> Le 19 juil. 2023 à 09:05, Michel Verdier <mv...@free.fr> a écrit :
> Le 18 juillet 2023 roger tarani a écrit :
>
>> Quel est le mécanisme détaillé conduisant à l'authentification de
>> l'utilisateur par l'hôte distant ?
>> (la clef privée reste sur l'hôte local ; comment la clef publique et la clef
>> privée sont-elles liées ? par la création d'un jeton ? ou autre ? )
>
> La clef publique est indiquée au serveur lors de la demande de connexion.
> Le serveur s'en sert ensuite pour décrypter une phrase cryptée par le
> client avec sa clef privée.
Je ne comprends pas.
Pour chiffrer une phrase il suffit de la clef publique.
Pour déchiffrer une phrase il faut la clef privée.
Le serveur a seulement la clef publique.
Le client a les deux clefs.
Seul le client peut déchiffrer une phrase chiffrée.
Comment fait le serveur ssh pour savoir que c’est bien le détenteur de la clef
privée qui frappe à la porte ?
Je ne vois que ça : le serveur chiffre une phrase et l’envoie au client qui lui
retourne déchiffrée. Il compare et constate si le client a su déchiffrer. C’est
ça ?
>> Stocker la clef privée localement avec pour seule protection des droits 600
>> me semble léger même si c'est habituel.
>
> L'idée c'est quand même d'y mettre un mot de passe pour avoir les 2
> facteurs d'authentification.
Ça enlève l’intérêt d’une authentification rapide.
Ou alors il faut un gestionnaire de pwd pour stocker la phrase de passe…
>
>> Si je décide de stocker la clef privée en dehors de l'hôte local, soit sur
>> une
>> clef flash déconnectée du réseau (avec ou sans chiffrement), soit carrément
>> sur un HSM, comment dois-je procéder pour qu'elle soit utilisée par le
>> système
>
> sur le client il faut utiliser le paramètre -i pour utiliser le clef adhoc
> ou l'indiquer dans ~/.ssh/config du client. Donc il faut monter ta clef
> pour qu'elle soit accessible par le client.
Entendu.
Modulo le nom du dev /dev/sdb …
Sauf à utiliser un UUID pour le device (ça se fait, je crois).
>
>> En cherchant, j'ai lu des choses sur PAM que je n'ai jamais pratiqué.
>> https://linux.goffinet.org/administration/securite-locale/pluggable-authentication-modules-pam/
>>
>>
>> Puis-je utiliser ce qui existe (biblio PAM) pour faire communiquer l'hôte
>> local et le HSM afin de réaliser une authentification ssh ?
>> Comment faut-il faire ?
>
> Je ne comprend pas ce que tu cherches à faire ? Tu veux qu'une
> authentification PAM passe par ssh et pas par le login habituel ?
Je me dis que pour que le HSM se substitue à moi dans la gestion des clefs, et
aller au-delà d’indiquer le chemin de la clef (avec ssh -i) il faut sans doute
utiliser PAM (d’ailleurs, qui sert aussi à interfacer une authentification
LDAP).
