Mon PC perso est un serveur SSH: c'est parfois pratique
pour récupérer un fichier au lycée, travailler en ayant
tous mes fichiers sous la main, ou bien pour échanger
(discrètement) des fichiers avec des amis. Mon PC est
accessible seulement si on connaît l'IP. Je suis régulièrement
"attaqué" par des tentatives de login avec des login du genre
webadmin, test, root, nouser etc...
Je pense, bien sur, qu'il s' agit de programmes qui lancent une
demande de connexion SSH au hasard avec des logins "standards"
et qui quand ils voient que cette IP accepte les connexions
SSH essayent des variantes... Ces attaques ne sont pas
massives donc pas de problèmes pour moi...
Comme je sais que ce forum est fréquenté par quelques
administrateurs systèmes la question est simple: existent
t'ils encore des gens qui utilisent webadmin, nouser etc...
comme login? Il me semble que robert comme login est
plus sur que webadmin si robert est l'administrateur web
non? Avec un password (c'est l'étape suivante...) idiot
(0000, 1234 etc...) ou bien ces robots ne font que parasiter
la bande passante?
Autre question: si j'essaye ssh logininexistant@chezmoi on me
demande un mot de passe. Le couple (login/password) est transmis
en une seul fois? Sinon l'ordinateur chezmoi devrait répondre
logininexistant dégage tu n'existes pas il me semble... (idem avec
root: connexion impossible mais on me demande un mot de passe).
Sur ce point un mauvaise configuration de mon PC n'est pas
exclue...
La réponse est tout à fait sérieuse : tu ne peux pas espérer de la sécurité si tu acceptes d'utiliser des machines en lesquelles tu ne peux pas avoir confiance. Même ta clef SSH sur une clef USB ça ne marche pas : rien ne te dit que le client SSH ne va pas expédier une copie de la clef à quelqu'un.
JKB , dans le message <slrnhi1suj.4bq.knatschke@rayleigh.systella.fr>, a
écrit :
J'attends une réponse _sérieuse_.
La réponse est tout à fait sérieuse : tu ne peux pas espérer de la sécurité
si tu acceptes d'utiliser des machines en lesquelles tu ne peux pas avoir
confiance. Même ta clef SSH sur une clef USB ça ne marche pas : rien ne te
dit que le client SSH ne va pas expédier une copie de la clef à quelqu'un.
La réponse est tout à fait sérieuse : tu ne peux pas espérer de la sécurité si tu acceptes d'utiliser des machines en lesquelles tu ne peux pas avoir confiance. Même ta clef SSH sur une clef USB ça ne marche pas : rien ne te dit que le client SSH ne va pas expédier une copie de la clef à quelqu'un.
JKB
Le 10-12-2009, ? propos de Re: Attaque débile sur le port 22?, Nicolas George ?crivait dans fr.comp.os.linux.debats :
JKB , dans le message , a écrit :
J'attends une réponse _sérieuse_.
La réponse est tout à fait sérieuse : tu ne peux pas espérer de la sécurité si tu acceptes d'utiliser des machines en lesquelles tu ne peux pas avoir confiance. Même ta clef SSH sur une clef USB ça ne marche pas : rien ne te dit que le client SSH ne va pas expédier une copie de la clef à quelqu'un.
J'attends une réponse et non une pirouette. La question initiale est "comment prendre la main sur une machine à distance" ?
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Le 10-12-2009, ? propos de
Re: Attaque débile sur le port 22?,
Nicolas George ?crivait dans fr.comp.os.linux.debats :
JKB , dans le message <slrnhi1suj.4bq.knatschke@rayleigh.systella.fr>, a
écrit :
J'attends une réponse _sérieuse_.
La réponse est tout à fait sérieuse : tu ne peux pas espérer de la sécurité
si tu acceptes d'utiliser des machines en lesquelles tu ne peux pas avoir
confiance. Même ta clef SSH sur une clef USB ça ne marche pas : rien ne te
dit que le client SSH ne va pas expédier une copie de la clef à quelqu'un.
J'attends une réponse et non une pirouette. La question initiale est
"comment prendre la main sur une machine à distance" ?
JKB
--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Le 10-12-2009, ? propos de Re: Attaque débile sur le port 22?, Nicolas George ?crivait dans fr.comp.os.linux.debats :
JKB , dans le message , a écrit :
J'attends une réponse _sérieuse_.
La réponse est tout à fait sérieuse : tu ne peux pas espérer de la sécurité si tu acceptes d'utiliser des machines en lesquelles tu ne peux pas avoir confiance. Même ta clef SSH sur une clef USB ça ne marche pas : rien ne te dit que le client SSH ne va pas expédier une copie de la clef à quelqu'un.
J'attends une réponse et non une pirouette. La question initiale est "comment prendre la main sur une machine à distance" ?
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Riquer Vincent
JKB a écrit :
Je vais certainement raconter une connerie, mais l'authentification par clef, ça marche bien lorsque tu as ta clef dans le répertoire qui va bien du client. Quand tu es contraint de te connecter depuis une machine d'un client comme ça m'arrive très souvent, comment fais-tu ? (l'option 'je me trimbale avec une clef USB contenant ma clef SSH' ne tient pas)
heuuu... you're screwed ?
JKB a écrit :
Je vais certainement raconter une connerie, mais l'authentification
par clef, ça marche bien lorsque tu as ta clef dans le répertoire
qui va bien du client. Quand tu es contraint de te connecter depuis
une machine d'un client comme ça m'arrive très souvent, comment
fais-tu ? (l'option 'je me trimbale avec une clef USB contenant ma
clef SSH' ne tient pas)
Je vais certainement raconter une connerie, mais l'authentification par clef, ça marche bien lorsque tu as ta clef dans le répertoire qui va bien du client. Quand tu es contraint de te connecter depuis une machine d'un client comme ça m'arrive très souvent, comment fais-tu ? (l'option 'je me trimbale avec une clef USB contenant ma clef SSH' ne tient pas)
heuuu... you're screwed ?
Nicolas George
JKB , dans le message , a écrit :
J'attends une réponse et non une pirouette. La question initiale est "comment prendre la main sur une machine à distance" ?
Depuis ton portable.
JKB , dans le message <slrnhi1ujq.4bq.knatschke@rayleigh.systella.fr>, a
écrit :
J'attends une réponse et non une pirouette. La question initiale est
"comment prendre la main sur une machine à distance" ?
J'attends une réponse et non une pirouette. La question initiale est "comment prendre la main sur une machine à distance" ?
Depuis ton portable.
JKB
Le 10-12-2009, ? propos de Re: Attaque débile sur le port 22?, Nicolas George ?crivait dans fr.comp.os.linux.debats :
JKB , dans le message , a écrit :
J'attends une réponse et non une pirouette. La question initiale est "comment prendre la main sur une machine à distance" ?
Depuis ton portable.
Non. Lorsque j'interviens dans certaines boîtes, je suis prié de venir les mains dans les poches. Je n'ai pas l'autorisation d'ouvrir un quelconque portable.
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Le 10-12-2009, ? propos de
Re: Attaque débile sur le port 22?,
Nicolas George ?crivait dans fr.comp.os.linux.debats :
JKB , dans le message <slrnhi1ujq.4bq.knatschke@rayleigh.systella.fr>, a
écrit :
J'attends une réponse et non une pirouette. La question initiale est
"comment prendre la main sur une machine à distance" ?
Depuis ton portable.
Non. Lorsque j'interviens dans certaines boîtes, je suis prié de
venir les mains dans les poches. Je n'ai pas l'autorisation d'ouvrir
un quelconque portable.
JKB
--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Le 10-12-2009, ? propos de Re: Attaque débile sur le port 22?, Nicolas George ?crivait dans fr.comp.os.linux.debats :
JKB , dans le message , a écrit :
J'attends une réponse et non une pirouette. La question initiale est "comment prendre la main sur une machine à distance" ?
Depuis ton portable.
Non. Lorsque j'interviens dans certaines boîtes, je suis prié de venir les mains dans les poches. Je n'ai pas l'autorisation d'ouvrir un quelconque portable.
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Amandine Parmesan
On Thu, 10 Dec 2009 13:37:14 +0000 (UTC), Nicolas George <nicolas$ wrote:
JKB , dans le message , a écrit :
J'attends une réponse _sérieuse_.
La réponse est tout à fait sérieuse : tu ne peux pas espérer de la sécurité si tu acceptes d'utiliser des machines en lesquelles tu ne peux pas avoir confiance. Même ta clef SSH sur une clef USB ça ne marche pas : rien ne te dit que le client SSH ne va pas expédier une copie de la clef à quelqu'un.
Ca existe un moyen de generer une clé et de l'envoyer par mail pour l'utiliser 1 seule fois sur une machine dont on a pas confiance ?
J'explique ce que je faisait sous windows avec un bureau distant/VNC/RemotelyAnywhere. Je generai une premiere fois un mot de passe (oui je sais, c'est pas une clé). Ce mot de passe etait envoyé par SMS/mail sur mon telephone portable. Quand j'avais besoin de me connecter sur mon PC maison depuis l'exterrieur, j'utilisais ce mot de passe. S'il y avait coupure ou fin de session, le mot de passe etait remplacé et le nouveau etait envoyé par SMS/mail dans la minute qui suivait.
S'il existe un moyen de faire la même chose avec double clé sous linux (SSH) je suis preneuse.
-- France-Irlande J'ai pas honte d'être francaise, mais j'aimerai être fier en laissant notre place à l'Irlande. C'est une question d'honneur Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé. http://www.youtube.com/watch?v=ekxsmPnHWSA
On Thu, 10 Dec 2009 13:37:14 +0000 (UTC), Nicolas George
<nicolas$george@salle-s.org> wrote:
JKB , dans le message <slrnhi1suj.4bq.knatschke@rayleigh.systella.fr>, a
écrit :
J'attends une réponse _sérieuse_.
La réponse est tout à fait sérieuse : tu ne peux pas espérer de la sécurité
si tu acceptes d'utiliser des machines en lesquelles tu ne peux pas avoir
confiance. Même ta clef SSH sur une clef USB ça ne marche pas : rien ne te
dit que le client SSH ne va pas expédier une copie de la clef à quelqu'un.
Ca existe un moyen de generer une clé et de l'envoyer par mail pour
l'utiliser 1 seule fois sur une machine dont on a pas confiance ?
J'explique ce que je faisait sous windows avec un bureau
distant/VNC/RemotelyAnywhere.
Je generai une premiere fois un mot de passe (oui je sais, c'est pas
une clé). Ce mot de passe etait envoyé par SMS/mail sur mon telephone
portable. Quand j'avais besoin de me connecter sur mon PC maison
depuis l'exterrieur, j'utilisais ce mot de passe. S'il y avait coupure
ou fin de session, le mot de passe etait remplacé et le nouveau etait
envoyé par SMS/mail dans la minute qui suivait.
S'il existe un moyen de faire la même chose avec double clé sous linux
(SSH) je suis preneuse.
--
France-Irlande
J'ai pas honte d'être francaise, mais j'aimerai être fier en laissant notre place à l'Irlande.
C'est une question d'honneur
Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé.
http://www.youtube.com/watch?v=ekxsmPnHWSA
On Thu, 10 Dec 2009 13:37:14 +0000 (UTC), Nicolas George <nicolas$ wrote:
JKB , dans le message , a écrit :
J'attends une réponse _sérieuse_.
La réponse est tout à fait sérieuse : tu ne peux pas espérer de la sécurité si tu acceptes d'utiliser des machines en lesquelles tu ne peux pas avoir confiance. Même ta clef SSH sur une clef USB ça ne marche pas : rien ne te dit que le client SSH ne va pas expédier une copie de la clef à quelqu'un.
Ca existe un moyen de generer une clé et de l'envoyer par mail pour l'utiliser 1 seule fois sur une machine dont on a pas confiance ?
J'explique ce que je faisait sous windows avec un bureau distant/VNC/RemotelyAnywhere. Je generai une premiere fois un mot de passe (oui je sais, c'est pas une clé). Ce mot de passe etait envoyé par SMS/mail sur mon telephone portable. Quand j'avais besoin de me connecter sur mon PC maison depuis l'exterrieur, j'utilisais ce mot de passe. S'il y avait coupure ou fin de session, le mot de passe etait remplacé et le nouveau etait envoyé par SMS/mail dans la minute qui suivait.
S'il existe un moyen de faire la même chose avec double clé sous linux (SSH) je suis preneuse.
-- France-Irlande J'ai pas honte d'être francaise, mais j'aimerai être fier en laissant notre place à l'Irlande. C'est une question d'honneur Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé. http://www.youtube.com/watch?v=ekxsmPnHWSA
Nicolas George
JKB , dans le message , a écrit :
Non. Lorsque j'interviens dans certaines boîtes, je suis prié de venir les mains dans les poches. Je n'ai pas l'autorisation d'ouvrir un quelconque portable.
Eh bien dans ce cas tu n'accèdes pas non plus à une machine de l'extérieur, c'est tout.
JKB , dans le message <slrnhi1vkt.4bq.knatschke@rayleigh.systella.fr>, a
écrit :
Non. Lorsque j'interviens dans certaines boîtes, je suis prié de
venir les mains dans les poches. Je n'ai pas l'autorisation d'ouvrir
un quelconque portable.
Eh bien dans ce cas tu n'accèdes pas non plus à une machine de l'extérieur,
c'est tout.
Non. Lorsque j'interviens dans certaines boîtes, je suis prié de venir les mains dans les poches. Je n'ai pas l'autorisation d'ouvrir un quelconque portable.
Eh bien dans ce cas tu n'accèdes pas non plus à une machine de l'extérieur, c'est tout.
Nicolas George
Amandine Parmesan , dans le message , a écrit :
Ca existe un moyen de generer une clé et de l'envoyer par mail pour l'utiliser 1 seule fois sur une machine dont on a pas confiance ?
J'explique ce que je faisait sous windows avec un bureau distant/VNC/RemotelyAnywhere. Je generai une premiere fois un mot de passe (oui je sais, c'est pas une clé). Ce mot de passe etait envoyé par SMS/mail sur mon telephone portable. Quand j'avais besoin de me connecter sur mon PC maison depuis l'exterrieur, j'utilisais ce mot de passe. S'il y avait coupure ou fin de session, le mot de passe etait remplacé et le nouveau etait envoyé par SMS/mail dans la minute qui suivait.
S'il existe un moyen de faire la même chose avec double clé sous linux (SSH) je suis preneuse.
Je ne crois pas qu'il existe de systèmes de clefs à usage unique, mais des systèmes de mot de passe à usage unique, ça existe.
Mais ça n'a qu'une fiabilité limité : si le pirate veut y mettre les moyens, il peut utiliser la session que tu viens d'ouvrir pour se laisser entrer.
Amandine Parmesan , dans le message
<ilv1i5poiod126vrfeodahqphnrnikude6@4ax.com>, a écrit :
Ca existe un moyen de generer une clé et de l'envoyer par mail pour
l'utiliser 1 seule fois sur une machine dont on a pas confiance ?
J'explique ce que je faisait sous windows avec un bureau
distant/VNC/RemotelyAnywhere.
Je generai une premiere fois un mot de passe (oui je sais, c'est pas
une clé). Ce mot de passe etait envoyé par SMS/mail sur mon telephone
portable. Quand j'avais besoin de me connecter sur mon PC maison
depuis l'exterrieur, j'utilisais ce mot de passe. S'il y avait coupure
ou fin de session, le mot de passe etait remplacé et le nouveau etait
envoyé par SMS/mail dans la minute qui suivait.
S'il existe un moyen de faire la même chose avec double clé sous linux
(SSH) je suis preneuse.
Je ne crois pas qu'il existe de systèmes de clefs à usage unique, mais des
systèmes de mot de passe à usage unique, ça existe.
Mais ça n'a qu'une fiabilité limité : si le pirate veut y mettre les moyens,
il peut utiliser la session que tu viens d'ouvrir pour se laisser entrer.
Ca existe un moyen de generer une clé et de l'envoyer par mail pour l'utiliser 1 seule fois sur une machine dont on a pas confiance ?
J'explique ce que je faisait sous windows avec un bureau distant/VNC/RemotelyAnywhere. Je generai une premiere fois un mot de passe (oui je sais, c'est pas une clé). Ce mot de passe etait envoyé par SMS/mail sur mon telephone portable. Quand j'avais besoin de me connecter sur mon PC maison depuis l'exterrieur, j'utilisais ce mot de passe. S'il y avait coupure ou fin de session, le mot de passe etait remplacé et le nouveau etait envoyé par SMS/mail dans la minute qui suivait.
S'il existe un moyen de faire la même chose avec double clé sous linux (SSH) je suis preneuse.
Je ne crois pas qu'il existe de systèmes de clefs à usage unique, mais des systèmes de mot de passe à usage unique, ça existe.
Mais ça n'a qu'une fiabilité limité : si le pirate veut y mettre les moyens, il peut utiliser la session que tu viens d'ouvrir pour se laisser entrer.
JKB
Le 10-12-2009, ? propos de Re: Attaque débile sur le port 22?, Nicolas George ?crivait dans fr.comp.os.linux.debats :
JKB , dans le message , a écrit :
Non. Lorsque j'interviens dans certaines boîtes, je suis prié de venir les mains dans les poches. Je n'ai pas l'autorisation d'ouvrir un quelconque portable.
Eh bien dans ce cas tu n'accèdes pas non plus à une machine de l'extérieur, c'est tout.
C'est intelligent comme réponse.
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Le 10-12-2009, ? propos de
Re: Attaque débile sur le port 22?,
Nicolas George ?crivait dans fr.comp.os.linux.debats :
JKB , dans le message <slrnhi1vkt.4bq.knatschke@rayleigh.systella.fr>, a
écrit :
Non. Lorsque j'interviens dans certaines boîtes, je suis prié de
venir les mains dans les poches. Je n'ai pas l'autorisation d'ouvrir
un quelconque portable.
Eh bien dans ce cas tu n'accèdes pas non plus à une machine de l'extérieur,
c'est tout.
C'est intelligent comme réponse.
JKB
--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Le 10-12-2009, ? propos de Re: Attaque débile sur le port 22?, Nicolas George ?crivait dans fr.comp.os.linux.debats :
JKB , dans le message , a écrit :
Non. Lorsque j'interviens dans certaines boîtes, je suis prié de venir les mains dans les poches. Je n'ai pas l'autorisation d'ouvrir un quelconque portable.
Eh bien dans ce cas tu n'accèdes pas non plus à une machine de l'extérieur, c'est tout.
C'est intelligent comme réponse.
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
NiKo
Amandine Parmesan a écrit :
S'il existe un moyen de faire la même chose avec double clé sous linux (SSH) je suis preneuse.
Je ne vois pas en quoi cela semble impossible :
Si on part du principe que tu as déja (Usb, mail ou autre) la clé te permettant la première connexion :
1) Tu te connectes en ssh 2) Lors de ta déconnexion, le shell exécute .bash_logout
Dans ce batch, tu peux lui dire :
- Il détruit les anciennes clés + authorized_keys - Il génère une nouvelle paire de clés - Il te les mail (Tu peux même crypter PGP) - Il recopie la clé (id_xxx.pub) > authorized_keys
Et c'est reparti pour un tour ...
Amandine Parmesan a écrit :
S'il existe un moyen de faire la même chose avec double clé sous linux
(SSH) je suis preneuse.
Je ne vois pas en quoi cela semble impossible :
Si on part du principe que tu as déja (Usb, mail ou autre) la clé te
permettant la première connexion :
1) Tu te connectes en ssh
2) Lors de ta déconnexion, le shell exécute .bash_logout
Dans ce batch, tu peux lui dire :
- Il détruit les anciennes clés + authorized_keys
- Il génère une nouvelle paire de clés
- Il te les mail (Tu peux même crypter PGP)
- Il recopie la clé (id_xxx.pub) > authorized_keys
S'il existe un moyen de faire la même chose avec double clé sous linux (SSH) je suis preneuse.
Je ne vois pas en quoi cela semble impossible :
Si on part du principe que tu as déja (Usb, mail ou autre) la clé te permettant la première connexion :
1) Tu te connectes en ssh 2) Lors de ta déconnexion, le shell exécute .bash_logout
Dans ce batch, tu peux lui dire :
- Il détruit les anciennes clés + authorized_keys - Il génère une nouvelle paire de clés - Il te les mail (Tu peux même crypter PGP) - Il recopie la clé (id_xxx.pub) > authorized_keys
