Re: Authentification ssh et PAM
Merci. Je connais l’usage. Je voudrais savoir comment fonctionne le mécanisme d’authentification par clefs asymétriques permettant de donner l’accès à l’hôte distant. Qui fait quoi. Et surtout comment procéder pour utiliser un HSM ou une clef USB où sera stockée la clef privée. Et aussi savoir si on doit utiliser PAM, et comment. > Le 19 juil. 2023 à 00:00, ajh-valmer a écrit : > > Il suffit de taper 3 mots dans un moteur de recherche : > www.digitalocean.com/community/tutorials/how-to-configure-ssh-key-based-authentication-on-a-linux-server-fr > :-) > >> On Tuesday 18 July 2023 18:16:21 roger.tar...@free.fr wrote: >> Un utilisateur dispose d'une clef ssh privée et d'une clef publique >> rangés dans ~/.ssh/ , avec des droits 600. >> S'il a copié la clef publique sur un serveur distant, l'agent local >> saura "lier la clef publique et la privée" pour lui donner accès à l'hôte >> distant sans besoin de saisir id et pwd. >> Classique. >> Quel est le mécanisme détaillé conduisant à l'authentification de >> l'utilisateur par l'hôte distant ? >> (la clef privée reste sur l'hôte local ; comment la clef publique et la clef >> privée sont-elles liées ? par la création d'un jeton ? ou autre ? ) >> Stocker la clef privée localement avec pour seule protection des droits 600 >> me semble léger même si c'est habituel. >> Si je décide de stocker la clef privée en dehors de l'hôte local, soit sur >> une clef flash déconnectée du réseau (avec ou sans chiffrement), soit >> carrément sur un HSM, comment dois-je procéder pour qu'elle soit utilisée >> par le système ? >> En cherchant, j'ai lu des choses sur PAM que je n'ai jamais pratiqué. >> https://linux.goffinet.org/administration/securite-locale/pluggable-authentication-modules-pam/ >> >> Puis-je utiliser ce qui existe (biblio PAM) pour faire communiquer l'hôte >> local et le HSM afin de réaliser une authentification ssh ? >> Comment faut-il faire ? >
Re: Authentification ssh et PAM
Il suffit de taper 3 mots dans un moteur de recherche : www.digitalocean.com/community/tutorials/how-to-configure-ssh-key-based-authentication-on-a-linux-server-fr :-) On Tuesday 18 July 2023 18:16:21 roger.tar...@free.fr wrote: > Un utilisateur dispose d'une clef ssh privée et d'une clef publique > rangés dans ~/.ssh/ , avec des droits 600. > S'il a copié la clef publique sur un serveur distant, l'agent local > saura "lier la clef publique et la privée" pour lui donner accès à l'hôte > distant sans besoin de saisir id et pwd. > Classique. > Quel est le mécanisme détaillé conduisant à l'authentification de > l'utilisateur par l'hôte distant ? > (la clef privée reste sur l'hôte local ; comment la clef publique et la clef > privée sont-elles liées ? par la création d'un jeton ? ou autre ? ) > Stocker la clef privée localement avec pour seule protection des droits 600 > me semble léger même si c'est habituel. > Si je décide de stocker la clef privée en dehors de l'hôte local, soit sur > une clef flash déconnectée du réseau (avec ou sans chiffrement), soit > carrément sur un HSM, comment dois-je procéder pour qu'elle soit utilisée > par le système ? > En cherchant, j'ai lu des choses sur PAM que je n'ai jamais pratiqué. >https://linux.goffinet.org/administration/securite-locale/pluggable-authentication-modules-pam/ > > Puis-je utiliser ce qui existe (biblio PAM) pour faire communiquer l'hôte > local et le HSM afin de réaliser une authentification ssh ? > Comment faut-il faire ?
Re: tightvnc vs. tigervnc vs. ?
Merci. De: "Erwann Le Bras" À: "Liste Debian" Envoyé: Mardi 18 Juillet 2023 22:22:32 Objet: Re: tightvnc vs. tigervnc vs. ? bonsoir Je l'utilise depuis Win10 et Debian avec le client tightvnc - il est librement accessible depuis mon réseau interne (protégé de l'extérieur par un firewall) - la connexion depuis l'extérieur passe par un tunnel SSH Il faut rentrer un mot de passe spécifique pour accéder à la mire de connexion permettant d'ouvrir une connexion. Le bureau habituel est présenté. La mire et le bureau sont bien ceux qui seraient présentés lors d'une connexion locale. Sauf erreur de ma part, c'est une nouvelle connexion qui est réalisée, je n'ai pas réussi à récupérer une connexion déjà ouverte. Erwann Le 17/07/2023 à 14:51, [ mailto:roger.tar...@free.fr | roger.tar...@free.fr ] a écrit : Merci pour ton retour. Avec quels clients te connectes-tu à ce tightvnc server ? Et depuis quels OS ? Avec tunnel intégré dans le client, ssh ou autre ? (puisque VNC n'est pas sécurisé) S'agissant du protocole VNC, peut-on dire que le bureau qui apparaîtra sera toujours celui configuré par son propriétaire ? (sans obligation d'installer un bureau léger comme xfce4 qui sera utilisé, etc.) De: "Erwann Le Bras" [ mailto:erwann.le-b...@laposte.net | ] À: "Liste Debian" [ mailto:debian-user-french@lists.debian.org | ] Envoyé: Lundi 17 Juillet 2023 14:50:20 Objet: Re: tightvnc vs. tigervnc vs. ? bonjour J'ai tightvncserver installé, avec une autorisation configurée au niveau de lightdm.conf tightvnc est léger ; j'en suis content, je n'ai pas de problème avec. Erwann Le 13/07/2023 à 21:34, [ mailto:roger.tar...@free.fr | roger.tar...@free.fr ] a écrit : BQ_BEGIN Bonjour, debian 11 ou 12 Pour pouvoir utiliser avec n'importe quel client vnc (dont realvnc client assez utilisé), quel serveur vnc faut-il privilégier ? Je connais tightvnc et tigervnc. J'ai déjà installé tigervnc il y a 3-4 ans et me souviens d'un problème d'incompatibilité ou de difficulté à configurer un client realvnc. VNC est un protocole, mais l'implémentation peut varier... Surtout, quel DE faut-il utiliser ? Je vois divers tutos en ligne qui utilse xfce4. Sinon, avez-vous déjà essayé le protocole RDP, avec Xrdp ? (pareil ; le client RDP semble répandu) Est-ce pareil, mieux, moins bien que VNC ? Merci BQ_END
Re: tightvnc vs. tigervnc vs. ?
bonsoir Je l'utilise depuis Win10 et Debian avec le client tightvnc - il est librement accessible depuis mon réseau interne (protégé de l'extérieur par un firewall) - la connexion depuis l'extérieur passe par un tunnel SSH Il faut rentrer un mot de passe spécifique pour accéder à la mire de connexion permettant d'ouvrir une connexion. Le bureau habituel est présenté. La mire et le bureau sont bien ceux qui seraient présentés lors d'une connexion locale. Sauf erreur de ma part, c'est une nouvelle connexion qui est réalisée, je n'ai pas réussi à récupérer une connexion déjà ouverte. Erwann Le 17/07/2023 à 14:51, roger.tar...@free.fr a écrit : Merci pour ton retour. Avec quels clients te connectes-tu à ce tightvnc server ? Et depuis quels OS ? Avec tunnel intégré dans le client, ssh ou autre ? (puisque VNC n'est pas sécurisé) S'agissant du protocole VNC, peut-on dire que le bureau qui apparaîtra sera toujours celui configuré par son propriétaire ? (sans obligation d'installer un bureau léger comme xfce4 qui sera utilisé, etc.) *De: *"Erwann Le Bras" *À: *"Liste Debian" *Envoyé: *Lundi 17 Juillet 2023 14:50:20 *Objet: *Re: tightvnc vs. tigervnc vs. ? bonjour J'ai tightvncserver installé, avec une autorisation configurée au niveau de lightdm.conf tightvnc est léger ; j'en suis content, je n'ai pas de problème avec. Erwann Le 13/07/2023 à 21:34, roger.tar...@free.fr a écrit : Bonjour, debian 11 ou 12 Pour pouvoir utiliser avec n'importe quel client vnc (dont realvnc client assez utilisé), quel serveur vnc faut-il privilégier ? Je connais tightvnc et tigervnc. J'ai déjà installé tigervnc il y a 3-4 ans et me souviens d'un problème d'incompatibilité ou de difficulté à configurer un client realvnc. VNC est un protocole, mais l'implémentation peut varier... Surtout, quel DE faut-il utiliser ? Je vois divers tutos en ligne qui utilse xfce4. Sinon, avez-vous déjà essayé le protocole RDP, avec Xrdp ? (pareil ; le client RDP semble répandu) Est-ce pareil, mieux, moins bien que VNC ? Merci
Authentification ssh et PAM
Bonjour, Un utilisateur dispose d'une clef ssh privée et d'une clef publique rangés dans ~/.ssh/ , avec des droits 600. S'il a copié la clef publique sur un serveur distant, l'agent local saura "lier la clef publique et la privée" pour lui donner accès à l'hôte distant sans besoin de saisir id et pwd. Classique. Quel est le mécanisme détaillé conduisant à l'authentification de l'utilisateur par l'hôte distant ? (la clef privée reste sur l'hôte local ; comment la clef publique et la clef privée sont-elles liées ? par la création d'un jeton ? ou autre ? ) Stocker la clef privée localement avec pour seule protection des droits 600 me semble léger même si c'est habituel. Si je décide de stocker la clef privée en dehors de l'hôte local, soit sur une clef flash déconnectée du réseau (avec ou sans chiffrement), soit carrément sur un HSM, comment dois-je procéder pour qu'elle soit utilisée par le système ? En cherchant, j'ai lu des choses sur PAM que je n'ai jamais pratiqué. https://linux.goffinet.org/administration/securite-locale/pluggable-authentication-modules-pam/ Puis-je utiliser ce qui existe (biblio PAM) pour faire communiquer l'hôte local et le HSM afin de réaliser une authentification ssh ? Comment faut-il faire ? Merci.
Re: Comment modifier l'objet erroné d'un fil de discussion ?
Txo, on 2023-07-18: > Le 18/07/2023 à 09:47, Étienne Mollier a écrit : > > La convention typique pour changer le sujet d'un fil de > > discussion est de mettre l'ancien nom dans un pseudo-champ Was : > > > > Subject: Driver r8169 pour carte PCI réseau DLink DGE-528T : jouable ? > > (Was: Driver r3189 pour carte PCI réseau DLink DGE-528T : jouable ?) > > > > Mais si c'est juste pour corriger une coquille, je pense que de > > juste la corriger dans le sujet entre deux courriels sera tout à > > fait tolérable. > Bonjour, > Puisqu'on est sur une liste francophone, peut-être mieux «était» que «was»… Sûr, mais il me semblait qu'à une époque, certains logiciels comme Thunderbird étaient capable de réagir à la présence de ce format particulier pour enlever automatiquement le champ Was à la réponse suivante. J'ignore si c'est toujours le cas, ni si un champ localisé Était serait proprement pris en compte dans une telle situation. Bonne journée, :) -- Étienne Mollier Fingerprint: 8f91 b227 c7d6 f2b1 948c 8236 793c f67e 8f0d 11da Sent from /dev/pts/2, please excuse my verbosity. On air: Sage's Recital - The Winter Symphony signature.asc Description: PGP signature
Re: Log de kernel audit
Le 18/07/2023 à 09:52, Étienne Mollier a écrit : Bonjour, Francois Mescam, on 2023-07-15: J'observe depuis un ou deux jours un nombre important de messages qui répondent au masque suivant kernel:.+ audit: type=.+ audit\(.+\): dans les log. Auparavant je n'avais qu'un nombre limité de messages provenant de apparmor mais maintenant la variété de log a beaucoup augmenté. Mon système est en testing mis à jour tous les 1 jour ou 2. J'ai observé aussi une mise à jour de libaudit... hier mais pas de rapport de bogue sur ces paquets. Quelqu'un a-t-il aussi remarqué ce genre de phénomène ? J'ai eu une grosse inflation de tels messages dans sid il y a peut-être deux semaines. Depuis j'ai redémarré et les messages Ce décalage entre nous me semble normal car je suis en testing d'audit ont l'air d'être revenu à leur normale. Peut-être que ça venait d'un écart de version entre deux composants en train de tourner sur la machine. Est-ce que le volume de messages d'audit est le même après un redémarrage ? Effectivement depuis la machine a redémarré le dimanche 16/7 et le volume est redevenu normal. J'ai aussi une autre machine qui n'a pas redémarré et la l'inflation continue. Je vais la redémarrer afin de confirmer. Bonne journée, :)
Re: Comment modifier l'objet erroné d'un fil de discussion ?
Le 18/07/2023 à 09:47, Étienne Mollier a écrit : La convention typique pour changer le sujet d'un fil de discussion est de mettre l'ancien nom dans un pseudo-champ Was : Subject: Driver r8169 pour carte PCI réseau DLink DGE-528T : jouable ? (Was: Driver r3189 pour carte PCI réseau DLink DGE-528T : jouable ?) Mais si c'est juste pour corriger une coquille, je pense que de juste la corriger dans le sujet entre deux courriels sera tout à fait tolérable. Bonjour, Puisqu'on est sur une liste francophone, peut-être mieux «était» que «was»… -- -- Dominique Marin http://txodom.free.fr -- «Le voisin est un animal nuisible assez proche de l'homme.» -- Pierre Desproges --
Problème de Hotspot Wi-Fi
Bonjour J’utilise parfois ma carte wifi pour faire un point d’accés wifi pour donner accès à internet à mon smartphone adndroid. En Deb 11.7 le point d’accès fonctionné (j’utilise gnome3) Ca ne fonctionne pas en debian 12 (je l’ai complètement réinstallée) Ma carte wifi est : # lspci -nnkd ::0280 00:14.3 Network controller [0280]: Intel Corporation Cannon Lake PCH CNVi WiFi [8086:a370] (rev 10) DeviceName: Onboard - Ethernet Subsystem: Intel Corporation Wireless-AC 9560 [8086:0034] Kernel driver in use: iwlwifi Kernel modules: iwlwifi En cherchant dans les logs j’ai trouvé : firmware: failed to load iwl-debug-yoyo.bin (-2) J’ai alors rajouté « options iwlwifi enable_ini=N » dans « /etc/modprobe.d/iwlwifi.conf » après redémarrage le message d’erreur n’est plus présent En utilisant « nm-connection-editor » j'ai pour le Hotspot, mis dans l’onglet « Sécurité Wi-Fi » aucune. Dans ce cas là mon téléphone voie bien le hotspot, la connection wifi est ok sauf que j’e n’ai pas d’internet. Le téléphone à bien une ip, une passerelle et un dns… Dans les logs j’ai bien « dnsmasq-dhcp[3785]: DHCPACK(wlo1) 10.42.0.85 xx:xx:xx:xx:xx:xx » Si je mets une sécurité « WPA/WPA2/WPA3 Personal » avec un mot de passe, le téléphone ne vois plus le point d’accès! Le « BIOS » de ma carte mère est à jour. J’ai bien dnsmasq-base d’installé un dnsmasq(aucune description n'est disponible) ii dnsmasq-base 2.89-1 amd64Small caching DNS proxy and DHCP/TFTP server un dnsmasq-base-lua (aucune description n'est disponible Le contenu de /etc/NetworkManager/system-connections/Hotspot.nmconnection --- [connection] id=Hotspot uuid=bed32897-51fb-4e25-a2d9-a37d8a29fb8e type=wifi autoconnect=false interface-name=wlo1 timestamp=1689670588 [wifi] mode=ap ssid=test [wifi-security] key-mgmt=wpa-psk psk=12341234 [ipv4] method=shared [ipv6] addr-gen-mode=stable-privacy method=shared [proxy] --- Auriez vous des pistes... Merci pour votre aide
Re: Comment modifier l'objet erroné d'un fil de discussion ?
Bonjour Ok. Merci. > Le 18 juil. 2023 à 09:48, Étienne Mollier a écrit : > > Bonjour, > > roger.tar...@free.fr, on 2023-07-17: >> Par exemple, je me suis trompé : >> Driver r3189 pour carte PCI réseau DLink DGE-528T : jouable ? >> >> au lieu de : >> Driver r8169 pour carte PCI réseau DLink DGE-528T : jouable ? >> >> Quelle est la convention pour renommer un fil de discussion ? > > La convention typique pour changer le sujet d'un fil de > discussion est de mettre l'ancien nom dans un pseudo-champ Was : > >Subject: Driver r8169 pour carte PCI réseau DLink DGE-528T : jouable ? > (Was: Driver r3189 pour carte PCI réseau DLink DGE-528T : jouable ?) > > Mais si c'est juste pour corriger une coquille, je pense que de > juste la corriger dans le sujet entre deux courriels sera tout à > fait tolérable. > > Bonne journée, :) > -- > Étienne Mollier > Fingerprint: 8f91 b227 c7d6 f2b1 948c 8236 793c f67e 8f0d 11da > Sent from /dev/tty1, please excuse my verbosity. signature.asc Description: Binary data
Re: Log de kernel audit
Bonjour, Francois Mescam, on 2023-07-15: > J'observe depuis un ou deux jours un nombre important de messages qui > répondent au masque suivant > > kernel:.+ audit: type=.+ audit\(.+\): > > dans les log. Auparavant je n'avais qu'un nombre limité de messages > provenant de apparmor mais maintenant la variété de log a beaucoup augmenté. > > Mon système est en testing mis à jour tous les 1 jour ou 2. J'ai observé > aussi une mise à jour de libaudit... hier mais pas de rapport de bogue sur > ces paquets. > > Quelqu'un a-t-il aussi remarqué ce genre de phénomène ? J'ai eu une grosse inflation de tels messages dans sid il y a peut-être deux semaines. Depuis j'ai redémarré et les messages d'audit ont l'air d'être revenu à leur normale. Peut-être que ça venait d'un écart de version entre deux composants en train de tourner sur la machine. Est-ce que le volume de messages d'audit est le même après un redémarrage ? Bonne journée, :) -- Étienne Mollier Fingerprint: 8f91 b227 c7d6 f2b1 948c 8236 793c f67e 8f0d 11da Sent from /dev/tty1, please excuse my verbosity. signature.asc Description: PGP signature
Re: Comment modifier l'objet erroné d'un fil de discussion ?
Bonjour, roger.tar...@free.fr, on 2023-07-17: > Par exemple, je me suis trompé : > Driver r3189 pour carte PCI réseau DLink DGE-528T : jouable ? > > au lieu de : > Driver r8169 pour carte PCI réseau DLink DGE-528T : jouable ? > > Quelle est la convention pour renommer un fil de discussion ? La convention typique pour changer le sujet d'un fil de discussion est de mettre l'ancien nom dans un pseudo-champ Was : Subject: Driver r8169 pour carte PCI réseau DLink DGE-528T : jouable ? (Was: Driver r3189 pour carte PCI réseau DLink DGE-528T : jouable ?) Mais si c'est juste pour corriger une coquille, je pense que de juste la corriger dans le sujet entre deux courriels sera tout à fait tolérable. Bonne journée, :) -- Étienne Mollier Fingerprint: 8f91 b227 c7d6 f2b1 948c 8236 793c f67e 8f0d 11da Sent from /dev/tty1, please excuse my verbosity. signature.asc Description: PGP signature
