sodimo

Chapitre 39 / 39

Les bases de SSH

SSH — Secure Shell — est l’outil qu’un opérateur technique utilise pour se connecter au Framework Desktop depuis un ordinateur portable, saisir des commandes et voir ce qui se passe à l’intérieur de la machine. C’est la porte d’administration, pas la porte principale. Le CRM, l’archive mail, l’interface de chat, ce manuel — rien de tout cela ne nécessite SSH. Vous y accédez depuis votre navigateur, via le launchpad, via la connexion Google Workspace.

Vous rencontrez SSH dans trois situations :

  1. Thomas le rencontre chaque jour pendant l’engagement — SSH est le principal moyen par lequel il atteint le harness pour les travaux de configuration.
  2. Après la passation, une personne chez Sodimo a besoin de la même capacité — celle qui hérite de la maintenance quotidienne de la machine. Ce chapitre est écrit principalement pour cette personne.
  3. Lors de l’intégration d’un nouvel ingénieur (ou d’un prestataire remplaçant Thomas), la création de sa clé SSH est la première étape.

Si vous êtes Rani, Paul, Jack, ou un collaborateur non technique, vous n’aurez presque certainement pas à toucher à SSH. Vous pouvez lire ce chapitre une fois pour comprendre ce que c’est, puis passer à la suite.

Statut : Prévu — l’accès SSH est actif du côté de Thomas dès le premier jour de l’engagement. La mise en place du côté Sodimo — une seconde clé détenue par la personne qui maintient la machine après la passation — a lieu lors de la dernière semaine de l’engagement.

Ce qu’est SSH, en un paragraphe

SSH est la façon d’obtenir une ligne de commande sur un ordinateur distant via internet, en toute sécurité. Vous exécutez ssh harness.sodimo.eu sur votre ordinateur ; l’ordinateur prouve au serveur que c’est bien vous (en utilisant une clé cryptographique, pas un mot de passe) ; le serveur ouvre un terminal qui ressemble et se comporte comme si vous étiez assis devant la machine. Tout ce que vous tapez est chiffré. Rien de ce que vous tapez n’est visible pour quiconque se trouve entre votre ordinateur et la machine. C’est le standard universel d’administration à distance depuis vingt-cinq ans.

Ce qu’est une clé SSH

Une clé SSH est une paire de fichiers — une clé privée (qui reste sur votre ordinateur, jamais partagée) et une clé publique (partagée librement, ajoutée à la liste d’autorisation du serveur). Lors de la connexion, le serveur envoie un défi que seul le détenteur de la clé privée peut relever. Si la réponse est correcte, vous êtes connecté. Aucun mot de passe ne transite par le réseau ; aucun mot de passe n’est stocké sur le serveur.

Deux conséquences en découlent :

  • La clé privée est l’identifiant. Il faut la traiter comme votre mot de passe maître Vaultwarden — à la différence que c’est un fichier, sur votre ordinateur, chiffré au repos par la phrase secrète de votre ordinateur. (La clé privée vit aussi dans Vaultwarden lui-même, dans la collection des clés SSH — Vaultwarden est la copie de référence ; votre ~/.ssh/ local en est une copie de travail.)
  • Perdre l’ordinateur signifie perdre la clé. Ce qui implique : renouveler les clés quand un ordinateur est perdu (chapitre Rotation de clés), et maintenir un jeu de clés réduit (une clé par personne par ordinateur, pas dispersées entre les machines). La cadence de rotation de base est de 90 jours.

Créer une nouvelle clé SSH depuis zéro

La procédure suppose un nouvel ordinateur Sodimo, une connexion internet fonctionnelle, et Claude Code (ou un terminal). Chaque étape est quelque chose que Claude Code peut faire pour vous — mais les commandes sont détaillées pour que vous puissiez lire ce qui se passe.

Étape 1 — générer la paire de clés.

Dans un terminal :

ssh-keygen -t ed25519 -C "yourname@sodimo.eu" -f ~/.ssh/sodimo
  • -t ed25519 choisit l’algorithme de clé moderne. Court, rapide, sûr.
  • -C "yourname@sodimo.eu" est un commentaire qui identifie la clé — à qui elle appartient. C’est cosmétique ; il est visible quand quelqu’un liste les clés autorisées du serveur.
  • -f ~/.ssh/sodimo nomme les fichiers de sortie. Vous obtenez ~/.ssh/sodimo (privée) et ~/.ssh/sodimo.pub (publique).

ssh-keygen vous demande une phrase secrète. Définissez-en une. Une phrase secrète sur la clé privée signifie qu’un ordinateur volé ne peut pas être utilisé comme votre identité SSH même si le disque est déchiffré. Choisissez quelque chose de mémorable — elle est saisie rarement, une fois par session, via ssh-agent.

Étape 2 — configurer ~/.ssh/config pour que la clé soit utilisée sur le bon hôte.

Ouvrez (ou créez) ~/.ssh/config, ajoutez :

Host harness.sodimo.eu
  User sodimo
  IdentityFile ~/.ssh/sodimo
  AddKeysToAgent yes
  UseKeychain yes

Cela indique à SSH : « quand j’exécute ssh harness.sodimo.eu, utiliser la clé sodimo et mémoriser la phrase secrète dans l’agent pour la session. »

Étape 3 — déposer la clé publique dans le coffre et sur le serveur.

Demandez à Claude Code :

Add my new SSH public key — the one at ~/.ssh/sodimo.pub — to the vault under my name, and add it to the harness’s authorised keys.

Claude Code va :

  1. Lire les deux clés — la publique (.pub) et la privée — depuis votre fichier.
  2. Créer une nouvelle entrée Vaultwarden dans la collection des clés SSH nommée yourname — harness, avec la date du jour et vos initiales dans les champs personnalisés, la clé publique dans un champ et la clé privée dans un champ de note sécurisée. (Garder la paire ensemble fait de Vaultwarden la source unique de vérité pour « quelle clé utilise telle personne ».)
  3. Ajouter la clé publique au fichier /home/sodimo/.ssh/authorized_keys du harness via un canal de maintenance (pendant l’engagement, Thomas effectue cette étape ; après la passation, cela se fait via une courte action Cockpit ou un SSH root depuis la clé encore active de Thomas).
  4. Vous demander de tester : ssh harness.sodimo.eu — cela devrait demander la phrase secrète une fois, puis vous ouvrir un shell.

Étape 4 — vérifier, puis terminer.

Fermez la session SSH. Ouvrez-en une nouvelle. Vous ne devriez être invité à saisir la phrase secrète qu’une seule fois par session (l’agent la mémorise). Tapez whoami — vous devriez voir sodimo. Tapez hostname — vous devriez voir le nom d’hôte du harness. La configuration est terminée.

Si vous obtenez Permission denied (publickey), la clé publique n’a pas été correctement déposée sur le serveur. Recommencez l’étape 3 et observez la sortie. La cause la plus fréquente est la copie de la clé privée au lieu de la clé publique — le fichier souhaité se termine par .pub.

Usage quotidien

Une fois la clé configurée, SSH se résume à ssh harness.sodimo.eu. Vous atterrissez dans un shell sur la machine. Tous les outils du harness (Cockpit mis à part) peuvent être administrés depuis ce shell — systemctl status ... pour vérifier un service, journalctl -u ... pour lire les journaux, podman ps pour voir les conteneurs en cours d’exécution. Le chapitre Le harness (partie 30) liste les commandes de maintenance courantes.

Deux conseils :

  • Restez en SSH seulement le temps nécessaire. Fermez la session quand vous avez terminé. La session ouverte est un point de risque supplémentaire.
  • Préférez Cockpit pour les vérifications en lecture seule. Cockpit est une interface web sur admin.sodimo.eu qui couvre 80 % des vérifications qu’effectue un opérateur — services, journaux, disques, réseau. SSH est pour les 20 % restants : modifications, journaux approfondis, récupération d’urgence.

Déposer la clé dans le coffre

Couvert à l’étape 3 ci-dessus. La mécanique complète — notamment comment accorder à quelqu’un d’autre l’accès à votre portion SSH du coffre, et comment supprimer une clé du coffre quand un ordinateur est retiré — se trouve dans les chapitres Le coffre de comptes et Rotation de clés. Ce chapitre reste délibérément au niveau de « votre première clé SSH, depuis zéro ».

Le modèle d’accès SSH de Sodimo, en un coup d’œil

  • Thomas — dispose de SSH pendant l’engagement. La clé vit sur les machines de Thomas ; la clé publique est sur le harness. Révoquée à la passation selon le chapitre Rotation de clés.
  • La personne qui maintient la machine après la passation — une personne chez Sodimo détient la clé SSH post-passation. Ajoutée lors de la dernière semaine de l’engagement, testée, et stockée dans le coffre.
  • Personne d’autre. Rani, Paul, Jack, les futures recrues marketing, le stagiaire — aucun d’eux n’a besoin de SSH. Ils accèdent à la machine via le launchpad (chapitre Le launchpad), comme tout le monde.

La porte SSH est délibérément étroite. Peu de clés, renouvelées tous les 90 jours (voir le chapitre Rotation de clés), auditées dans Vaultwarden. La porte principale — Cloudflare Access + Google Workspace — prend en charge le reste du trafic.