Hello Mickael, Par le passé, j’ai mis en place cet solution https://goteleport.com/ en tant que Bastion SSH avec record session + 2FA Hard Yubikey. Intégration transparente au niveau de OpenSSH tant que la config est bien faite et qu’un login au bastion est réaliser.
Je ne travaille plus dans la structure je ne pourrais donc pas partager de fichier de configuration ou autres... #my2cents Olivier April 13, 2021 10:45 AM, "Alain Bieuzent" <[email protected]> wrote: > Salut Mickael, > > Regarde du côté de Wallix + OneLogin > (https://www.onelogin.com/partners/technology-partners/wallix). > > A+ > > Le 13/04/2021 10:28, « Mickael Hubert » <[email protected] au nom de > [email protected]> a > écrit : > > Bonjour à tous, > Actuellement pour prendre la main sur nos serveurs (SSH), nous nous > connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc > ..) et chaque profil n'a accès qu'à ce qu'il a besoin. > Mais dans le cadre de notre compliance PCI-DSS, il nous manque 2 points à > valider, l'un d'eux est la mise en place du 2FA sur nos accès SSH > justement. > Bon le truc, c'est qu'on ouvre 1001 fenêtres quand on travaille sur un > serveur ;) > Si je dois à chaque fois taper le 2FA ça va vite devenir chiant... sans > parler du timeout d'inactivité de la session SSH. > > Auriez-vous des solutions "plus user friendly" ? > J'avais imaginer mettre en place un bastion, mais bon ouvrir 1001 sessions > avec 2FA sur le bastion ou sur les serveurs en direct, ça revient au même > pour moi. > A moins qu'il existe un bastion qui te demande le 2FA à la première > connexion, puis plus après pour les autres sessions que tu pourrais ouvrir > ... > Peut-être du 2FA en hard (avec une clé)... > > merci d'avance pour votre aide > ++ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
