On Wed, Sep 29, 2004 at 08:34:07PM +0200, olivier Nicolas wrote: > [EMAIL PROTECTED] wrote: > >[Petite note concernant l'authentification password dans SSH : Il est > >preferable d'utiliser des cles RSA/DSA pour cela et d'eviter les > >passwords. Pour plusieurs raisons de securite... > > > Chaque fois que je cause des cles ssh, on me pause les questions suivantes > > 1. Comment "disabler" de mani?re centralis?e un utilisateur ?
utiliser des certificats avec CRL et un systeme pour les updater (ldap, OCSP, ou autre) > > 2. Comment imposer le changement de la passphrase ? intervalle r?gulier? > (je passe sur l'historique des 53 passphrases pr?c?dentes) > certificat/clefs == pas de passphrase sauf pour delocker le fichier pem/pkcs12 contenant les credentials du user sur l'ordinateur client. L'identite est liee a la clef pub qui est elle meme dans un fichier. > 3. Comment ?viter qu'un utilisateur "root" ne pousse des cl?s un peu > partout ? ben .. si il est root il est root .. probablement que cet utilisateur ne devrait pas etre root si il n'est pas de confiance (utilisation des droits au lieu de donner root). > > 4. Si un compte est accessible via plusieurs cl?s, comment logguer > l'usage d'une cl? particuli?re ? mmm. Tu peux toujours logger qui a eu acces via les uid. Si tu map plusieurs personnes sur le meme user(uid), c'est difficile de les distinguer apres, meme chose que pour root. > > Si quelqu'un a des id?es? Je suis preneur. > > > > > > Si la machine fait partie d'un "Kerberos Realm" (ex; un domaine AD), > sshd permet l'authenfication Kerberos de mani?re native. > > http://segment7.net/projects/FreeBSD/kerberos.html > http://www.google.fr/search?hl=fr&ie=UTF-8&q=ssh+kerberos+install&btnG=Rechercher&meta= > http://www.google.fr/search?hl=fr&ie=UTF-8&q=sshd+kerberos+install&btnG=Rechercher&meta= > > > Olivier > _______________________________________________________ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > Archives: http://www.mail-archive.com/[EMAIL PROTECTED] > IRC: chat.unixtech.be:6667 - #unixtech -- -- -> Jean-Francois Dive --> [EMAIL PROTECTED] I think that God in creating Man somewhat overestimated his ability. -- Oscar Wilde _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
