On Wed, Sep 29, 2004 at 08:34:07PM +0200, olivier Nicolas wrote:
[EMAIL PROTECTED] wrote:
[Petite note concernant l'authentification password dans SSH : Il est preferable d'utiliser des cles RSA/DSA pour cela et d'eviter les passwords. Pour plusieurs raisons de securite...
Chaque fois que je cause des cles ssh, on me pause les questions suivantes
1. Comment "disabler" de mani?re centralis?e un utilisateur ?
utiliser des certificats avec CRL et un systeme pour les updater (ldap, OCSP, ou autre)
En utilisant un OpenSSH non standard (ce qui implique du repackaging à chaque nouvelle version).
2. Comment imposer le changement de la passphrase ? intervalle r?gulier? (je passe sur l'historique des 53 passphrases pr?c?dentes)
certificat/clefs == pas de passphrase sauf pour delocker le
fichier pem/pkcs12 contenant les credentials du user sur l'ordinateur client. L'identite est liee a la clef pub qui est elle meme dans un fichier.
Ça OK, mais justement, le certificat est sur le poste client, qui est par définition plus vulnérable qu'un serveur dans une salle machine avec contrôle d'accès physique. D'autant plus s'il s'agit d'un portable...
Et le problème est que le serveur n'a (d'après ce que je sais, mais je n'ai pas lu les arcanes du protocole) aucun moyen de savoir si la clé privée (sous forme de clé SSH ou de certificats x509) utilisée est chiffrée ou non. Et *là* est le problème.
3. Comment ?viter qu'un utilisateur "root" ne pousse des cl?s un peu partout ?
En interdisant les clés dans les comptes (paramètre AuthorizedKeysFile de sshd_config(5)) et en forçant un contrôle centralisé avec une distribution centralisée.
Ou alors en passant par des certificats et une centralisation des autorisations sur un annuaire LDAP.
ben .. si il est root il est root .. probablement que cet utilisateur ne devrait pas etre root si il n'est pas de confiance (utilisation des droits au lieu de donner root).
Tout à fait d'accord. Il a les droits root ? Il a aussi les devoirs du root, et moi plus. Sinon, man sudo.
4. Si un compte est accessible via plusieurs cl?s, comment logguer l'usage d'une cl? particuli?re ?
mmm. Tu peux toujours logger qui a eu acces via les uid. Si tu map plusieurs personnes sur le meme user(uid), c'est difficile de les distinguer apres, meme chose que pour root.
sshd_config(5)::PermitRootLogin No + man sudo.
Cdt,
J.
-- Jérôme Fenal jfenalml AT free.fr http://fenal.org/ _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
