Re: Conseils sur la sécurisation de ses accès par SSH

[Grégory Reinbold]

La réponse à ta question réside dans ta réponse.

Tout est question de choix, de confort, de praticité et de connaissance.
Je ne suis pas un expert en sécurité et je ne prétend pas l'être. Mon 
niveau de connaissance dans ce domaine est limité, mais me semble 
suffisant pour limiter le risque.

Ma remarque porte sur le sujet d'avoir 2 ou 3 clés publiques pour TOUTES 
les machines. Exemple tu gères un parc de 80 machines avec 2 ou 3 clés 
sur un support USB, portable, CD ou ce que tu veux.

Si par malheur tu perds ce support contenant ces clés, tu perds les clés 
d'accès à TOUT ton parc. En d'autres termes, c'est comme si tu avais 10 
résidences secondaires et que tu conserves les clés de TOUTES tes 
résidences sur le même trousseau. Cela ne t'effraye pas ?

C'est tout :)

Le 08/04/2016 15:57, Olivier a écrit :


Le 8 avril 2016 à 14:59, Grégory Reinbold <greg...@nosheep.fr 
<mailto:greg...@nosheep.fr>> a écrit :

    Oui et si tu venais à perdre cette clé USB ? Toutes tes machines
    sont menacées par tes deux seules clés :)

    A méditer...


Je ne suis pas sûr d'avoir compris cette remarque.

Pour ma part, je pensais copier 2 ou 3 clés publiques (toujours les 
mêmes) sur tous les machines distantes et d'avoir au moins 2 moyens 
d'accès (mon smartphone et un PC avec sa clé USB)




    Le 08/04/2016 13:58, andre_deb...@numericable.fr
    <mailto:andre_deb...@numericable.fr> a écrit :

        On Friday 08 April 2016 11:20:41 Grégory Reinbold wrote:

            Pour ce qui est des clés ssh à usages multiples (sur plusieurs
            machines), personnellement j'évite. Pour chaque nouvelle
            machine qui
            entre dans mon scope, je créé une nouvelle clé qui lui ai
            dédié.
            Inconvénient : en fonction du parc, tu peux te retrouver
            avec un grand
            nombre de clés, il faut donc veiller à bien les nommer et
            à laisser un
            commentaire pertinent pour identfiier rapidement la
            machine concernée
            [ex. : (domaine).hostname.user]
            Avantage : clé perdue, dérobée ou vérolée ? pas de souci,
            cela n'expose
            qu'une machine au maximum et il me suffit de supprimer la
            clé publique
            correspondante dans le fichier authorized_keys
            Si ça peut t'aider

        Les connexions SSH avec clés publique et privées, restent très
        sécurisées,
        qui peut se procurer les deux clés, sauf si on a perdu la clé
        USB les
        contenant.
        Il faut modifier l'éternel port 22 par un autre,
        n'autoriser qu'une à deux personnes à se connecter au serveur,
        n'autoriser que la connexion par clés,
        ne pas autoriser le login root...
        Dès lors, on peut dormir tranquille.

        André


    -- 
    Grégory Reinbold



--
Grégory Reinbold