Mon PC perso est un serveur SSH: c'est parfois pratique
pour récupérer un fichier au lycée, travailler en ayant
tous mes fichiers sous la main, ou bien pour échanger
(discrètement) des fichiers avec des amis. Mon PC est
accessible seulement si on connaît l'IP. Je suis régulièrement
"attaqué" par des tentatives de login avec des login du genre
webadmin, test, root, nouser etc...
Je pense, bien sur, qu'il s' agit de programmes qui lancent une
demande de connexion SSH au hasard avec des logins "standards"
et qui quand ils voient que cette IP accepte les connexions
SSH essayent des variantes... Ces attaques ne sont pas
massives donc pas de problèmes pour moi...
Comme je sais que ce forum est fréquenté par quelques
administrateurs systèmes la question est simple: existent
t'ils encore des gens qui utilisent webadmin, nouser etc...
comme login? Il me semble que robert comme login est
plus sur que webadmin si robert est l'administrateur web
non? Avec un password (c'est l'étape suivante...) idiot
(0000, 1234 etc...) ou bien ces robots ne font que parasiter
la bande passante?
Autre question: si j'essaye ssh logininexistant@chezmoi on me
demande un mot de passe. Le couple (login/password) est transmis
en une seul fois? Sinon l'ordinateur chezmoi devrait répondre
logininexistant dégage tu n'existes pas il me semble... (idem avec
root: connexion impossible mais on me demande un mot de passe).
Sur ce point un mauvaise configuration de mon PC n'est pas
exclue...
NiKo , dans le message <4b21226b$0$32353$, a écrit :
2) Lors de ta déconnexion, le shell exécute .bash_logout
Dans ce cas, pendant tout le temps de la connexion, la clef en cours peut être utilisée.
Alors, dans le .bashrc, tu fais un truc genre :
rm -f authorized_keys
Et là, a moins de infiltrer ta connexion active, la connexion par clé est déjà stoppée.
Amandine Parmesan
On Thu, 10 Dec 2009 14:10:15 +0000 (UTC), Nicolas George <nicolas$ wrote:
Amandine Parmesan , dans le message , a écrit :
Ca existe un moyen de generer une clé et de l'envoyer par mail pour l'utiliser 1 seule fois sur une machine dont on a pas confiance ?
J'explique ce que je faisait sous windows avec un bureau distant/VNC/RemotelyAnywhere. Je generai une premiere fois un mot de passe (oui je sais, c'est pas une clé). Ce mot de passe etait envoyé par SMS/mail sur mon telephone portable. Quand j'avais besoin de me connecter sur mon PC maison depuis l'exterrieur, j'utilisais ce mot de passe. S'il y avait coupure ou fin de session, le mot de passe etait remplacé et le nouveau etait envoyé par SMS/mail dans la minute qui suivait.
S'il existe un moyen de faire la même chose avec double clé sous linux (SSH) je suis preneuse.
Je ne crois pas qu'il existe de systèmes de clefs à usage unique, mais des systèmes de mot de passe à usage unique, ça existe.
Donc je dois garder ce principe de mot de passe renouvelable avec un mot de passe de la mort-qui-tue
Mais ça n'a qu'une fiabilité limité : si le pirate veut y mettre les moyens, il peut utiliser la session que tu viens d'ouvrir pour se laisser entrer.
Meme avec une regle iptable vers l'IP qui a entrer le bon mot de passe ?
-- France-Irlande J'ai pas honte d'être francaise, mais j'aimerai être fier en laissant notre place à l'Irlande. C'est une question d'honneur Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé. http://www.youtube.com/watch?v=ekxsmPnHWSA
On Thu, 10 Dec 2009 14:10:15 +0000 (UTC), Nicolas George
<nicolas$george@salle-s.org> wrote:
Amandine Parmesan , dans le message
<ilv1i5poiod126vrfeodahqphnrnikude6@4ax.com>, a écrit :
Ca existe un moyen de generer une clé et de l'envoyer par mail pour
l'utiliser 1 seule fois sur une machine dont on a pas confiance ?
J'explique ce que je faisait sous windows avec un bureau
distant/VNC/RemotelyAnywhere.
Je generai une premiere fois un mot de passe (oui je sais, c'est pas
une clé). Ce mot de passe etait envoyé par SMS/mail sur mon telephone
portable. Quand j'avais besoin de me connecter sur mon PC maison
depuis l'exterrieur, j'utilisais ce mot de passe. S'il y avait coupure
ou fin de session, le mot de passe etait remplacé et le nouveau etait
envoyé par SMS/mail dans la minute qui suivait.
S'il existe un moyen de faire la même chose avec double clé sous linux
(SSH) je suis preneuse.
Je ne crois pas qu'il existe de systèmes de clefs à usage unique, mais des
systèmes de mot de passe à usage unique, ça existe.
Donc je dois garder ce principe de mot de passe renouvelable avec un
mot de passe de la mort-qui-tue
Mais ça n'a qu'une fiabilité limité : si le pirate veut y mettre les moyens,
il peut utiliser la session que tu viens d'ouvrir pour se laisser entrer.
Meme avec une regle iptable vers l'IP qui a entrer le bon mot de passe
?
--
France-Irlande
J'ai pas honte d'être francaise, mais j'aimerai être fier en laissant notre place à l'Irlande.
C'est une question d'honneur
Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé.
http://www.youtube.com/watch?v=ekxsmPnHWSA
On Thu, 10 Dec 2009 14:10:15 +0000 (UTC), Nicolas George <nicolas$ wrote:
Amandine Parmesan , dans le message , a écrit :
Ca existe un moyen de generer une clé et de l'envoyer par mail pour l'utiliser 1 seule fois sur une machine dont on a pas confiance ?
J'explique ce que je faisait sous windows avec un bureau distant/VNC/RemotelyAnywhere. Je generai une premiere fois un mot de passe (oui je sais, c'est pas une clé). Ce mot de passe etait envoyé par SMS/mail sur mon telephone portable. Quand j'avais besoin de me connecter sur mon PC maison depuis l'exterrieur, j'utilisais ce mot de passe. S'il y avait coupure ou fin de session, le mot de passe etait remplacé et le nouveau etait envoyé par SMS/mail dans la minute qui suivait.
S'il existe un moyen de faire la même chose avec double clé sous linux (SSH) je suis preneuse.
Je ne crois pas qu'il existe de systèmes de clefs à usage unique, mais des systèmes de mot de passe à usage unique, ça existe.
Donc je dois garder ce principe de mot de passe renouvelable avec un mot de passe de la mort-qui-tue
Mais ça n'a qu'une fiabilité limité : si le pirate veut y mettre les moyens, il peut utiliser la session que tu viens d'ouvrir pour se laisser entrer.
Meme avec une regle iptable vers l'IP qui a entrer le bon mot de passe ?
-- France-Irlande J'ai pas honte d'être francaise, mais j'aimerai être fier en laissant notre place à l'Irlande. C'est une question d'honneur Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé. http://www.youtube.com/watch?v=ekxsmPnHWSA
Amandine Parmesan
On Thu, 10 Dec 2009 18:59:31 +0100, NiKo wrote:
Nicolas George a écrit :
NiKo , dans le message <4b21226b$0$32353$, a écrit :
2) Lors de ta déconnexion, le shell exécute .bash_logout
Dans ce cas, pendant tout le temps de la connexion, la clef en cours peut être utilisée.
Alors, dans le .bashrc, tu fais un truc genre :
rm -f authorized_keys
Et là, a moins de infiltrer ta connexion active, la connexion par clé est déjà stoppée.
Ok donc si je coomprend bien, une fois la connexion activé, je dois supprimé le plus rapidement possible authorized_keys ? Cela ne me coupera pas ma connexion active ?
-- France-Irlande J'ai pas honte d'être francaise, mais j'aimerai être fier en laissant notre place à l'Irlande. C'est une question d'honneur Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé. http://www.youtube.com/watch?v=ekxsmPnHWSA
On Thu, 10 Dec 2009 18:59:31 +0100, NiKo <NiKo@nomail.svp> wrote:
Nicolas George a écrit :
NiKo , dans le message <4b21226b$0$32353$426a74cc@news.free.fr>, a
écrit :
2) Lors de ta déconnexion, le shell exécute .bash_logout
Dans ce cas, pendant tout le temps de la connexion, la clef en cours peut
être utilisée.
Alors, dans le .bashrc, tu fais un truc genre :
rm -f authorized_keys
Et là, a moins de infiltrer ta connexion active, la connexion par clé
est déjà stoppée.
Ok donc si je coomprend bien, une fois la connexion activé, je dois
supprimé le plus rapidement possible authorized_keys ? Cela ne me
coupera pas ma connexion active ?
--
France-Irlande
J'ai pas honte d'être francaise, mais j'aimerai être fier en laissant notre place à l'Irlande.
C'est une question d'honneur
Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé.
http://www.youtube.com/watch?v=ekxsmPnHWSA
NiKo , dans le message <4b21226b$0$32353$, a écrit :
2) Lors de ta déconnexion, le shell exécute .bash_logout
Dans ce cas, pendant tout le temps de la connexion, la clef en cours peut être utilisée.
Alors, dans le .bashrc, tu fais un truc genre :
rm -f authorized_keys
Et là, a moins de infiltrer ta connexion active, la connexion par clé est déjà stoppée.
Ok donc si je coomprend bien, une fois la connexion activé, je dois supprimé le plus rapidement possible authorized_keys ? Cela ne me coupera pas ma connexion active ?
-- France-Irlande J'ai pas honte d'être francaise, mais j'aimerai être fier en laissant notre place à l'Irlande. C'est une question d'honneur Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé. http://www.youtube.com/watch?v=ekxsmPnHWSA
Amandine Parmesan
On Thu, 10 Dec 2009 17:31:39 +0100, NiKo wrote:
Amandine Parmesan a écrit :
S'il existe un moyen de faire la même chose avec double clé sous linux (SSH) je suis preneuse.
Je ne vois pas en quoi cela semble impossible :
Si on part du principe que tu as déja (Usb, mail ou autre) la clé te permettant la première connexion :
1) Tu te connectes en ssh 2) Lors de ta déconnexion, le shell exécute .bash_logout
Dans ce batch, tu peux lui dire :
- Il détruit les anciennes clés + authorized_keys - Il génère une nouvelle paire de clés - Il te les mail (Tu peux même crypter PGP) - Il recopie la clé (id_xxx.pub) > authorized_keys
Et c'est reparti pour un tour ...
Meme principe que j'utilisais pour mot de passe. Je vais étudier cela de pres (tout en lisant les commentaires ici).
Coupler le tout a portknocker (en utilisant ping "packetsize" pour la compatibilité avec le ping de windows) et fail2ban ca doit le faire.
-- France-Irlande J'ai pas honte d'être francaise, mais j'aimerai être fier en laissant notre place à l'Irlande. C'est une question d'honneur Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé. http://www.youtube.com/watch?v=ekxsmPnHWSA
On Thu, 10 Dec 2009 17:31:39 +0100, NiKo <NiKo@nomail.svp> wrote:
Amandine Parmesan a écrit :
S'il existe un moyen de faire la même chose avec double clé sous linux
(SSH) je suis preneuse.
Je ne vois pas en quoi cela semble impossible :
Si on part du principe que tu as déja (Usb, mail ou autre) la clé te
permettant la première connexion :
1) Tu te connectes en ssh
2) Lors de ta déconnexion, le shell exécute .bash_logout
Dans ce batch, tu peux lui dire :
- Il détruit les anciennes clés + authorized_keys
- Il génère une nouvelle paire de clés
- Il te les mail (Tu peux même crypter PGP)
- Il recopie la clé (id_xxx.pub) > authorized_keys
Et c'est reparti pour un tour ...
Meme principe que j'utilisais pour mot de passe.
Je vais étudier cela de pres (tout en lisant les commentaires ici).
Coupler le tout a portknocker (en utilisant ping "packetsize" pour la
compatibilité avec le ping de windows) et fail2ban ca doit le faire.
--
France-Irlande
J'ai pas honte d'être francaise, mais j'aimerai être fier en laissant notre place à l'Irlande.
C'est une question d'honneur
Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé.
http://www.youtube.com/watch?v=ekxsmPnHWSA
S'il existe un moyen de faire la même chose avec double clé sous linux (SSH) je suis preneuse.
Je ne vois pas en quoi cela semble impossible :
Si on part du principe que tu as déja (Usb, mail ou autre) la clé te permettant la première connexion :
1) Tu te connectes en ssh 2) Lors de ta déconnexion, le shell exécute .bash_logout
Dans ce batch, tu peux lui dire :
- Il détruit les anciennes clés + authorized_keys - Il génère une nouvelle paire de clés - Il te les mail (Tu peux même crypter PGP) - Il recopie la clé (id_xxx.pub) > authorized_keys
Et c'est reparti pour un tour ...
Meme principe que j'utilisais pour mot de passe. Je vais étudier cela de pres (tout en lisant les commentaires ici).
Coupler le tout a portknocker (en utilisant ping "packetsize" pour la compatibilité avec le ping de windows) et fail2ban ca doit le faire.
-- France-Irlande J'ai pas honte d'être francaise, mais j'aimerai être fier en laissant notre place à l'Irlande. C'est une question d'honneur Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé. http://www.youtube.com/watch?v=ekxsmPnHWSA
NiKo
Amandine Parmesan a écrit :
On Thu, 10 Dec 2009 18:59:31 +0100, NiKo wrote:
Nicolas George a écrit :
NiKo , dans le message <4b21226b$0$32353$, a écrit :
2) Lors de ta déconnexion, le shell exécute .bash_logout
Dans ce cas, pendant tout le temps de la connexion, la clef en cours peut être utilisée.
Alors, dans le .bashrc, tu fais un truc genre :
rm -f authorized_keys
Et là, a moins de infiltrer ta connexion active, la connexion par clé est déjà stoppée.
Ok donc si je coomprend bien, une fois la connexion activé, je dois supprimé le plus rapidement possible authorized_keys ? Cela ne me coupera pas ma connexion active ?
D'après les tests que j'ai faits (Debian Lenny et Ubuntu Hardy), non, ça ne coupe pas la connexion. Tu peux même arrêter le serveur ssh, ta connexion reste active.
Ça doit être faisable. Par contre, je ne supprimerais pas le 'authorized_keys' mais je le renommerais, afin qu'en cas d'erreur lors de la génération et l'envoi des nouvelles clés, ton script puisse remettre l'ancien en place pour ne pas te couper définitivement toute connexion.
Dans l'idéal, il faudrait générer deux clés.
Une qui permette une connexion et qui ne change pas (Entrée de secours), mais que tu n'utiliserais jamais Et la seconde, qui elle, changerais à chaque connexion. En cas de soucis, tu pourras toujours reprendre la main avec la clé principale.
Déconnexion : Exécution de .bash_logout ssh-keygen .... gpg id_client* mail id_client* cat id_master.pub > authorized_keys cat id_client.pub >> authorized_keys
En cas d'erreur dans la déconnexion : rm -f authorized_keys mv authorized_keys.old authorized_keys
Amandine Parmesan a écrit :
On Thu, 10 Dec 2009 18:59:31 +0100, NiKo <NiKo@nomail.svp> wrote:
Nicolas George a écrit :
NiKo , dans le message <4b21226b$0$32353$426a74cc@news.free.fr>, a
écrit :
2) Lors de ta déconnexion, le shell exécute .bash_logout
Dans ce cas, pendant tout le temps de la connexion, la clef en cours peut
être utilisée.
Alors, dans le .bashrc, tu fais un truc genre :
rm -f authorized_keys
Et là, a moins de infiltrer ta connexion active, la connexion par clé
est déjà stoppée.
Ok donc si je coomprend bien, une fois la connexion activé, je dois
supprimé le plus rapidement possible authorized_keys ? Cela ne me
coupera pas ma connexion active ?
D'après les tests que j'ai faits (Debian Lenny et Ubuntu Hardy), non, ça
ne coupe pas la connexion.
Tu peux même arrêter le serveur ssh, ta connexion reste active.
Ça doit être faisable. Par contre, je ne supprimerais pas le
'authorized_keys' mais je le renommerais, afin qu'en cas d'erreur lors
de la génération et l'envoi des nouvelles clés, ton script puisse
remettre l'ancien en place pour ne pas te couper définitivement toute
connexion.
Dans l'idéal, il faudrait générer deux clés.
Une qui permette une connexion et qui ne change pas (Entrée de secours),
mais que tu n'utiliserais jamais
Et la seconde, qui elle, changerais à chaque connexion.
En cas de soucis, tu pourras toujours reprendre la main avec la clé
principale.
NiKo , dans le message <4b21226b$0$32353$, a écrit :
2) Lors de ta déconnexion, le shell exécute .bash_logout
Dans ce cas, pendant tout le temps de la connexion, la clef en cours peut être utilisée.
Alors, dans le .bashrc, tu fais un truc genre :
rm -f authorized_keys
Et là, a moins de infiltrer ta connexion active, la connexion par clé est déjà stoppée.
Ok donc si je coomprend bien, une fois la connexion activé, je dois supprimé le plus rapidement possible authorized_keys ? Cela ne me coupera pas ma connexion active ?
D'après les tests que j'ai faits (Debian Lenny et Ubuntu Hardy), non, ça ne coupe pas la connexion. Tu peux même arrêter le serveur ssh, ta connexion reste active.
Ça doit être faisable. Par contre, je ne supprimerais pas le 'authorized_keys' mais je le renommerais, afin qu'en cas d'erreur lors de la génération et l'envoi des nouvelles clés, ton script puisse remettre l'ancien en place pour ne pas te couper définitivement toute connexion.
Dans l'idéal, il faudrait générer deux clés.
Une qui permette une connexion et qui ne change pas (Entrée de secours), mais que tu n'utiliserais jamais Et la seconde, qui elle, changerais à chaque connexion. En cas de soucis, tu pourras toujours reprendre la main avec la clé principale.
Déconnexion : Exécution de .bash_logout ssh-keygen .... gpg id_client* mail id_client* cat id_master.pub > authorized_keys cat id_client.pub >> authorized_keys
En cas d'erreur dans la déconnexion : rm -f authorized_keys mv authorized_keys.old authorized_keys
Ca me plait bien tout ça. merci
-- France-Irlande J'ai pas honte d'être francaise, mais j'aimerai être fier en laissant notre place à l'Irlande. C'est une question d'honneur Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé. http://www.youtube.com/watch?v=ekxsmPnHWSA
On Thu, 10 Dec 2009 23:16:28 +0100, NiKo <NiKo@nomail.svp> wrote:
Déconnexion :
Exécution de .bash_logout
ssh-keygen ....
gpg id_client*
mail id_client*
cat id_master.pub > authorized_keys
cat id_client.pub >> authorized_keys
En cas d'erreur dans la déconnexion :
rm -f authorized_keys
mv authorized_keys.old authorized_keys
Ca me plait bien tout ça.
merci
--
France-Irlande
J'ai pas honte d'être francaise, mais j'aimerai être fier en laissant notre place à l'Irlande.
C'est une question d'honneur
Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé.
http://www.youtube.com/watch?v=ekxsmPnHWSA
Déconnexion : Exécution de .bash_logout ssh-keygen .... gpg id_client* mail id_client* cat id_master.pub > authorized_keys cat id_client.pub >> authorized_keys
En cas d'erreur dans la déconnexion : rm -f authorized_keys mv authorized_keys.old authorized_keys
Ca me plait bien tout ça. merci
-- France-Irlande J'ai pas honte d'être francaise, mais j'aimerai être fier en laissant notre place à l'Irlande. C'est une question d'honneur Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé. http://www.youtube.com/watch?v=ekxsmPnHWSA
Nicolas George
NiKo , dans le message <4b21226b$0$32353$, a écrit :
- Il te les mail (Tu peux même crypter PGP)
Et dans ce cas, la sécurité de l'accès à la machine est ramené à la sécurité de l'accès à ces mails. On n'a essentiellement rien gagné.
NiKo , dans le message <4b21226b$0$32353$426a74cc@news.free.fr>, a
écrit :
- Il te les mail (Tu peux même crypter PGP)
Et dans ce cas, la sécurité de l'accès à la machine est ramené à la sécurité
de l'accès à ces mails. On n'a essentiellement rien gagné.
NiKo , dans le message <4b21226b$0$32353$, a écrit :
- Il te les mail (Tu peux même crypter PGP)
Et dans ce cas, la sécurité de l'accès à la machine est ramené à la sécurité de l'accès à ces mails. On n'a essentiellement rien gagné.
Emmanuel Florac
Le Thu, 10 Dec 2009 16:23:06 +0000, JKB a écrit:
C'est intelligent comme réponse.
Il y a les one-time-pass bidules de RSA, ça coûte la peau des fesses par contre. En gros tu te connectes à ton système qui te donne un mot de passe que tu entres dans ton "token" (carte de crédit ou porte-clefs), le token affiche un mot de passe à usage unique que tu entres, et voilà. Avantage : tout mot de passe ne peut servir qu'une fois, même avec un keylogger personne ne peut donc te le piquer. Inconvénient : je n'ai aucune idée de comment on interface ça avec ssh, mais je suis sûr que quelqu'un l'a prévu. Et puis ça coûte cher et plus proprio tu meurs. En tout cas les banques adorent.
-- If atheism is a religion, then baldness is a hair color. And not collecting stamps is a hobby. mahade on reddit.com
Le Thu, 10 Dec 2009 16:23:06 +0000, JKB a écrit:
C'est intelligent comme réponse.
Il y a les one-time-pass bidules de RSA, ça coûte la peau des fesses par
contre. En gros tu te connectes à ton système qui te donne un mot de
passe que tu entres dans ton "token" (carte de crédit ou porte-clefs), le
token affiche un mot de passe à usage unique que tu entres, et voilà.
Avantage : tout mot de passe ne peut servir qu'une fois, même avec un
keylogger personne ne peut donc te le piquer. Inconvénient : je n'ai
aucune idée de comment on interface ça avec ssh, mais je suis sûr que
quelqu'un l'a prévu. Et puis ça coûte cher et plus proprio tu meurs. En
tout cas les banques adorent.
--
If atheism is a religion, then baldness is a hair color.
And not collecting stamps is a hobby.
mahade on reddit.com
Il y a les one-time-pass bidules de RSA, ça coûte la peau des fesses par contre. En gros tu te connectes à ton système qui te donne un mot de passe que tu entres dans ton "token" (carte de crédit ou porte-clefs), le token affiche un mot de passe à usage unique que tu entres, et voilà. Avantage : tout mot de passe ne peut servir qu'une fois, même avec un keylogger personne ne peut donc te le piquer. Inconvénient : je n'ai aucune idée de comment on interface ça avec ssh, mais je suis sûr que quelqu'un l'a prévu. Et puis ça coûte cher et plus proprio tu meurs. En tout cas les banques adorent.
-- If atheism is a religion, then baldness is a hair color. And not collecting stamps is a hobby. mahade on reddit.com
