On Tue, Apr 13, 2021 at 11:01:29AM +0200, Julien Escario wrote: > > Le 13/04/2021 à 10:26, Mickael Hubert a écrit : > > Bonjour à tous, > > Actuellement pour prendre la main sur nos serveurs (SSH), nous nous > > connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc > > ..) et chaque profil n'a accès qu'à ce qu'il a besoin. > > Mais dans le cadre de notre compliance PCI-DSS, il nous manque 2 points à > > valider, l'un d'eux est la mise en place du 2FA sur nos accès SSH > > justement. > > [...] > > Peut-être du 2FA en hard (avec une clé)... > > Alors, écoute, clairement, un yubikey en guise de 2FA, ca fonctionne > vraiment très bien. Nous n'avons pas de bastion ici encore mais toutes > les sessions SSH sont basées sur clé SSH privée exportée depuis > l'identité GnuPG de la yubikey (gpg-agent) + certificat SSH pour éviter > de devoir gérer une liste de clé SSH (le bastion rempli déjà ce rôle du > coup). > > Si toutes tes machines sont parfaitement à jour, tu peux aussi partir > sur ed25519_sk. Je n'ai pas beaucoup jouer avec parce que OpenSSH 8+ > obligatoire et honnêtement, on en est pas encore là. Ca évite de se > coller la partie GnuPG qui est assez mal documentée et même parfois > bugguée (spoiler : ne faites pas de ed25519 avec GnuPG). > [...] > Julien > >
Question bête (encore une ;)), est-ce qu'avoir ssh 8.2 pour le support u2f sur le bastion (uniquement) pourrait fonctionner si les serveurs derrnière n'ont pas encore de ssh 8.2 ? Je suis dans un cas similaire, j'aimerai faire du 2FA, probablement fido/u2f, mais je peux pas passer tout mes hosts en ssh 8.2 . (vieux cisco, mikrotik, et autre variantes mignonnes) . Un avis ? (Spoiler : je ne suis pas très familier avec ssh-agent, etc) . Will --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/