Re: À propos de ssh
Vincent Lefevre, mardi 14 avril 2009, 01:11:10 CEST […] Il me semble logique que le mot de passe soit donné au serveur pour qu’il puisse authentifier. Ça ne me semble pas si logique que ça. La méthode par mot de passe, c’est pour fournir un rlogin chiffré, le mot de passe étant celui que l’on utilise pour un login « physique ». Donc c’est logique que sshd utilise la même méthode pour vérifier le mot de passe, donc il faut passer le mot de passe en clair à PAM (p.ex.). Le mot de passe chiffré (avec une donnée propre au serveur et une méthode asymétrique) pourrait être passé au serveur. Cela permettrait d'éviter de divulguer son mot de passe si par hasard, on le fourni[ss]ait à un mauvais serveur (e.g. serveur non identifié par RSA, etc.). Dans ce cas, ce ne serait plus une authentification par mot de passe : le mot de passe jouerait le même rôle qu’une clef privée, ce serait donc une authentification par clef publique. De plus, que le mot de passe soit ou non celui d’un login « physique » n’aurait aucune incidence. Donc, autant directement utiliser cette méthode (clefs RSA/DSA) et empêcher la méthode par mot de passe. -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: À propos de ssh
Vincent Lefevre, dimanche 12 avril 2009, 01:45:57 CEST On 2009-04-10 16:48:04 +0200, Sylvain Sauvage wrote: […] D’après ce que j’en sais, oui. Après vérification rapide du code, le mot de passe est lu et placé tel quel dans le paquet à envoyer (chiffré). D'ailleurs il est bien connu qu'un des trous de sécurité de telnet était l'envoi du mot de passe en clair. Vois pas le rapport. Dans ssh, le mot de passe est en clair mais dans le tunnel chiffré. Il me semble logique que le mot de passe soit donné au serveur pour qu’il puisse authentifier. Dans telnet, la connexion n’est pas chiffrée, donc le problème, c’est un petit malin qui se placerait au milieu pour regarder ce qui passe dans le tuyau. Notons aussi que lors d’un login sur une machine, le mot de passe est en clair, hein ; il est tapé au clavier. La machine le connait donc bien aussi et si un méchant a remplacé le programme login, on n’est au même point que si un méchant remplace le programme sshd pour choper les mots de passe. La seule différence, c’est que le fait que l’accès à la machine par l’utilisateur soit physique permet plus facilement à cet utilisateur de se rendre compte qu’il se trompe de machine… Maintenant c'est peut-être une des raisons pour lesquelles le système d'authentification RSA est plus sûr. Sûr, vu que les clefs privées restent privées. -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: À propos de ssh
Sylvain Sauvage a écrit : Vincent Lefevre, dimanche 12 avril 2009, 01:45:57 CEST On 2009-04-10 16:48:04 +0200, Sylvain Sauvage wrote: […] D’après ce que j’en sais, oui. Après vérification rapide du code, le mot de passe est lu et placé tel quel dans le paquet à envoyer (chiffré). D'ailleurs il est bien connu qu'un des trous de sécurité de telnet était l'envoi du mot de passe en clair. Vois pas le rapport. Dans ssh, le mot de passe est en clair mais dans le tunnel chiffré. Il me semble logique que le mot de passe soit donné au serveur pour qu’il puisse authentifier. Dans telnet, la connexion n’est pas chiffrée, donc le problème, c’est un petit malin qui se placerait au milieu pour regarder ce qui passe dans le tuyau. Notons aussi que lors d’un login sur une machine, le mot de passe est en clair, hein ; il est tapé au clavier. La machine le connait donc bien aussi et si un méchant a remplacé le programme login, on n’est au même point que si un méchant remplace le programme sshd pour choper les mots de passe. La seule différence, c’est que le fait que l’accès à la machine par l’utilisateur soit physique permet plus facilement à cet utilisateur de se rendre compte qu’il se trompe de machine… Maintenant c'est peut-être une des raisons pour lesquelles le système d'authentification RSA est plus sûr. Sûr, vu que les clefs privées restent privées. sauf quand un malin attaque la machine cliente (keylogger, ... etc) ou quand un utilisateur lambda ne met pas de passphrase (ou en met une facile), ce qu'on ne peut pas vérifier côté serveur. notre vie d'araignée est décidément trop dure ;-p -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: À propos de ssh
On 2009-04-13 19:20:09 +0200, Sylvain Sauvage wrote: Vincent Lefevre, dimanche 12 avril 2009, 01:45:57 CEST D'ailleurs il est bien connu qu'un des trous de sécurité de telnet était l'envoi du mot de passe en clair. Vois pas le rapport. Dans ssh, le mot de passe est en clair mais dans le tunnel chiffré. Je dis juste que dans les deux cas, le mot de passe en clair est passé au serveur. Il me semble logique que le mot de passe soit donné au serveur pour qu’il puisse authentifier. Ça ne me semble pas si logique que ça. Le mot de passe chiffré (avec une donnée propre au serveur et une méthode asymétrique) pourrait être passé au serveur. Cela permettrait d'éviter de divulguer son mot de passe si par hasard, on le fournirait à un mauvais serveur (e.g. serveur non identifié par RSA, etc.). -- Vincent Lefèvre vinc...@vinc17.org - Web: http://www.vinc17.org/ 100% accessible validated (X)HTML - Blog: http://www.vinc17.org/blog/ Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: À propos de ssh
On 2009-04-10 16:48:04 +0200, Sylvain Sauvage wrote: Mais bon, celui qui contrôle le serveur SSH peut en faire ce qu’il veut et la chaîne de caractères qu’est ton mot de passe lui est bien accessible… Est-ce bien certain ? D’après ce que j’en sais, oui. Après vérification rapide du code, le mot de passe est lu et placé tel quel dans le paquet à envoyer (chiffré). D'ailleurs il est bien connu qu'un des trous de sécurité de telnet était l'envoi du mot de passe en clair. Maintenant c'est peut-être une des raisons pour lesquelles le système d'authentification RSA est plus sûr. -- Vincent Lefèvre vinc...@vinc17.org - Web: http://www.vinc17.org/ 100% accessible validated (X)HTML - Blog: http://www.vinc17.org/blog/ Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: À propos de ssh
Bonjour, Cela pourrait permettre à l'administrateur de la machine d'avoir un accès à celle que j'étais censé être loggué, dans l'optique où il déduirait l'erreur de saisie d'url que j'ai fais (un .org au lieu d'un .com dans le cas présent). … et pire. La connexion est chiffrée avant de demander le mot de passe. Mais bon, celui qui contrôle le serveur SSH peut en faire ce qu’il veut et la chaîne de caractères qu’est ton mot de passe lui est bien accessible… Est-ce bien certain ? Même si la connexion est chiffrée l'envoi du mot de passe ne me paraît pas utile. Un hachage du password doit suffire non ? -- Guy -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: À propos de ssh
Guy Roussin, vendredi 10 avril 2009, 09:49:37 CEST Bonjour, ’jour, […] Mais bon, celui qui contrôle le serveur SSH peut en faire ce qu’il veut et la chaîne de caractères qu’est ton mot de passe lui est bien accessible… Est-ce bien certain ? D’après ce que j’en sais, oui. Après vérification rapide du code, le mot de passe est lu et placé tel quel dans le paquet à envoyer (chiffré). Même si la connexion est chiffrée l'envoi du mot de passe ne me paraît pas utile. Un hachage du password doit suffire non ? sshd doit envoyer le mot de passe au système de gestion des authentifications (c’est-à-dire pam, nss…) pour qu’il soit vérifié. Il faut que tout le monde soit d’accord sur la fonction de hachage… De toutes façons, ce qui est reçu par le serveur est suffisant pour identifier et authentifier l’utilisateur sur la machine. Si le mot de passe est en clair, il peut s’en servir via un client normal, sinon, il suffirait d’un client qui ne re-hache pas le mot de passe récupéré. Aucune sécurité supplémentaire dans ce cas. -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: À propos de ssh
Sylvain Sauvage a écrit : Goldy, vendredi 10 avril 2009, 01:19:45 CEST Bonjour, ’re, […] J'aimerais savoir si le fait de tenter de se logguer sur une machine laissait une trace de mon passage et tout particulièrement affichait quelque part dans les logs de la machine le mot de passe que j'ai utilisé pour tenter de me logguer. Heureusement que non (normalement). Sinon… Cela pourrait permettre à l'administrateur de la machine d'avoir un accès à celle que j'étais censé être loggué, dans l'optique où il déduirait l'erreur de saisie d'url que j'ai fais (un .org au lieu d'un .com dans le cas présent). … et pire. La connexion est chiffrée avant de demander le mot de passe. Mais bon, celui qui contrôle le serveur SSH peut en faire ce qu’il veut et la chaîne de caractères qu’est ton mot de passe lui est bien accessible… Merci pour la réponse, je pense que je vais modifier le mot de passe dans ce cas là. Donc, c’est à toi de vérifier le serveur sur lequel tu te connectes. C’est pour ça qu’il y a un fichier known_hosts. C’est pour ça que ssh te demandes te confirmer quand tu vas sur un nouveau serveur et qu’il ne faut pas répondre oui sans réfléchir… Oui, en règle général, je fais attention, le soucis c'est que j'ai du utiliser putty sur un téléphone portable en urgence et c'est pour cela que l'erreur a été faite. En fait, j'avais bien un doute sur l'adresse mais quand j'ai reçu une réponse d'un serveur ssh sur l'adresse, j'ai pensé bêtement que je n'avais pas fait d'erreur. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
À propos de ssh
Bonjour, Il m'est arrivé parfois, et cela à cause d'une erreur de saisie dans une url, de tenter de me connecter en ssh à une mauvaise machine. Bien entendu, je m'en suis rendu compte au bout d'un moment car il m'était impossible de me logguer alors que j'étais persuadé de saisir mon mot de passe convenablement. J'aimerais savoir si le fait de tenter de se logguer sur une machine laissait une trace de mon passage et tout particulièrement affichait quelque part dans les logs de la machine le mot de passe que j'ai utilisé pour tenter de me logguer. Cela pourrait permettre à l'administrateur de la machine d'avoir un accès à celle que j'étais censé être loggué, dans l'optique où il déduirait l'erreur de saisie d'url que j'ai fais (un .org au lieu d'un .com dans le cas présent). Et là, je suis très sensible à la sécurité depuis que j'ai eu un accès frauduleux à mon compte paypal, compte sur lequel j'utilisais un mot de passe exclusif, à ce demander comment c'est possible... mais c'est pas le sujet. Merci d'avance. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: À propos de ssh
Goldy, vendredi 10 avril 2009, 01:19:45 CEST Bonjour, ’re, […] J'aimerais savoir si le fait de tenter de se logguer sur une machine laissait une trace de mon passage et tout particulièrement affichait quelque part dans les logs de la machine le mot de passe que j'ai utilisé pour tenter de me logguer. Heureusement que non (normalement). Sinon… Cela pourrait permettre à l'administrateur de la machine d'avoir un accès à celle que j'étais censé être loggué, dans l'optique où il déduirait l'erreur de saisie d'url que j'ai fais (un .org au lieu d'un .com dans le cas présent). … et pire. La connexion est chiffrée avant de demander le mot de passe. Mais bon, celui qui contrôle le serveur SSH peut en faire ce qu’il veut et la chaîne de caractères qu’est ton mot de passe lui est bien accessible… Donc, c’est à toi de vérifier le serveur sur lequel tu te connectes. C’est pour ça qu’il y a un fichier known_hosts. C’est pour ça que ssh te demandes te confirmer quand tu vas sur un nouveau serveur et qu’il ne faut pas répondre oui sans réfléchir… -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org