On Wed, Sep 29, 2004 at 08:34:07PM +0200, olivier Nicolas wrote:
[EMAIL PROTECTED] wrote:
[Petite note concernant l'authentification password dans SSH : Il est preferable d'utiliser des cles RSA/DSA pour cela et d'eviter les passwords. Pour plusieurs raisons de securite...
Chaque fois que je cause des cles ssh, on me pause les questions suivantes
1. Comment "disabler" de mani?re centralis?e un utilisateur ?
utiliser des certificats avec CRL et un systeme pour les updater (ldap, OCSP, ou autre)
En utilisant un OpenSSH non standard (ce qui implique du repackaging � chaque nouvelle version).
2. Comment imposer le changement de la passphrase ? intervalle r?gulier? (je passe sur l'historique des 53 passphrases pr?c?dentes)
certificat/clefs == pas de passphrase sauf pour delocker le
fichier pem/pkcs12 contenant les credentials du user sur l'ordinateur client. L'identite est liee a la clef pub qui est elle meme dans un fichier.
�a OK, mais justement, le certificat est sur le poste client, qui est par d�finition plus vuln�rable qu'un serveur dans une salle machine avec contr�le d'acc�s physique. D'autant plus s'il s'agit d'un portable...
Et le probl�me est que le serveur n'a (d'apr�s ce que je sais, mais je n'ai pas lu les arcanes du protocole) aucun moyen de savoir si la cl� priv�e (sous forme de cl� SSH ou de certificats x509) utilis�e est chiffr�e ou non. Et *l�* est le probl�me.
3. Comment ?viter qu'un utilisateur "root" ne pousse des cl?s un peu partout ?
En interdisant les cl�s dans les comptes (param�tre AuthorizedKeysFile de sshd_config(5)) et en for�ant un contr�le centralis� avec une distribution centralis�e.
Ou alors en passant par des certificats et une centralisation des autorisations sur un annuaire LDAP.
ben .. si il est root il est root .. probablement que cet utilisateur ne devrait pas etre root si il n'est pas de confiance (utilisation des droits au lieu de donner root).
Tout � fait d'accord. Il a les droits root ? Il a aussi les devoirs du root, et moi plus. Sinon, man sudo.
4. Si un compte est accessible via plusieurs cl?s, comment logguer l'usage d'une cl? particuli?re ?
mmm. Tu peux toujours logger qui a eu acces via les uid. Si tu map plusieurs personnes sur le meme user(uid), c'est difficile de les distinguer apres, meme chose que pour root.
sshd_config(5)::PermitRootLogin No + man sudo.
Cdt,
J.
-- J�r�me Fenal jfenalml AT free.fr http://fenal.org/ _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
