Re: [FRnOG] [TECH] 2FA, avec ou sans bastion ?
Salut, un grand merci à vous pour toutes vos réponses ! Cela va grandement nous aider à avancer. ++ Le mar. 13 avr. 2021 à 20:06, Vincent Bernat a écrit : > ❦ 13 avril 2021 18:28 +02, Will van Gulik: > > > De ce que j'ai lu dans le man et en re-regardant ma conf, j'utilise le > > forwarding-agent dans ma config, et je me connecte à un host (final) via > > un bastion. Dans ce cas, j'ai une clef pour mon bastion, et des > clefs/une clef pour mes > > serveurs derrière, et je ne stocke pas de clef sur le bastion, en toute > > logique. Dans mon fichier ssh j'utilise les paramèẗres ProxyCommand et > > ForwardAgent . > > Pas besoin de ForwardAgent du coup. > -- > Don't sacrifice clarity for small gains in "efficiency". > - The Elements of Programming Style (Kernighan & Plauger) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 2FA, avec ou sans bastion ?
❦ 13 avril 2021 18:28 +02, Will van Gulik: > De ce que j'ai lu dans le man et en re-regardant ma conf, j'utilise le > forwarding-agent dans ma config, et je me connecte à un host (final) via > un bastion. Dans ce cas, j'ai une clef pour mon bastion, et des clefs/une > clef pour mes > serveurs derrière, et je ne stocke pas de clef sur le bastion, en toute > logique. Dans mon fichier ssh j'utilise les paramèẗres ProxyCommand et > ForwardAgent . Pas besoin de ForwardAgent du coup. -- Don't sacrifice clarity for small gains in "efficiency". - The Elements of Programming Style (Kernighan & Plauger) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 2FA, avec ou sans bastion ?
On Tue, Apr 13, 2021 at 03:24:48PM +0200, Julien Escario wrote: > > Le 13/04/2021 à 13:33, Will van Gulik a écrit : > > Question bête (encore une ;)), est-ce qu'avoir ssh 8.2 pour le support > > u2f sur le bastion (uniquement) pourrait fonctionner si les serveurs > > derrnière n'ont pas encore de ssh 8.2 ? Je suis dans un cas similaire, > > j'aimerai faire du 2FA, probablement fido/u2f, mais je peux pas passer > > tout mes hosts en ssh 8.2 . (vieux cisco, mikrotik, et autre variantes > > mignonnes) . > > > > [...] > > J'aurais tendance à dire que oui tant que tu ne cherches pas à faire de > l'agent-forwarding (c'est à dire que ton client SSH sur le bastion a la > capacité de se connecter à l'agent sur ton poste au travers de la > session que tu as avec le bastion, c'est assez dangereux quand tu ne > maîtrises pas le serveur intermédiaire). Note : gpg-agent ne semble pas > supporter l'agent-forwarding (ou j'ai loupé un truc). > > Dans ce cas, tu as bien du 2FA entre ton poste et le bastion mais plus > entre le bastion et les hôtes finaux/finals. > > Je n'ai jamais joué avec les bastions, préférant me concentrer sur les > clés et le 2FA mais j'imagine que l'idée c'est que tu te connectes à une > machine qui stocke les clés utilisées pour se connecter sur les autres > serveurs ? (en verrouillant l'IP source de connexion à celle du bastion > uniquement). De ce que j'ai lu dans le man et en re-regardant ma conf, j'utilise le forwarding-agent dans ma config, et je me connecte à un host (final) via un bastion. Dans ce cas, j'ai une clef pour mon bastion, et des clefs/une clef pour mes serveurs derrière, et je ne stocke pas de clef sur le bastion, en toute logique. Dans mon fichier ssh j'utilise les paramèẗres ProxyCommand et ForwardAgent . Je ferai le test dès que j'arrive a me fabriquer un bastion en 8.2, et un client en 8.2 . (Ralala, encore une raison de passer a FB13 ;) ) > > Ceci dit, si c'est le cas, si ton bastion se fait pourrir, l'ensemble de > ton processus sécu est pawned non ? > A moitié, parcque pas de clef sur le bastion. Mais on peut supposer que si je me suis fait pwn le bastion, j'aurais probablement la même vuln' sur mes hosts derrières. > Et Mikrotik, avec leur R&D soft de bulot, ne supporte toujours pas ni > les autorités SSH, ni les clés ECC (nist p384, ed25519). C'est moche > mais ils l'ont promis pour Ros7 (avec l'auto-génération d'éléphants roses). > Right, autant prévoir une teuf officiel dans une salle fermée la semaine prochaine. ;) > Julien > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 2FA, avec ou sans bastion ?
Le 13/04/2021 à 15:24, Julien Escario a écrit : Note : gpg-agent ne semble pas supporter l'agent-forwarding (ou j'ai loupé un truc). gpg-agent supporte l'agent-forwarding. Je l'utilise avec une clé Yubico. C'est assez pratique et, je pense, pas si dangereux que ça car tu dois valider chaque utilisation de ta clé par ssh en tapotant la Yubikey. Tu maitrises ainsi un petit peu l'utilisation de ta clé. Antoine --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 2FA, avec ou sans bastion ?
Le 13/04/2021 à 13:33, Will van Gulik a écrit : > Question bête (encore une ;)), est-ce qu'avoir ssh 8.2 pour le support > u2f sur le bastion (uniquement) pourrait fonctionner si les serveurs > derrnière n'ont pas encore de ssh 8.2 ? Je suis dans un cas similaire, > j'aimerai faire du 2FA, probablement fido/u2f, mais je peux pas passer > tout mes hosts en ssh 8.2 . (vieux cisco, mikrotik, et autre variantes > mignonnes) . > > Un avis ? (Spoiler : je ne suis pas très familier avec ssh-agent, etc) . > > Will Salut Will, On est plus à une question bête près, hein. J'aurais tendance à dire que oui tant que tu ne cherches pas à faire de l'agent-forwarding (c'est à dire que ton client SSH sur le bastion a la capacité de se connecter à l'agent sur ton poste au travers de la session que tu as avec le bastion, c'est assez dangereux quand tu ne maîtrises pas le serveur intermédiaire). Note : gpg-agent ne semble pas supporter l'agent-forwarding (ou j'ai loupé un truc). Dans ce cas, tu as bien du 2FA entre ton poste et le bastion mais plus entre le bastion et les hôtes finaux/finals. Je n'ai jamais joué avec les bastions, préférant me concentrer sur les clés et le 2FA mais j'imagine que l'idée c'est que tu te connectes à une machine qui stocke les clés utilisées pour se connecter sur les autres serveurs ? (en verrouillant l'IP source de connexion à celle du bastion uniquement). Ceci dit, si c'est le cas, si ton bastion se fait pourrir, l'ensemble de ton processus sécu est pawned non ? Et Mikrotik, avec leur R&D soft de bulot, ne supporte toujours pas ni les autorités SSH, ni les clés ECC (nist p384, ed25519). C'est moche mais ils l'ont promis pour Ros7 (avec l'auto-génération d'éléphants roses). Julien OpenPGP_signature Description: OpenPGP digital signature
Re: [FRnOG] [TECH] 2FA, avec ou sans bastion ?
On Tue, Apr 13, 2021 at 11:01:29AM +0200, Julien Escario wrote: > > Le 13/04/2021 à 10:26, Mickael Hubert a écrit : > > Bonjour à tous, > > Actuellement pour prendre la main sur nos serveurs (SSH), nous nous > > connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc > > ..) et chaque profil n'a accès qu'à ce qu'il a besoin. > > Mais dans le cadre de notre compliance PCI-DSS, il nous manque 2 points à > > valider, l'un d'eux est la mise en place du 2FA sur nos accès SSH > > justement. > > [...] > > Peut-être du 2FA en hard (avec une clé)... > > Alors, écoute, clairement, un yubikey en guise de 2FA, ca fonctionne > vraiment très bien. Nous n'avons pas de bastion ici encore mais toutes > les sessions SSH sont basées sur clé SSH privée exportée depuis > l'identité GnuPG de la yubikey (gpg-agent) + certificat SSH pour éviter > de devoir gérer une liste de clé SSH (le bastion rempli déjà ce rôle du > coup). > > Si toutes tes machines sont parfaitement à jour, tu peux aussi partir > sur ed25519_sk. Je n'ai pas beaucoup jouer avec parce que OpenSSH 8+ > obligatoire et honnêtement, on en est pas encore là. Ca évite de se > coller la partie GnuPG qui est assez mal documentée et même parfois > bugguée (spoiler : ne faites pas de ed25519 avec GnuPG). > [...] > Julien > > Question bête (encore une ;)), est-ce qu'avoir ssh 8.2 pour le support u2f sur le bastion (uniquement) pourrait fonctionner si les serveurs derrnière n'ont pas encore de ssh 8.2 ? Je suis dans un cas similaire, j'aimerai faire du 2FA, probablement fido/u2f, mais je peux pas passer tout mes hosts en ssh 8.2 . (vieux cisco, mikrotik, et autre variantes mignonnes) . Un avis ? (Spoiler : je ne suis pas très familier avec ssh-agent, etc) . Will --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 2FA, avec ou sans bastion ?
Le 13/04/21 à 10:40, Remi Desgrange a écrit : > Ce que je ferai, c'est, connexion sur un bastion avec 2FA, lancement d'un > tmux dans le shell (sur le bastion donc). Tu à ainsi l'enregistrement de ce > que tu fais (compliance toussa) + retour de la session si le SSH coupe. Sauf que je suppose qu'il doit logguer ce qui se passe sur la destination, le tmux du bastion peut faire ça ? Dsl si c'est une question idiote, je connais pas PCI DSS et je sais pas du tout s'il faut logguer uniquement l'accès (quel individu accède à une connexion user@host) ou s'il faut ensuite aussi logguer tout ce qui est fait dans la session ssh (et j'avoue ne pas bien comprendre comment on peut empêcher un admin avec des droits root de masquer ses traces, peut-être que de logguer le fait qu'il les masque suffit, mais ça suppose un log distant vers un host sur lequel il n'a pas de droits). -- Daniel Dieu lui même ne pourrait pas couler ce bateau. Le capitaine du Titanic (1912) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 2FA, avec ou sans bastion ?
Le mardi 13 avril 2021 (10:40), Remi Desgrange écrivait : > > Pour les clés 2FA phy les yubikey cpas mal. > C'est hors sujet par rapport à la question posée mais je signale que les clefs fido2/U2F peuvent aussi rendre plus souples l'usage des clefs ssh. Avec un ssh pas trop vieux supportant les types de clefs "ecdsa-sk" et "ed25519-sk". À la connexion, il suffit de mettre son doigt sur la clef de sécurité pour que le ssh du poste local construise la clef privée. Suis-je le seul à utiliser ça ? -- Pascal Petit, Les courriels professionnels que je pourrais envoyer en dehors des heures de travail ne requièrent pas de réponse en dehors des heures de travail. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 2FA, avec ou sans bastion ?
Le 13/04/2021 à 10:26, Mickael Hubert a écrit : > Bonjour à tous, > Actuellement pour prendre la main sur nos serveurs (SSH), nous nous > connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc > ..) et chaque profil n'a accès qu'à ce qu'il a besoin. > Mais dans le cadre de notre compliance PCI-DSS, il nous manque 2 points à > valider, l'un d'eux est la mise en place du 2FA sur nos accès SSH > justement. > [...] > Peut-être du 2FA en hard (avec une clé)... Alors, écoute, clairement, un yubikey en guise de 2FA, ca fonctionne vraiment très bien. Nous n'avons pas de bastion ici encore mais toutes les sessions SSH sont basées sur clé SSH privée exportée depuis l'identité GnuPG de la yubikey (gpg-agent) + certificat SSH pour éviter de devoir gérer une liste de clé SSH (le bastion rempli déjà ce rôle du coup). Si toutes tes machines sont parfaitement à jour, tu peux aussi partir sur ed25519_sk. Je n'ai pas beaucoup jouer avec parce que OpenSSH 8+ obligatoire et honnêtement, on en est pas encore là. Ca évite de se coller la partie GnuPG qui est assez mal documentée et même parfois bugguée (spoiler : ne faites pas de ed25519 avec GnuPG). J'ai écrit un bout d'exemple de conf rapide pour le support Yubikey à l'époque, c'est toujours en ligne : https://gitlab.altinea.fr/altinea/install-scripts/src/branch/master/ssh/yubibug.md Attention, je ne garantis pas que ça va rester encore des mois en ligne ça. Julien OpenPGP_signature Description: OpenPGP digital signature
Re: [FRnOG] [TECH] 2FA, avec ou sans bastion ?
+1 Avec le bastion Wallix on peut proxyfier tous les flux d'admin et notamment les flux SSH. Si mes souvenirs sont bons, d'après la norme PCI-DSS une seule 2FA est nécessaire. Celle-ci peut être faite au moment de l'authentification sur le Bastion. Une fois sur le Bastion, en fct des privilèges les users ont accès aux différentes ressources sans 2FA. Le mar. 13 avr. 2021 à 10:47, Alain Bieuzent a écrit : > Salut Mickael, > > Regarde du côté de Wallix + OneLogin ( > https://www.onelogin.com/partners/technology-partners/wallix). > > A+ > > Le 13/04/2021 10:28, « Mickael Hubert » de mick...@winlux.fr> a écrit : > > Bonjour à tous, > Actuellement pour prendre la main sur nos serveurs (SSH), nous nous > connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, > etc > ..) et chaque profil n'a accès qu'à ce qu'il a besoin. > Mais dans le cadre de notre compliance PCI-DSS, il nous manque 2 > points à > valider, l'un d'eux est la mise en place du 2FA sur nos accès SSH > justement. > Bon le truc, c'est qu'on ouvre 1001 fenêtres quand on travaille sur un > serveur ;) > Si je dois à chaque fois taper le 2FA ça va vite devenir chiant... sans > parler du timeout d'inactivité de la session SSH. > > Auriez-vous des solutions "plus user friendly" ? > J'avais imaginer mettre en place un bastion, mais bon ouvrir 1001 > sessions > avec 2FA sur le bastion ou sur les serveurs en direct, ça revient au > même > pour moi. > A moins qu'il existe un bastion qui te demande le 2FA à la première > connexion, puis plus après pour les autres sessions que tu pourrais > ouvrir > ... > Peut-être du 2FA en hard (avec une clé)... > > merci d'avance pour votre aide > ++ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 2FA, avec ou sans bastion ?
Hello Mickael, Par le passé, j’ai mis en place cet solution https://goteleport.com/ en tant que Bastion SSH avec record session + 2FA Hard Yubikey. Intégration transparente au niveau de OpenSSH tant que la config est bien faite et qu’un login au bastion est réaliser. Je ne travaille plus dans la structure je ne pourrais donc pas partager de fichier de configuration ou autres... #my2cents Olivier April 13, 2021 10:45 AM, "Alain Bieuzent" wrote: > Salut Mickael, > > Regarde du côté de Wallix + OneLogin > (https://www.onelogin.com/partners/technology-partners/wallix). > > A+ > > Le 13/04/2021 10:28, « Mickael Hubert » mick...@winlux.fr> a > écrit : > > Bonjour à tous, > Actuellement pour prendre la main sur nos serveurs (SSH), nous nous > connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc > ..) et chaque profil n'a accès qu'à ce qu'il a besoin. > Mais dans le cadre de notre compliance PCI-DSS, il nous manque 2 points à > valider, l'un d'eux est la mise en place du 2FA sur nos accès SSH > justement. > Bon le truc, c'est qu'on ouvre 1001 fenêtres quand on travaille sur un > serveur ;) > Si je dois à chaque fois taper le 2FA ça va vite devenir chiant... sans > parler du timeout d'inactivité de la session SSH. > > Auriez-vous des solutions "plus user friendly" ? > J'avais imaginer mettre en place un bastion, mais bon ouvrir 1001 sessions > avec 2FA sur le bastion ou sur les serveurs en direct, ça revient au même > pour moi. > A moins qu'il existe un bastion qui te demande le 2FA à la première > connexion, puis plus après pour les autres sessions que tu pourrais ouvrir > ... > Peut-être du 2FA en hard (avec une clé)... > > merci d'avance pour votre aide > ++ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org > > --- > Liste de diffusion du FRnOG > http://www.frnog.org --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 2FA, avec ou sans bastion ?
Salut Mickael, Regarde du côté de Wallix + OneLogin (https://www.onelogin.com/partners/technology-partners/wallix). A+ Le 13/04/2021 10:28, « Mickael Hubert » a écrit : Bonjour à tous, Actuellement pour prendre la main sur nos serveurs (SSH), nous nous connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc ..) et chaque profil n'a accès qu'à ce qu'il a besoin. Mais dans le cadre de notre compliance PCI-DSS, il nous manque 2 points à valider, l'un d'eux est la mise en place du 2FA sur nos accès SSH justement. Bon le truc, c'est qu'on ouvre 1001 fenêtres quand on travaille sur un serveur ;) Si je dois à chaque fois taper le 2FA ça va vite devenir chiant... sans parler du timeout d'inactivité de la session SSH. Auriez-vous des solutions "plus user friendly" ? J'avais imaginer mettre en place un bastion, mais bon ouvrir 1001 sessions avec 2FA sur le bastion ou sur les serveurs en direct, ça revient au même pour moi. A moins qu'il existe un bastion qui te demande le 2FA à la première connexion, puis plus après pour les autres sessions que tu pourrais ouvrir ... Peut-être du 2FA en hard (avec une clé)... merci d'avance pour votre aide ++ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 2FA, avec ou sans bastion ?
Je n’ai pas la solution parfaite, mais déjà dans ton .ssh/config tu peux mettre un "SeverAliveInterval 30" pour maintenir la connexion, on peut même baisser a 5 pour les 4G dans le train :-) Ce que je ferai, c'est, connexion sur un bastion avec 2FA, lancement d'un tmux dans le shell (sur le bastion donc). Tu à ainsi l'enregistrement de ce que tu fais (compliance toussa) + retour de la session si le SSH coupe. Pour les clés 2FA phy les yubikey cpas mal. Sinon on a FreeOTP au taff sur le téléphone ça fait le job. On Tue, Apr 13, 2021 at 10:27 AM Mickael Hubert wrote: > Bonjour à tous, > Actuellement pour prendre la main sur nos serveurs (SSH), nous nous > connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc > ..) et chaque profil n'a accès qu'à ce qu'il a besoin. > Mais dans le cadre de notre compliance PCI-DSS, il nous manque 2 points à > valider, l'un d'eux est la mise en place du 2FA sur nos accès SSH > justement. > Bon le truc, c'est qu'on ouvre 1001 fenêtres quand on travaille sur un > serveur ;) > Si je dois à chaque fois taper le 2FA ça va vite devenir chiant... sans > parler du timeout d'inactivité de la session SSH. > > Auriez-vous des solutions "plus user friendly" ? > J'avais imaginer mettre en place un bastion, mais bon ouvrir 1001 sessions > avec 2FA sur le bastion ou sur les serveurs en direct, ça revient au même > pour moi. > A moins qu'il existe un bastion qui te demande le 2FA à la première > connexion, puis plus après pour les autres sessions que tu pourrais ouvrir > ... > Peut-être du 2FA en hard (avec une clé)... > > merci d'avance pour votre aide > ++ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Cordialement, Rémi Desgrange --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 2FA, avec ou sans bastion ?
+1 Nicolas Girardi. > Le 13 avr. 2021 à 10:34, Francois Lesueur a > écrit : > > Bonjour, > > Peut-être "Le Bastion" de chez OVH ? https://github.com/ovh/the-bastion > Il avait été présenté dans ce podcast : > https://www.nolimitsecu.fr/the-bastion/ > > Je ne sais pas si c'est simple à déployer... > > À bientôt > François > > >> Le 13/04/2021 à 10:26, Mickael Hubert a écrit : >> Bonjour à tous, >> Actuellement pour prendre la main sur nos serveurs (SSH), nous nous >> connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc >> ..) et chaque profil n'a accès qu'à ce qu'il a besoin. >> Mais dans le cadre de notre compliance PCI-DSS, il nous manque 2 points à >> valider, l'un d'eux est la mise en place du 2FA sur nos accès SSH >> justement. >> Bon le truc, c'est qu'on ouvre 1001 fenêtres quand on travaille sur un >> serveur ;) >> Si je dois à chaque fois taper le 2FA ça va vite devenir chiant... sans >> parler du timeout d'inactivité de la session SSH. >> >> Auriez-vous des solutions "plus user friendly" ? >> J'avais imaginer mettre en place un bastion, mais bon ouvrir 1001 sessions >> avec 2FA sur le bastion ou sur les serveurs en direct, ça revient au même >> pour moi. >> A moins qu'il existe un bastion qui te demande le 2FA à la première >> connexion, puis plus après pour les autres sessions que tu pourrais ouvrir >> ... >> Peut-être du 2FA en hard (avec une clé)... >> >> merci d'avance pour votre aide >> ++ >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 2FA, avec ou sans bastion ?
Bonjour, Peut-être "Le Bastion" de chez OVH ? https://github.com/ovh/the-bastion Il avait été présenté dans ce podcast : https://www.nolimitsecu.fr/the-bastion/ Je ne sais pas si c'est simple à déployer... À bientôt François Le 13/04/2021 à 10:26, Mickael Hubert a écrit : > Bonjour à tous, > Actuellement pour prendre la main sur nos serveurs (SSH), nous nous > connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc > ..) et chaque profil n'a accès qu'à ce qu'il a besoin. > Mais dans le cadre de notre compliance PCI-DSS, il nous manque 2 points à > valider, l'un d'eux est la mise en place du 2FA sur nos accès SSH > justement. > Bon le truc, c'est qu'on ouvre 1001 fenêtres quand on travaille sur un > serveur ;) > Si je dois à chaque fois taper le 2FA ça va vite devenir chiant... sans > parler du timeout d'inactivité de la session SSH. > > Auriez-vous des solutions "plus user friendly" ? > J'avais imaginer mettre en place un bastion, mais bon ouvrir 1001 sessions > avec 2FA sur le bastion ou sur les serveurs en direct, ça revient au même > pour moi. > A moins qu'il existe un bastion qui te demande le 2FA à la première > connexion, puis plus après pour les autres sessions que tu pourrais ouvrir > ... > Peut-être du 2FA en hard (avec une clé)... > > merci d'avance pour votre aide > ++ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] 2FA, avec ou sans bastion ?
Bonjour à tous, Actuellement pour prendre la main sur nos serveurs (SSH), nous nous connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc ..) et chaque profil n'a accès qu'à ce qu'il a besoin. Mais dans le cadre de notre compliance PCI-DSS, il nous manque 2 points à valider, l'un d'eux est la mise en place du 2FA sur nos accès SSH justement. Bon le truc, c'est qu'on ouvre 1001 fenêtres quand on travaille sur un serveur ;) Si je dois à chaque fois taper le 2FA ça va vite devenir chiant... sans parler du timeout d'inactivité de la session SSH. Auriez-vous des solutions "plus user friendly" ? J'avais imaginer mettre en place un bastion, mais bon ouvrir 1001 sessions avec 2FA sur le bastion ou sur les serveurs en direct, ça revient au même pour moi. A moins qu'il existe un bastion qui te demande le 2FA à la première connexion, puis plus après pour les autres sessions que tu pourrais ouvrir ... Peut-être du 2FA en hard (avec une clé)... merci d'avance pour votre aide ++ --- Liste de diffusion du FRnOG http://www.frnog.org/