Le 19/07/2023 à 11:26, RogerT a écrit :
Merci beaucoup pour tes pointeurs. Je vais étudier ça.
Le HSM gérera la clef ; ou plutôt il gérera la passphrase de protection
beaucoup plus courte que la clef elle-même 2048 bits.
En pratique, sais-tu si pour utiliser un HSM on DOIT s’interfacer avec le
système via PAM ? (Je me dis que oui, car je crois savoir que
l’authentification par LDAP passe par PAM).
Qui a de l’expérience sur utiliser un HSM via ou sans PAM ?
Merci.
rappel d'avertissement: je suis une tanche en réseau et sécurité, donc
ne te fie surtout pas à mes suppositions sans te référer à des personnes
dont tu estimes qu'elles ont une expertise valable et sans étudier avec
esprit critique les solutions possibles.
J'ai l'*impression* (je suis une tanche) que les bonnes pratiques
actuellement recommandent l'emploi de PAM au sein d'un groupe de
solutions lorsqu'il s'agit d'un contexte réseau global (exemple: réseau
d'une grosse entreprise, par opposition à un réseau d'un particulier
offrant un unique service quelconque sans que les conséquences soient
catastrophiques si il y a intrusion dans le réseau) ayant des impératifs
de sécurité.
Mais j'ai l'*impression* qu'il est possible, même pour un administrateur
réseau consciencieux et prudent, d'avoir laissé des trous dans sa config
PAM qui permettent le contournement de PAM.
Donc j'ai l'*impression* aussi qu'il doit être possible de
volontairement court-circuiter PAM pour employer un HSM, probablement
dans un but de simplification
Mais j'ai aussi l'*impression* que ce serait potentiellement
contre-productif puisque le but de PAM me semblant plus ou moins de
border la sécurité d'accès en général et l'emploi d'un HSM représentant
un cas d'emploi, ce serait alors potentiellement bizarre de vouloir
contourner PAM par facilité.
Tu noteras que ça fait beaucoup d'impressions et qu'il ne serait pas
sage de s'appuyer trop fort là-dessus ;-)
Si tu me permets une suggestion (amicale et d'un ignare du sujet), la
réponse que t'a faite Michel Verdier par ailleurs pourrait laisser
penser que comme moi, il s'interroge sur la clarté de tes objectifs
(qu'est-ce que tu veux faire exactement?), et peut-être pourrais-tu
essayer de débroussailler le but à atteindre sans dans un premier temps
envisager les moyens à mettre en oeuvre (ici un HSM) car ça influe sur
la réflexion
:-)
