Le 13/04/2021 à 10:26, Mickael Hubert a écrit : > Bonjour à tous, > Actuellement pour prendre la main sur nos serveurs (SSH), nous nous > connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc > ..) et chaque profil n'a accès qu'à ce qu'il a besoin. > Mais dans le cadre de notre compliance PCI-DSS, il nous manque 2 points à > valider, l'un d'eux est la mise en place du 2FA sur nos accès SSH > justement. > [...] > Peut-être du 2FA en hard (avec une clé)...
Alors, écoute, clairement, un yubikey en guise de 2FA, ca fonctionne vraiment très bien. Nous n'avons pas de bastion ici encore mais toutes les sessions SSH sont basées sur clé SSH privée exportée depuis l'identité GnuPG de la yubikey (gpg-agent) + certificat SSH pour éviter de devoir gérer une liste de clé SSH (le bastion rempli déjà ce rôle du coup). Si toutes tes machines sont parfaitement à jour, tu peux aussi partir sur ed25519_sk. Je n'ai pas beaucoup jouer avec parce que OpenSSH 8+ obligatoire et honnêtement, on en est pas encore là. Ca évite de se coller la partie GnuPG qui est assez mal documentée et même parfois bugguée (spoiler : ne faites pas de ed25519 avec GnuPG). J'ai écrit un bout d'exemple de conf rapide pour le support Yubikey à l'époque, c'est toujours en ligne : https://gitlab.altinea.fr/altinea/install-scripts/src/branch/master/ssh/yubibug.md Attention, je ne garantis pas que ça va rester encore des mois en ligne ça. Julien
OpenPGP_signature
Description: OpenPGP digital signature
