Le 13/04/2021 à 13:33, Will van Gulik a écrit : > Question bête (encore une ;)), est-ce qu'avoir ssh 8.2 pour le support > u2f sur le bastion (uniquement) pourrait fonctionner si les serveurs > derrnière n'ont pas encore de ssh 8.2 ? Je suis dans un cas similaire, > j'aimerai faire du 2FA, probablement fido/u2f, mais je peux pas passer > tout mes hosts en ssh 8.2 . (vieux cisco, mikrotik, et autre variantes > mignonnes) . > > Un avis ? (Spoiler : je ne suis pas très familier avec ssh-agent, etc) . > > Will
Salut Will, On est plus à une question bête près, hein. J'aurais tendance à dire que oui tant que tu ne cherches pas à faire de l'agent-forwarding (c'est à dire que ton client SSH sur le bastion a la capacité de se connecter à l'agent sur ton poste au travers de la session que tu as avec le bastion, c'est assez dangereux quand tu ne maîtrises pas le serveur intermédiaire). Note : gpg-agent ne semble pas supporter l'agent-forwarding (ou j'ai loupé un truc). Dans ce cas, tu as bien du 2FA entre ton poste et le bastion mais plus entre le bastion et les hôtes finaux/finals. Je n'ai jamais joué avec les bastions, préférant me concentrer sur les clés et le 2FA mais j'imagine que l'idée c'est que tu te connectes à une machine qui stocke les clés utilisées pour se connecter sur les autres serveurs ? (en verrouillant l'IP source de connexion à celle du bastion uniquement). Ceci dit, si c'est le cas, si ton bastion se fait pourrir, l'ensemble de ton processus sécu est pawned non ? Et Mikrotik, avec leur R&D soft de bulot, ne supporte toujours pas ni les autorités SSH, ni les clés ECC (nist p384, ed25519). C'est moche mais ils l'ont promis pour Ros7 (avec l'auto-génération d'éléphants roses). Julien
OpenPGP_signature
Description: OpenPGP digital signature