Agent de cl=c3=a9s SSH (trousseau de cl=c3=a9s de Gnome : agent SSH) : ça sert à quoi ?

Le 30/12/2018 à 16:53, Jo Engo a écrit :

Le Sat, 29 Dec 2018 10:53:16 +0000, Thomas Alexandre a écrit :

Euh non. Ça, c'est super instructif :
<https://www.debian.org/doc/manuals/debian-reference/ch02.en.html>

Et pas ça
<https://www.debian.org/doc/manuals/debian-reference/ch02.fr.html> ?

Si, c'est pareil, on peut le lire dans la langue qu'on veut, ça revient
au même ;)
--
http://zetrader.info & http://zetrader.fr
http://aribaut.com - http://zeforums.com

Le 28/12/2018 à 20:01, Pierre www.zetrader.info a écrit :

Le 28/12/2018 à 19:40, denis.paris a écrit :

Ubuntu est dérivé de Debian qui est LA version de référence, en tout cas pour moi.

SSH c'est le couteau suisse de tout ce qui concerne le mode commande (la base de la gestion de linux, l'interface graphique ne
sert que pour une station de travail, pour un serveur cela ne sert à rien). Ça permet de se connecter à une machine distante d'une
manière totalement sécurisée, en cryptant tout ce qui passe à l'intérieur du "canal". Quand on ouvre une session on lance un
programme qui s'appelle un "shell" (sh, bash, ksh, au choix) et c'est exactement comme si on était directement sur la machine.
D'ailleurs, même sur sa propre machine, ouvrir une "fenêtre de commande" ça implique de lancer un shell (c'est bash par défaut sur
Debian ou Ubuntu).

Mais SSH fait beaucoup plus que cela: on peut faire des "renvois d'affichage" (afficher une application graphique sur une autre
machine que celle où le programme tourne), des redirections de ports à distance, des copies entre machines, etc. Trop long à
développer, RTFM!

C'est un programme qui se mérite, l'utilisateur de base sur une machine avec interface graphique peut parfaitement ignorer son
existence si son objectif c'est de surfer, de lire ses mails ou rédiger des textes.

Merci beaucoup, c'est beaucoup plus clair.
Je comprends, c'est très intéressant ce SSH en fait.

Pour aller un plus loin avec SSH un peu de lecture encore

SSH Client : les clef du succes

http://ciclad-web.ipsl.jussieu.fr/data/documents/ssh-utilisateurs-unix.pdf

Le 31/12/2018 à 00:02, Philippe Weill a écrit :

Pour aller un plus loin avec SSH un peu de lecture encore

SSH Client : les clef du succes

http://ciclad-web.ipsl.jussieu.fr/data/documents/ssh-utilisateurs-unix.pdf

C'est un bon résumé, en fait un support de cours mais ça suppose à mon
avis de savoir déjà de quoi il retourne. Évidemment ça me parle parce
que j'ai l'habitude d'utiliser de manière intensive ce protocole et ces
outils. Donc davantage un "pense-bête" qu'un document en profondeur.

J'ai un doute cependant sur la "Diapo 16", à propos de la protection de
la clé privée: contrairement à ce que cette fiche laisse entendre, il me
semble que sa protection est nécessaire uniquement localement, mais que
la sécurité de la transmission ne repose pas sur la longueur de la
"passphrase", qui ne sert qu'en cas de vol de la clé si quelqu'un accède
physiquement au disque local. Ce doute je le résume par la question
suivante:

"Une liaison SSH est-elle tout aussi bien sécurisée en cas de mot de
passe vide?" Personnellement je pense que oui, même si c'est une
pratique non recommandée, comme rappelé en p31.

Le 31/12/2018 à 00:02, Philippe Weill a écrit :

Le 28/12/2018 à 20:01, Pierre www.zetrader.info a écrit :

Le 28/12/2018 à 19:40, denis.paris a écrit :

Ubuntu est dérivé de Debian qui est LA version de référence, en tout
cas pour moi.

SSH c'est le couteau suisse de tout ce qui concerne le mode commande
(la base de la gestion de linux, l'interface graphique ne sert que
pour une station de travail, pour un serveur cela ne sert à rien). Ça
permet de se connecter à une machine distante d'une manière
totalement sécurisée, en cryptant tout ce qui passe à l'intérieur du
"canal". Quand on ouvre une session on lance un programme qui
s'appelle un "shell" (sh, bash, ksh, au choix) et c'est exactement
comme si on était directement sur la machine. D'ailleurs, même sur sa
propre machine, ouvrir une "fenêtre de commande" ça implique de
lancer un shell (c'est bash par défaut sur Debian ou Ubuntu).

Mais SSH fait beaucoup plus que cela: on peut faire des "renvois
d'affichage" (afficher une application graphique sur une autre
machine que celle où le programme tourne), des redirections de ports
à distance, des copies entre machines, etc. Trop long à développer,
RTFM!

C'est un programme qui se mérite, l'utilisateur de base sur une
machine avec interface graphique peut parfaitement ignorer son
existence si son objectif c'est de surfer, de lire ses mails ou
rédiger des textes.

Merci beaucoup, c'est beaucoup plus clair.
Je comprends, c'est très intéressant ce SSH en fait.

Pour aller un plus loin avec SSH un peu de lecture encore

SSH Client : les clef du succes

http://ciclad-web.ipsl.jussieu.fr/data/documents/ssh-utilisateurs-unix.pdf

Merci Philippe, je suis en train de regarder un peu le doc là, je vois
que c'est toi qui l'as fait :)
--
http://zetrader.info & http://zetrader.fr
http://aribaut.com - http://zeforums.com

Le 31/12/2018 à 09:52, denis.paris a écrit :

Le 31/12/2018 à 00:02, Philippe Weill a écrit :

Pour aller un plus loin avec SSH un peu de lecture encore

SSH Client : les clef du succes

http://ciclad-web.ipsl.jussieu.fr/data/documents/ssh-utilisateurs-unix.pdf

C'est un bon résumé, en fait un support de cours mais ça suppose à mon avis de savoir déjà de quoi il retourne. Évidemment ça me
parle parce que j'ai l'habitude d'utiliser de manière intensive ce protocole et ces outils. Donc davantage un "pense-bête" qu'un
document en profondeur.

c'est effectivement à destination des utilisateurs de notre infrastructure de calcul

J'ai un doute cependant sur la "Diapo 16", à propos de la protection de la clé privée: contrairement à ce que cette fiche laisse
entendre, il me semble que sa protection est nécessaire uniquement localement, mais que la sécurité de la transmission ne repose pas
sur la longueur de la "passphrase", qui ne sert qu'en cas de vol de la clé si quelqu'un accède physiquement au disque local. Ce
doute je le résume par la question suivante:

"Une liaison SSH est-elle tout aussi bien sécurisée en cas de mot de passe vide?" Personnellement je pense que oui, même si c'est
une pratique non recommandée, comme rappelé en p31.

Il y a effectivement aucun changement pour la securité de la liaison ssh que la clef soit chiffré
par contre le vol de clef est un vrai probleme que les administrateurs de serveurs doivent prendre en compte
de meme que l'authentification par clef bypasse les procedure standard de login
( pas de verification de l'expiration des compte, pas d'ouverture de ticket kerberos ... )

La longueur de la passe phrase est tirée des bonnes pratiques de l'ANSI

Philippe Weill , dans le message <q0e50e$f2u$1@shakotay.alphanet.ch>, a
écrit :

de meme que l'authentification par clef bypasse les procedure standard
de login ( pas de verification de l'expiration des compte, pas
d'ouverture de ticket kerberos ... )

sshd peut être configuré pour utiliser PAM, quand même, y compris avec
l'authentification par clef.

Le 01/01/2019 à 12:41, Nicolas George a écrit :

Philippe Weill , dans le message <q0e50e$f2u$1@shakotay.alphanet.ch>, a
écrit :

de meme que l'authentification par clef bypasse les procedure standard
de login ( pas de verification de l'expiration des compte, pas
d'ouverture de ticket kerberos ... )

sshd peut être configuré pour utiliser PAM, quand même, y compris avec
l'authentification par clef.

Si tu as des pointeurs ou des exemples , je suis très fortement interressé

Philippe Weill , dans le message <q0jf0o$euu$1@shakotay.alphanet.ch>, a
écrit :

Si tu as des pointeurs ou des exemples , je suis très fortement interressé

Désolé, je n'ai jamais été plus loin que configurer l'affichage du motd
ou « you have new mail » avec PAM. Mais au moins ces deux aspects
marchaient.