée.

Approches alternatives

• OpenSSH sur Windows 10/11 : utilisez ssh.exe natif et ssh-agent comme alternative à PuTTY/Pageant.
• Utiliser une clé sur un token matériel (YubiKey) pour stockage sécurisé de la clé privée.

Mini-méthodologie de déploiement (3 étapes rapides)

1. Génération locale des clés et sauvegarde sécurisée de la clé privée.
2. Déposer la clé publique sur les serveurs cibles et vérifier les permissions.
3. Tester la connexion, puis désactiver les mots de passe côté serveur.

Checklist par rôle

• Administrateur système : créer les comptes, vérifier permissions, modifier /etc/ssh/sshd_config, tester services.
• Utilisateur final : générer la clé, protéger la clé privée, ajouter la clé à Pageant, tester la connexion.

Dépannage rapide

1. Vérifiez les permissions (700 pour ~/.ssh, 600 pour authorized_keys*).
2. Vérifiez que la clé publique est sur une seule ligne et commence par ssh-rsa ou ssh-ed25519.
3. Lancez sshd en mode verbeux sur le serveur pour obtenir des logs : sudo systemctl restart sshd && sudo journalctl -u ssh -f
4. Sur le client, activez les logs de PuTTY pour voir l’échange d’authentification.

Glossaire (une ligne chacun)

• PuTTYgen : utilitaire pour générer paires de clés pour PuTTY.
• Pageant : agent d’authentification PuTTY qui garde les clés en mémoire.
• authorized_keys2 / authorized_keys : fichier contenant les clés publiques autorisées.

Résumé : Générer une paire de clés avec PuTTYgen, placer la clé publique dans ~/.ssh/authorized_keys2 (ou authorized_keys), charger la clé privée dans Pageant, puis vous connecter avec PuTTY. Après validation, désactivez l’authentification par mot de passe pour améliorer la sécurité.

Important : conservez la clé privée en lieu sûr et protégez-la par une passphrase.