Je me connecte r=C3=A9guli=C3=A8rement par SSH =C3=A0 des serveurs sous Deb=
ian.
Par habitude, j'interdis sur ces serveurs l'acc=C3=A8s au compte root par S=
SH.
J'acc=C3=A8de =C3=A0 ces machines depuis un PC sous Debian, mais je peux pl=
us
rarement le faire depuis un PC sous Windows ou un smartphone sous Android.
Je souhaite am=C3=A9liorer la s=C3=A9curit=C3=A9 de ces acc=C3=A8s et me si=
mplifier la vie en
changeant mes habitudes.
J'ai pens=C3=A9 =C3=A0 la chose suivante:
- sur toutes les machines distantes (sous Debian), l'acc=C3=A8s par SSH s'o=
p=C3=A8re
uniquement par cl=C3=A9s SSH,
- je stocke mes propres cl=C3=A9s SSH sur une cl=C3=A9 USB (voir plus loin)=
qui comme
mon smartphone est toujours avec moi,
- quand je veux me connecter =C3=A0 une machine distante depuis un PC, j'in=
s=C3=A8re
la cl=C3=A9 USB dans le PC, je lance SSH agent en lui indiquant qu'il pourr=
a
trouver mes cl=C3=A9s sur la cl=C3=A9 USB
- quand je lance SSH agent, celui-ci me demande un mot de passe
- sur toutes les machines distantes, j'autorise les cl=C3=A9s SSH qui se
trouvent sur ma cl=C3=A9 USB et la cl=C3=A9 SSH sur mon smartphone
- en cas de perte de ma cl=C3=A9 USB ou de mon smartphone, je r=C3=A9pudie =
la cl=C3=A9 SSH
correspondante sur tous les machines qui l'autorise et je rajoute la
nouvelle cl=C3=A9 SSH.
J'utilise ici le terme cl=C3=A9 USB =C3=A0 la fois comme un terme g=C3=A9n=
=C3=A9rique d=C3=A9signant
un appareil portable avec une interface USB, et en pensant aux simples cl=
=C3=A9s
USB du commerce.
Mes questions sont nombreuses:
- Ai-je pens=C3=A9 =C3=A0 tout ?
- Que choisir comme cl=C3=A9 USB ?
- Comment la prot=C3=A9ger sans perdre la possibilit=C3=A9 de l'utiliser s=
ur une
machine occasionnelle (*) ?
- Y-a-t-il une astuce particuli=C3=A8re (ie une option d'un logiciel) pour
conserver la liste des machines sur lesquelles une cl=C3=A9 SSH a =C3=A9t=
=C3=A9 copi=C3=A9e
afin de ne pas oublier cette machine en cas de r=C3=A9pudiation) ?
- Conseils, remarques et suggestions ?
Slts
(*) Il m'arrive souvent, sur une machine occasionnelle, de t=C3=A9l=C3=A9-c=
harger
PuTTY avant de me connecter et =C3=A7a me semble acceptable. S'il fallait
installer des drivers et des logiciels, pour utiliser les cl=C3=A9s SSH sto=
ck=C3=A9es
sur la cl=C3=A9 USB, =C3=A7a ne me semble pas acceptable.
<div dir=3D"ltr"><div><div><div><div><div><div><div><div><div><div><div><di=
v><div><div>Bonjour,<br><br></div>Je me connecte r=C3=A9guli=C3=A8rement pa=
r SSH =C3=A0 des serveurs sous Debian.<br></div>Par habitude, j'interdi=
s sur ces serveurs l'acc=C3=A8s au compte root par SSH.<br></div><div>J=
'acc=C3=A8de =C3=A0 ces machines depuis un PC sous Debian, mais je peux=
plus rarement le faire depuis un PC sous Windows ou un smartphone sous And=
roid.<br></div><div><br></div>Je souhaite am=C3=A9liorer la s=C3=A9curit=C3=
=A9 de ces acc=C3=A8s et me simplifier la vie en changeant mes habitudes.<b=
r><br></div>J'ai pens=C3=A9 =C3=A0 la chose suivante:<br><br></div>- su=
r toutes les machines distantes (sous Debian), l'acc=C3=A8s par SSH s&#=
39;op=C3=A8re uniquement par cl=C3=A9s SSH,<br></div>- je stocke mes propre=
s cl=C3=A9s SSH sur une cl=C3=A9 USB (voir plus loin) qui comme mon smartph=
one est toujours avec moi,<br></div>- quand je veux me connecter =C3=A0 une=
machine distante depuis un PC, j'ins=C3=A8re la cl=C3=A9 USB dans le P=
C, je lance SSH agent en lui indiquant qu'il pourra trouver mes cl=C3=
=A9s sur la cl=C3=A9 USB<br></div>- quand je lance SSH agent, celui-ci me =
demande un mot de passe<br></div>- sur toutes les machines distantes, j'=
;autorise les cl=C3=A9s SSH qui se trouvent sur ma cl=C3=A9 USB et la cl=C3=
=A9 SSH sur mon smartphone<br></div>- en cas de perte de ma cl=C3=A9 USB ou=
de mon smartphone, je r=C3=A9pudie la cl=C3=A9 SSH correspondante sur tous=
les machines qui l'autorise et je rajoute la nouvelle cl=C3=A9 SSH.<br=
><br>J'utilise ici le terme cl=C3=A9 USB =C3=A0 la fois comme un terme =
g=C3=A9n=C3=A9rique d=C3=A9signant un appareil portable avec une interface =
USB, et en pensant aux simples cl=C3=A9s USB du commerce.<br><br><br></div>=
Mes questions sont nombreuses:<br></div><div>-=C2=A0 Ai-je pens=C3=A9 =C3=
=A0 tout ?<br></div>-=C2=A0 Que choisir comme cl=C3=A9 USB ?<br></div>-=C2=
=A0 Comment la prot=C3=A9ger sans perdre la possibilit=C3=A9 de l'utili=
ser sur une machine occasionnelle (*) ?<br></div><div>-=C2=A0 Y-a-t-il une =
astuce particuli=C3=A8re (ie une option d'un logiciel) pour conserver l=
a liste des machines sur lesquelles une cl=C3=A9 SSH a =C3=A9t=C3=A9 copi=
=C3=A9e afin de ne pas oublier cette machine en cas de r=C3=A9pudiation) ?<=
br></div><div>-=C2=A0 Conseils, remarques et suggestions ?<br><br></div><di=
v>Slts<br></div><div><br></div>(*) Il m'arrive souvent, sur une machine=
occasionnelle, de t=C3=A9l=C3=A9-charger PuTTY avant de me connecter et =
=C3=A7a me semble acceptable. S'il fallait installer des drivers et des=
logiciels, pour utiliser les cl=C3=A9s SSH stock=C3=A9es sur la cl=C3=A9 U=
SB, =C3=A7a ne me semble pas acceptable.<br><div><br></div></div>
Pour ce qui est des clés ssh à usages multiples (sur plusieurs machines), personnellement j'évite. Pour chaque nouvelle machine qui entre dans mon scope, je créé une nouvelle clé qui lui ai dédié.
Inconvénient : en fonction du parc, tu peux te retrouver avec un grand nombre de clés, il faut donc veiller à bien les nommer et à laisser un commentaire pertinent pour identfiier rapidement la machine concernée [ex. : (domaine).hostname.user]
Avantage : clé perdue, dérobée ou vérolée ? pas de souci, cela n'expose qu'une machine au maximum et il me suffit de supprimer la clé publique correspondante dans le fichier authorized_keys
Si ça peut t'aider
Le 08/04/2016 10:50, Olivier a écrit :
Bonjour,
Je me connecte régulièrement par SSH à des serveurs sous Debian. Par habitude, j'interdis sur ces serveurs l'accès au compte root par SSH. J'accède à ces machines depuis un PC sous Debian, mais je peux plus rarement le faire depuis un PC sous Windows ou un smartphone sous Android.
Je souhaite améliorer la sécurité de ces accès et me simplifier la vie en changeant mes habitudes.
J'ai pensé à la chose suivante:
- sur toutes les machines distantes (sous Debian), l'accès par SSH s'opère uniquement par clés SSH, - je stocke mes propres clés SSH sur une clé USB (voir plus loin) qui comme mon smartphone est toujours avec moi, - quand je veux me connecter à une machine distante depuis un PC, j'insère la clé USB dans le PC, je lance SSH agent en lui indiquant qu'il pourra trouver mes clés sur la clé USB - quand je lance SSH agent, celui-ci me demande un mot de passe - sur toutes les machines distantes, j'autorise les clés SSH qui se trouvent sur ma clé USB et la clé SSH sur mon smartphone - en cas de perte de ma clé USB ou de mon smartphone, je répudie la clé SSH correspondante sur tous les machines qui l'autorise et je rajoute la nouvelle clé SSH.
J'utilise ici le terme clé USB à la fois comme un terme générique désignant un appareil portable avec une interface USB, et en pensant aux simples clés USB du commerce.
Mes questions sont nombreuses: - Ai-je pensé à tout ? - Que choisir comme clé USB ? - Comment la protéger sans perdre la possibilité de l'utiliser sur une machine occasionnelle (*) ? - Y-a-t-il une astuce particulière (ie une option d'un logiciel) pour conserver la liste des machines sur lesquelles une clé SSH a été copiée afin de ne pas oublier cette machine en cas de répudiation) ? - Conseils, remarques et suggestions ?
Slts
(*) Il m'arrive souvent, sur une machine occasionnelle, de télé-charger PuTTY avant de me connecter et ça me semble acceptable. S'il fallait installer des drivers et des logiciels, pour utiliser les clés SSH stockées sur la clé USB, ça ne me semble pas acceptable.
-- Grégory Reinbold
Bonjour,
Pour ce qui est des clés ssh à usages multiples (sur plusieurs
machines), personnellement j'évite. Pour chaque nouvelle machine qui
entre dans mon scope, je créé une nouvelle clé qui lui ai dédié.
Inconvénient : en fonction du parc, tu peux te retrouver avec un grand
nombre de clés, il faut donc veiller à bien les nommer et à laisser un
commentaire pertinent pour identfiier rapidement la machine concernée
[ex. : (domaine).hostname.user]
Avantage : clé perdue, dérobée ou vérolée ? pas de souci, cela n'expose
qu'une machine au maximum et il me suffit de supprimer la clé publique
correspondante dans le fichier authorized_keys
Si ça peut t'aider
Le 08/04/2016 10:50, Olivier a écrit :
Bonjour,
Je me connecte régulièrement par SSH à des serveurs sous Debian.
Par habitude, j'interdis sur ces serveurs l'accès au compte root par SSH.
J'accède à ces machines depuis un PC sous Debian, mais je peux plus
rarement le faire depuis un PC sous Windows ou un smartphone sous Android.
Je souhaite améliorer la sécurité de ces accès et me simplifier la vie
en changeant mes habitudes.
J'ai pensé à la chose suivante:
- sur toutes les machines distantes (sous Debian), l'accès par SSH
s'opère uniquement par clés SSH,
- je stocke mes propres clés SSH sur une clé USB (voir plus loin) qui
comme mon smartphone est toujours avec moi,
- quand je veux me connecter à une machine distante depuis un PC,
j'insère la clé USB dans le PC, je lance SSH agent en lui indiquant
qu'il pourra trouver mes clés sur la clé USB
- quand je lance SSH agent, celui-ci me demande un mot de passe
- sur toutes les machines distantes, j'autorise les clés SSH qui se
trouvent sur ma clé USB et la clé SSH sur mon smartphone
- en cas de perte de ma clé USB ou de mon smartphone, je répudie la
clé SSH correspondante sur tous les machines qui l'autorise et je
rajoute la nouvelle clé SSH.
J'utilise ici le terme clé USB à la fois comme un terme générique
désignant un appareil portable avec une interface USB, et en pensant
aux simples clés USB du commerce.
Mes questions sont nombreuses:
- Ai-je pensé à tout ?
- Que choisir comme clé USB ?
- Comment la protéger sans perdre la possibilité de l'utiliser sur
une machine occasionnelle (*) ?
- Y-a-t-il une astuce particulière (ie une option d'un logiciel) pour
conserver la liste des machines sur lesquelles une clé SSH a été
copiée afin de ne pas oublier cette machine en cas de répudiation) ?
- Conseils, remarques et suggestions ?
Slts
(*) Il m'arrive souvent, sur une machine occasionnelle, de
télé-charger PuTTY avant de me connecter et ça me semble acceptable.
S'il fallait installer des drivers et des logiciels, pour utiliser les
clés SSH stockées sur la clé USB, ça ne me semble pas acceptable.
Pour ce qui est des clés ssh à usages multiples (sur plusieurs machines), personnellement j'évite. Pour chaque nouvelle machine qui entre dans mon scope, je créé une nouvelle clé qui lui ai dédié.
Inconvénient : en fonction du parc, tu peux te retrouver avec un grand nombre de clés, il faut donc veiller à bien les nommer et à laisser un commentaire pertinent pour identfiier rapidement la machine concernée [ex. : (domaine).hostname.user]
Avantage : clé perdue, dérobée ou vérolée ? pas de souci, cela n'expose qu'une machine au maximum et il me suffit de supprimer la clé publique correspondante dans le fichier authorized_keys
Si ça peut t'aider
Le 08/04/2016 10:50, Olivier a écrit :
Bonjour,
Je me connecte régulièrement par SSH à des serveurs sous Debian. Par habitude, j'interdis sur ces serveurs l'accès au compte root par SSH. J'accède à ces machines depuis un PC sous Debian, mais je peux plus rarement le faire depuis un PC sous Windows ou un smartphone sous Android.
Je souhaite améliorer la sécurité de ces accès et me simplifier la vie en changeant mes habitudes.
J'ai pensé à la chose suivante:
- sur toutes les machines distantes (sous Debian), l'accès par SSH s'opère uniquement par clés SSH, - je stocke mes propres clés SSH sur une clé USB (voir plus loin) qui comme mon smartphone est toujours avec moi, - quand je veux me connecter à une machine distante depuis un PC, j'insère la clé USB dans le PC, je lance SSH agent en lui indiquant qu'il pourra trouver mes clés sur la clé USB - quand je lance SSH agent, celui-ci me demande un mot de passe - sur toutes les machines distantes, j'autorise les clés SSH qui se trouvent sur ma clé USB et la clé SSH sur mon smartphone - en cas de perte de ma clé USB ou de mon smartphone, je répudie la clé SSH correspondante sur tous les machines qui l'autorise et je rajoute la nouvelle clé SSH.
J'utilise ici le terme clé USB à la fois comme un terme générique désignant un appareil portable avec une interface USB, et en pensant aux simples clés USB du commerce.
Mes questions sont nombreuses: - Ai-je pensé à tout ? - Que choisir comme clé USB ? - Comment la protéger sans perdre la possibilité de l'utiliser sur une machine occasionnelle (*) ? - Y-a-t-il une astuce particulière (ie une option d'un logiciel) pour conserver la liste des machines sur lesquelles une clé SSH a été copiée afin de ne pas oublier cette machine en cas de répudiation) ? - Conseils, remarques et suggestions ?
Slts
(*) Il m'arrive souvent, sur une machine occasionnelle, de télé-charger PuTTY avant de me connecter et ça me semble acceptable. S'il fallait installer des drivers et des logiciels, pour utiliser les clés SSH stockées sur la clé USB, ça ne me semble pas acceptable.
-- Grégory Reinbold
Daniel Huhardeaux
Le 08/04/2016 10:50, Olivier a écrit :
Bonjour,
Bonjour
[...] - Conseils, remarques et suggestions ?
. écouter sur un port différent du 22 . utiliser autossh: les clients se connectent sur une seule machine. Cela règle le problème soulevé par Gregory dans sa réponse, une seule clé. Si une machine est à bannir et que tu n'y a plus accès, une rle de firewall suffit.
autossh a été discuté sur la liste il n'y a pas très longtemps.
-- Daniel
Le 08/04/2016 10:50, Olivier a écrit :
Bonjour,
Bonjour
[...]
- Conseils, remarques et suggestions ?
. écouter sur un port différent du 22
. utiliser autossh: les clients se connectent sur une seule machine.
Cela règle le problème soulevé par Gregory dans sa réponse, une seule
clé. Si une machine est à bannir et que tu n'y a plus accès, une rle de
firewall suffit.
autossh a été discuté sur la liste il n'y a pas très longtemps.
. écouter sur un port différent du 22 . utiliser autossh: les clients se connectent sur une seule machine. Cela règle le problème soulevé par Gregory dans sa réponse, une seule clé. Si une machine est à bannir et que tu n'y a plus accès, une rle de firewall suffit.
autossh a été discuté sur la liste il n'y a pas très longtemps.
-- Daniel
S
Bonjour,
Le vendredi 08 avril 2016 à 10:50, Olivier a écrit :
- je stocke mes propres clés SSH sur une clé USB (voir plus loin) qui comme mon smartphone est toujours avec moi,
[...]
- en cas de perte de ma clé USB ou de mon smartphone, je répudie la clé SSH correspondante sur tous les machines qui l'autorise et je rajoute la nouvelle clé SSH.
Personnellement, je chiffrerais la clé, ça fait une sécurité de plus (ce qui n’empêche pas de révoquer les clés en cas de perte).
Par contre, ça impose de pouvoir déchiffrer sur différents types de systèmes. À l’époque où je me souciais de ce genre de préoccupations, j’utilisais « truecrypt », je ne sais pas si c’est encore une bonne piste. Tu trouveras peut-être des infos intéressantes là [1].
(*) Il m'arrive souvent, sur une machine occasionnelle, de télé-charger PuTTY avant de me connecter et ça me semble acceptable. S'il fallait installer des drivers et des logiciels, pour utiliser les clés SSH stockées sur la clé USB, ça ne me semble pas acceptable.
Si tu crées deux partitions (une en clair et l’autre chiffrée), tu pourra te balader avec les différents outils nécessaires pour les différents systèmes.
Il me semble me souvenir qu’à une époque, Windows n’était pas capable de gérer plusieurs partitions sur une clé USB, à vérifier.
Sébastien
Bonjour,
Le vendredi 08 avril 2016 à 10:50, Olivier a écrit :
- je stocke mes propres clés SSH sur une clé USB (voir plus loin) qui comme
mon smartphone est toujours avec moi,
[...]
- en cas de perte de ma clé USB ou de mon smartphone, je répudie la clé SSH
correspondante sur tous les machines qui l'autorise et je rajoute la
nouvelle clé SSH.
Personnellement, je chiffrerais la clé, ça fait une sécurité de plus (ce qui
n’empêche pas de révoquer les clés en cas de perte).
Par contre, ça impose de pouvoir déchiffrer sur différents types de systèmes. À
l’époque où je me souciais de ce genre de préoccupations, j’utilisais
« truecrypt », je ne sais pas si c’est encore une bonne piste. Tu trouveras
peut-être des infos intéressantes là [1].
(*) Il m'arrive souvent, sur une machine occasionnelle, de télé-charger
PuTTY avant de me connecter et ça me semble acceptable. S'il fallait
installer des drivers et des logiciels, pour utiliser les clés SSH stockées
sur la clé USB, ça ne me semble pas acceptable.
Si tu crées deux partitions (une en clair et l’autre chiffrée), tu pourra te
balader avec les différents outils nécessaires pour les différents systèmes.
Il me semble me souvenir qu’à une époque, Windows n’était pas capable de gérer
plusieurs partitions sur une clé USB, à vérifier.
Le vendredi 08 avril 2016 à 10:50, Olivier a écrit :
- je stocke mes propres clés SSH sur une clé USB (voir plus loin) qui comme mon smartphone est toujours avec moi,
[...]
- en cas de perte de ma clé USB ou de mon smartphone, je répudie la clé SSH correspondante sur tous les machines qui l'autorise et je rajoute la nouvelle clé SSH.
Personnellement, je chiffrerais la clé, ça fait une sécurité de plus (ce qui n’empêche pas de révoquer les clés en cas de perte).
Par contre, ça impose de pouvoir déchiffrer sur différents types de systèmes. À l’époque où je me souciais de ce genre de préoccupations, j’utilisais « truecrypt », je ne sais pas si c’est encore une bonne piste. Tu trouveras peut-être des infos intéressantes là [1].
(*) Il m'arrive souvent, sur une machine occasionnelle, de télé-charger PuTTY avant de me connecter et ça me semble acceptable. S'il fallait installer des drivers et des logiciels, pour utiliser les clés SSH stockées sur la clé USB, ça ne me semble pas acceptable.
Si tu crées deux partitions (une en clair et l’autre chiffrée), tu pourra te balader avec les différents outils nécessaires pour les différents systèmes.
Il me semble me souvenir qu’à une époque, Windows n’était pas capable de gérer plusieurs partitions sur une clé USB, à vérifier.
Le vendredi 08 avril 2016 à 13:48, Olivier a écrit :
Comment copie-t-on une clé chiffrée ? On la colle simplement dans authorized_keys ?
En fait, je me suis mal exprimé…
Je ne parlais pas de chiffrer les clés SSH, mais de chiffrer la clé USB. L’idée c’est simplement de vivre un peu mieux avec le risque de perte. Si tu perds ta clé USB, tu sais que celui qui la trouvera n’aura sûrement pas les compétences ni l’envie d’en exploiter le contenu et que, si tu tombes sur quelqu’un qui les a (compétences, envie), ça te laisse un délai supplémentaire pour révoquer les clés SSH (le temps qu’il casse ta crypto).
Sébastien
Le vendredi 08 avril 2016 à 13:48, Olivier a écrit :
Comment copie-t-on une clé chiffrée ? On la colle simplement dans
authorized_keys ?
En fait, je me suis mal exprimé…
Je ne parlais pas de chiffrer les clés SSH, mais de chiffrer la clé USB. L’idée
c’est simplement de vivre un peu mieux avec le risque de perte. Si tu perds ta
clé USB, tu sais que celui qui la trouvera n’aura sûrement pas les compétences
ni l’envie d’en exploiter le contenu et que, si tu tombes sur quelqu’un qui les
a (compétences, envie), ça te laisse un délai supplémentaire pour révoquer les
clés SSH (le temps qu’il casse ta crypto).
Le vendredi 08 avril 2016 à 13:48, Olivier a écrit :
Comment copie-t-on une clé chiffrée ? On la colle simplement dans authorized_keys ?
En fait, je me suis mal exprimé…
Je ne parlais pas de chiffrer les clés SSH, mais de chiffrer la clé USB. L’idée c’est simplement de vivre un peu mieux avec le risque de perte. Si tu perds ta clé USB, tu sais que celui qui la trouvera n’aura sûrement pas les compétences ni l’envie d’en exploiter le contenu et que, si tu tombes sur quelqu’un qui les a (compétences, envie), ça te laisse un délai supplémentaire pour révoquer les clés SSH (le temps qu’il casse ta crypto).
Oui et si tu venais à perdre cette clé USB ? Toutes tes machines sont menacées par tes deux seules clés :)
A méditer...
Le 08/04/2016 13:58, a écrit :
On Friday 08 April 2016 11:20:41 Grégory Reinbold wrote:
Pour ce qui est des clés ssh à usages multiples (sur plusieurs machines), personnellement j'évite. Pour chaque nouvelle machine qui entre dans mon scope, je créé une nouvelle clé qui lui ai dédié. Inconvénient : en fonction du parc, tu peux te retrouver avec un grand nombre de clés, il faut donc veiller à bien les nommer et à laisser un commentaire pertinent pour identfiier rapidement la machine concernée [ex. : (domaine).hostname.user] Avantage : clé perdue, dérobée ou vérolée ? pas de souci, cela n'expose qu'une machine au maximum et il me suffit de supprimer la clé publique correspondante dans le fichier authorized_keys Si ça peut t'aider
Les connexions SSH avec clés publique et privées, restent très sécurisées, qui peut se procurer les deux clés, sauf si on a perdu la clé USB les contenant. Il faut modifier l'éternel port 22 par un autre, n'autoriser qu'une à deux personnes à se connecter au serveur, n'autoriser que la connexion par clés, ne pas autoriser le login root... Dès lors, on peut dormir tranquille.
André
-- Grégory Reinbold
Oui et si tu venais à perdre cette clé USB ? Toutes tes machines sont
menacées par tes deux seules clés :)
A méditer...
Le 08/04/2016 13:58, andre_debian@numericable.fr a écrit :
On Friday 08 April 2016 11:20:41 Grégory Reinbold wrote:
Pour ce qui est des clés ssh à usages multiples (sur plusieurs
machines), personnellement j'évite. Pour chaque nouvelle machine qui
entre dans mon scope, je créé une nouvelle clé qui lui ai dédié.
Inconvénient : en fonction du parc, tu peux te retrouver avec un grand
nombre de clés, il faut donc veiller à bien les nommer et à laisser un
commentaire pertinent pour identfiier rapidement la machine concernée
[ex. : (domaine).hostname.user]
Avantage : clé perdue, dérobée ou vérolée ? pas de souci, cela n'expose
qu'une machine au maximum et il me suffit de supprimer la clé publique
correspondante dans le fichier authorized_keys
Si ça peut t'aider
Les connexions SSH avec clés publique et privées, restent très sécurisées,
qui peut se procurer les deux clés, sauf si on a perdu la clé USB les
contenant.
Il faut modifier l'éternel port 22 par un autre,
n'autoriser qu'une à deux personnes à se connecter au serveur,
n'autoriser que la connexion par clés,
ne pas autoriser le login root...
Dès lors, on peut dormir tranquille.
Oui et si tu venais à perdre cette clé USB ? Toutes tes machines sont menacées par tes deux seules clés :)
A méditer...
Le 08/04/2016 13:58, a écrit :
On Friday 08 April 2016 11:20:41 Grégory Reinbold wrote:
Pour ce qui est des clés ssh à usages multiples (sur plusieurs machines), personnellement j'évite. Pour chaque nouvelle machine qui entre dans mon scope, je créé une nouvelle clé qui lui ai dédié. Inconvénient : en fonction du parc, tu peux te retrouver avec un grand nombre de clés, il faut donc veiller à bien les nommer et à laisser un commentaire pertinent pour identfiier rapidement la machine concernée [ex. : (domaine).hostname.user] Avantage : clé perdue, dérobée ou vérolée ? pas de souci, cela n'expose qu'une machine au maximum et il me suffit de supprimer la clé publique correspondante dans le fichier authorized_keys Si ça peut t'aider
Les connexions SSH avec clés publique et privées, restent très sécurisées, qui peut se procurer les deux clés, sauf si on a perdu la clé USB les contenant. Il faut modifier l'éternel port 22 par un autre, n'autoriser qu'une à deux personnes à se connecter au serveur, n'autoriser que la connexion par clés, ne pas autoriser le login root... Dès lors, on peut dormir tranquille.
Que penser de [3] ? Est-ce quelque chose qui ne marche que sur PuTTY/Linux et par sur PuTTY/Windows ? [3] http://linux-sxs.org/networking/openssh.putty.html
Que penser de [3] ?
Est-ce quelque chose qui ne marche que sur PuTTY/Linux et par sur
PuTTY/Windows ?
[3] http://linux-sxs.org/networking/openssh.putty.html
Que penser de [3] ? Est-ce quelque chose qui ne marche que sur PuTTY/Linux et par sur PuTTY/Windows ? [3] http://linux-sxs.org/networking/openssh.putty.html
