Kit d'appliances › Livre de recettes de l'appliance › Création d'un modèle VPS › Configuration de deux instances de serveur SSH

Configuration de deux instances de serveur SSH

Dans cette étape nous avons défini un serveur SSH secondaire, de sorte que le VPS soit accessible à la fois par le client qui le loue, et par le fournisseur du VPS (et par les administrateurs de la grille CA 3Tera AppLogic elle-même), tandis que chaque instance SSH conserve sa propre configuration et que les modifications qui la concerne n'entravent pas le fonctionnement de l'autre instance. L'instance SSH principale, configurée par l'installation du système d'exploitation reste utilisable par les utilisateurs de VPS qui peuvent la configurer. L'instance secondaire est dédiée à l'accès à partir de la grille, pour le fournisseur / administrateur de VPS.

Notez que l'installation réelle peut varier selon le type de système d'exploitation et la version de serveur SSH. Les exemples trouvés ici supposent que le système d'exploitation est de style unix et que le serveur est OpenSSH.

Vous pouvez configurer les deux instances du serveur SSH avec des paramètres de sécurité différents, pour les adapter aux besoins spécifiques de l'utilisateur VPS.

1. Copiez la configuration de sshd dans un nouveau sous-répertoire, par exemple :
   mkdir /etc/ssh_grid
   cp /etc/ssh/sshd_config /etc/ssh_grid
2. Modifiez le fichier de configuration d'origine (/etc/ssh/sshd_config) et :
   • supprimez toutes les directives ListenAddress, s'il en existe
   • ajoutez les lignes suivantes au fichier de configuration (sans lignes vides entre elles) :
     # $$propN : 1111:primary_ip
     ListenAddress 1111
3. Modifiez le fichier de configuration copié (/etc/ssh_grid/sshd_config) et apportez les modifications suivantes :
   • désactivez les recherches DNS inversées :
     UseDNS no (ou LookupClientHostnames no sur certaines implémentations SSH)
   • désactivez les connexions par mot de passe :
     PasswordAuthentication no
   • autorisez les connexions racines (avec la clé uniquement) :
     PermitRootLogin without-password
   • définissez un nom de fichier clé personnalisé, qui fonctionne uniquement pour la racine :
     AuthorizedKeysFile /root/.ssh/alt_authorized_keys
   • désactivez l'authentification GSSAPI (ne peut pas être utilisé à partir du contrôleur CA 3Tera AppLogic) :
     GSSAPIAuthentication no
   • supprimez toutes les options ListenAddress
4. Créez un nouveau script de démarrage automatique pour le deuxième serveur ssh, contenant les commandes suivantes :
   # get service IP address
   f=/var/run/applogic/appliance.desc
   p=instance:`udlparse elst $f instance`/interface:default
   addr=`udlparse get $f $p/ip`
   
   # start ssh daemon
   sshd -f /etc/ssh_grid/sshd_config -o ListenAddress=$addr