À propos de ssh

Le
Goldy
Bonjour,

Il m'est arrivé parfois, et cela à cause d'une erreur de saisie dans une
url, de tenter de me connecter en ssh à une mauvaise machine.

Bien entendu, je m'en suis rendu compte au bout d'un moment car il
m'était impossible de me logguer alors que j'étais persuadé de saisir
mon mot de passe convenablement.

J'aimerais savoir si le fait de tenter de se logguer sur une machine
laissait une trace de mon passage et tout particulièrement affichait
quelque part dans les logs de la machine le mot de passe que j'ai
utilisé pour tenter de me logguer. Cela pourrait permettre à
l'administrateur de la machine d'avoir un accès à celle que j'étais
censé être loggué, dans l'optique où il déduirait l'erreur de saisie
d'url que j'ai fais (un .org au lieu d'un .com dans le cas présent).

Et là, je suis très sensible à la sécurité depuis que j'ai eu un accès
frauduleux à mon compte paypal, compte sur lequel j'utilisais un mot de
passe exclusif, à ce demander comment c'est possible mais c'est pas
le sujet.

Merci d'avance.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Sylvain Sauvage
Le #19089761
Goldy, vendredi 10 avril 2009, 01:19:45 CEST

Bonjour,



’re,

[…]
J'aimerais savoir si le fait de tenter de se logguer sur une machine
laissait une trace de mon passage et tout particulièrement affichait
quelque part dans les logs de la machine le mot de passe que j'ai
utilisé pour tenter de me logguer.



Heureusement que non (normalement). Sinon…

Cela pourrait permettre à
l'administrateur de la machine d'avoir un accès à celle que j' étais
censé être loggué, dans l'optique où il déduirai t l'erreur de saisie
d'url que j'ai fais (un .org au lieu d'un .com dans le cas présent).



… et pire.
La connexion est chiffrée avant de demander le mot de passe.

Mais bon, celui qui contrôle le serveur SSH peut en faire ce
qu’il veut et la chaîne de caractères qu’est ton mot de passe
lui est bien accessible…

Donc, c’est à toi de vérifier le serveur sur lequel tu te
connectes. C’est pour ça qu’il y a un fichier known_ho sts. C’est
pour ça que ssh te demandes te confirmer quand tu vas sur un
nouveau serveur et qu’il ne faut pas répondre oui sans
réfléchir…

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Guy Roussin
Le #19090511
Bonjour,
Cela pourrait permettre à
l'administrateur de la machine d'avoir un accès à celle que j'étais
censé être loggué, dans l'optique où il dédui rait l'erreur de saisie
d'url que j'ai fais (un .org au lieu d'un .com dans le cas présen t).




… et pire.
La connexion est chiffrée avant de demander le mot de passe.

Mais bon, celui qui contrôle le serveur SSH peut en faire ce
qu’il veut et la chaîne de caractères qu’est ton mot de passe
lui est bien accessible…




Est-ce bien certain ? Même si la connexion est chiffrée l'envoi
du mot de passe ne me paraît pas utile. Un hachage du password
doit suffire non ?

--
Guy

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Sylvain Sauvage
Le #19092841
Guy Roussin, vendredi 10 avril 2009, 09:49:37 CEST

Bonjour,



’jour,

[…]
> Mais bon, celui qui contrôle le serveur SSH peut en faire ce
> qu’il veut et la chaîne de caractères qu’est ton mot de passe
> lui est bien accessible…

Est-ce bien certain ?



D’après ce que j’en sais, oui.
Après vérification rapide du code, le mot de passe est lu et
placé tel quel dans le paquet à envoyer (chiffré).

Même si la connexion est chiffrée l'envoi
du mot de passe ne me paraît pas utile. Un hachage du password
doit suffire non ?



sshd doit envoyer le mot de passe au système de gestion des
authentifications (c’est-à-dire pam, nss…) pour qu⠀™il soit
vérifié. Il faut que tout le monde soit d’accord sur la f onction
de hachage…
De toutes façons, ce qui est reçu par le serveur est suffisant
pour identifier et authentifier l’utilisateur sur la machine. Si
le mot de passe est en clair, il peut s’en servir via un client
normal, sinon, il suffirait d’un client qui ne re-hache pas le
mot de passe récupéré. Aucune sécurité supplé mentaire dans ce
cas.

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Goldy
Le #19093071
Sylvain Sauvage a écrit :
Goldy, vendredi 10 avril 2009, 01:19:45 CEST
Bonjour,



’re,

[…]
J'aimerais savoir si le fait de tenter de se logguer sur une machine
laissait une trace de mon passage et tout particulièrement affichait
quelque part dans les logs de la machine le mot de passe que j'ai
utilisé pour tenter de me logguer.



Heureusement que non (normalement). Sinon…

Cela pourrait permettre à
l'administrateur de la machine d'avoir un accès à celle que j'étais
censé être loggué, dans l'optique où il déduirait l'erreur de saisie
d'url que j'ai fais (un .org au lieu d'un .com dans le cas présent).



… et pire.
La connexion est chiffrée avant de demander le mot de passe.

Mais bon, celui qui contrôle le serveur SSH peut en faire ce
qu’il veut et la chaîne de caractères qu’est ton mot de passe
lui est bien accessible…





Merci pour la réponse, je pense que je vais modifier le mot de passe
dans ce cas là.

Donc, c’est à toi de vérifier le serveur sur lequel tu te
connectes. C’est pour ça qu’il y a un fichier known_hosts. C’est
pour ça que ssh te demandes te confirmer quand tu vas sur un
nouveau serveur et qu’il ne faut pas répondre oui sans
réfléchir…






Oui, en règle général, je fais attention, le soucis c'est que j'ai du
utiliser putty sur un téléphone portable en urgence et c'est pour cela
que l'erreur a été faite. En fait, j'avais bien un doute sur l'adresse
mais quand j'ai reçu une réponse d'un serveur ssh sur l'adresse, j'ai
pensé bêtement que je n'avais pas fait d'erreur.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Vincent Lefevre
Le #19101661
On 2009-04-10 16:48:04 +0200, Sylvain Sauvage wrote:
> > Mais bon, celui qui contrôle le serveur SSH peut en faire ce
> > qu’il veut et la chaîne de caractères qu’est ton mot de passe
> > lui est bien accessible…
>
> Est-ce bien certain ?

D’après ce que j’en sais, oui.
Après vérification rapide du code, le mot de passe est lu et
placé tel quel dans le paquet à envoyer (chiffré).



D'ailleurs il est bien connu qu'un des trous de sécurité de telnet
était l'envoi du mot de passe en clair.

Maintenant c'est peut-être une des raisons pour lesquelles le système
d'authentification RSA est plus sûr.

--
Vincent Lefèvre 100% accessible validated (X)HTML - Blog: Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Sylvain Sauvage
Le #19109221
Vincent Lefevre, dimanche 12 avril 2009, 01:45:57 CEST

On 2009-04-10 16:48:04 +0200, Sylvain Sauvage wrote:
[…]
> D’après ce que j’en sais, oui.
> Après vérification rapide du code, le mot de passe est lu et
> placé tel quel dans le paquet à envoyer (chiffré).

D'ailleurs il est bien connu qu'un des trous de sécurité de tel net
était l'envoi du mot de passe en clair.



Vois pas le rapport. Dans ssh, le mot de passe est en clair
mais dans le tunnel chiffré. Il me semble logique que le mot de
passe soit donné au serveur pour qu’il puisse authentifier.
Dans telnet, la connexion n’est pas chiffrée, donc le problà ¨me,
c’est un petit malin qui se placerait au milieu pour regarder ce
qui passe dans le tuyau.
Notons aussi que lors d’un login sur une machine, le mot de
passe est en clair, hein ; il est tapé au clavier. La machine le
connait donc bien aussi et si un méchant a remplacé le programme
login, on n’est au même point que si un méchant remplace le
programme sshd pour choper les mots de passe. La seule
différence, c’est que le fait que l’accès à la machine par
l’utilisateur soit physique permet plus facilement à cet
utilisateur de se rendre compte qu’il se trompe de machine…

Maintenant c'est peut-être une des raisons pour lesquelles le syst ème
d'authentification RSA est plus sûr.



Sûr, vu que les clefs privées restent privées.

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
mouss
Le #19110731
Sylvain Sauvage a écrit :
Vincent Lefevre, dimanche 12 avril 2009, 01:45:57 CEST
On 2009-04-10 16:48:04 +0200, Sylvain Sauvage wrote:
[…]
D’après ce que j’en sais, oui.
Après vérification rapide du code, le mot de passe est lu et
placé tel quel dans le paquet à envoyer (chiffré).


D'ailleurs il est bien connu qu'un des trous de sécurité de telnet
était l'envoi du mot de passe en clair.



Vois pas le rapport. Dans ssh, le mot de passe est en clair
mais dans le tunnel chiffré. Il me semble logique que le mot de
passe soit donné au serveur pour qu’il puisse authentifier.
Dans telnet, la connexion n’est pas chiffrée, donc le problème,
c’est un petit malin qui se placerait au milieu pour regarder ce
qui passe dans le tuyau.
Notons aussi que lors d’un login sur une machine, le mot de
passe est en clair, hein ; il est tapé au clavier. La machine le
connait donc bien aussi et si un méchant a remplacé le programme
login, on n’est au même point que si un méchant remplace le
programme sshd pour choper les mots de passe. La seule
différence, c’est que le fait que l’accès à la machine par
l’utilisateur soit physique permet plus facilement à cet
utilisateur de se rendre compte qu’il se trompe de machine…

Maintenant c'est peut-être une des raisons pour lesquelles le système
d'authentification RSA est plus sûr.



Sûr, vu que les clefs privées restent privées.





sauf quand un malin attaque la machine cliente (keylogger, ... etc) ou
quand un utilisateur "lambda" ne met pas de passphrase (ou en met une
facile), ce qu'on ne peut pas vérifier côté serveur.

notre vie d'araignée est décidément trop dure ;-p



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Vincent Lefevre
Le #19110901
On 2009-04-13 19:20:09 +0200, Sylvain Sauvage wrote:
Vincent Lefevre, dimanche 12 avril 2009, 01:45:57 CEST
> D'ailleurs il est bien connu qu'un des trous de sécurité de telnet
> était l'envoi du mot de passe en clair.

Vois pas le rapport. Dans ssh, le mot de passe est en clair
mais dans le tunnel chiffré.



Je dis juste que dans les deux cas, le mot de passe en clair est passé
au serveur.

Il me semble logique que le mot de passe soit donné au serveur pour
qu’il puisse authentifier.



Ça ne me semble pas si logique que ça. Le mot de passe chiffré (avec
une donnée propre au serveur et une méthode asymétrique) pourrait
être passé au serveur. Cela permettrait d'éviter de divulguer son
mot de passe si par hasard, on le fournirait à un mauvais serveur
(e.g. serveur non identifié par RSA, etc.).

--
Vincent Lefèvre 100% accessible validated (X)HTML - Blog: Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Sylvain Sauvage
Le #19114911
Vincent Lefevre, mardi 14 avril 2009, 01:11:10 CEST
[…]
> Il me semble logique que le mot de passe soit donné au serveur pour
> qu’il puisse authentifier.

Ça ne me semble pas si logique que ça.



La méthode par mot de passe, c’est pour fournir un rlogin
chiffré, le mot de passe étant celui que l’on utilise pou r un
login « physique ». Donc c’est logique que sshd utilise la même
méthode pour vérifier le mot de passe, donc il faut passer le
mot de passe en clair à PAM (p.ex.).

Le mot de passe chiffré (avec
une donnée propre au serveur et une méthode asymétrique) p ourrait
être passé au serveur. Cela permettrait d'éviter de divulg uer son
mot de passe si par hasard, on le fourni[ss]ait à un mauvais serveur
(e.g. serveur non identifié par RSA, etc.).



Dans ce cas, ce ne serait plus une authentification par mot de
passe : le mot de passe jouerait le même rôle qu’une clef
privée, ce serait donc une authentification par clef publique.
De plus, que le mot de passe soit ou non celui d’un login
« physique » n’aurait aucune incidence.
Donc, autant directement utiliser cette méthode (clefs
RSA/DSA) et empêcher la méthode par mot de passe.

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme