Configuration Serveur SSh !

Le
Corsica
Bonjour à Tous

Petite question. Est il possible de dire au serveur ssh de n'accepter
QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière
du réseau local qui pourra se connecter avec mot de passe ?

Merci d'avance et Bien le Bonjour de Corse
Vos réponses
Trier par : date / pertinence
Stephane Catteau
Le #858241
Corsica n'était pas loin de dire :

Petite question. Est il possible de dire au serveur ssh de n'accepter
QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière
du réseau local qui pourra se connecter avec mot de passe ?


Euh... De tête je serais tenté de dire non, mais je peux me tromper.
Cependant, quel est l'intérêt d'une telle configuration ? Si vraiment
tu ne veux pas te prendre la tête, ouvre rsh ou telnet à l'adresse IP
concernée, ce sera encore plus simple que SSH, c'est faisable, et la
problématique d'ensemble restera la même, le maillon faible de la
machine sur laquelle tourne le serveur SSH sera la machine ayant le
droit de se loguer sans clé.


Merci d'avance et Bien le Bonjour de Corse


De rien.

Corsica
Le #858053
Euh... De tête je serais tenté de dire non, mais je peux me tromper.
Cependant, quel est l'intérêt d'une telle configuration ? Si vraiment
tu ne veux pas te prendre la tête, ouvre rsh ou telnet à l'adresse IP
concernée, ce sera encore plus simple que SSH, c'est faisable, et la
problématique d'ensemble restera la même, le maillon faible de la
machine sur laquelle tourne le serveur SSH sera la machine ayant le
droit de se loguer sans clé.



Ok, merci pour la réponse. Je m'en doutais un peu

Amitiés de Corse

Olivier Croquette
Le #858051
Stephane Catteau wrote, On 08.02.2007 16:19 Uhr:
Petite question. Est il possible de dire au serveur ssh de n'accepter
QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière
du réseau local qui pourra se connecter avec mot de passe ?


Euh... De tête je serais tenté de dire non, mais je peux me tromper.
Cependant, quel est l'intérêt d'une telle configuration ? Si vraiment
tu ne veux pas te prendre la tête, ouvre rsh ou telnet à l'adresse IP
concernée, ce sera encore plus simple que SSH, c'est faisable, et la
problématique d'ensemble restera la même, le maillon faible de la
machine sur laquelle tourne le serveur SSH sera la machine ayant le
droit de se loguer sans clé.


Corsica parlait de se connecter à partir de la machine "privilégiée"
avec un mot de passe en SSH.
Tu dis que la sécurité par rapport à un telnet serait la même.

Mais le SSH chiffre la communication, ce qui me parait une énorme
différence.


Eric Razny
Le #856092
Le Sun, 04 Feb 2007 11:34:43 +0000, Corsica a écrit :

Bonjour à Tous

Petite question. Est il possible de dire au serveur ssh de n'accepter
QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière
du réseau local qui pourra se connecter avec mot de passe ?


Bonjour.
Directement je ne crois pas, mais rien ne t'empêche de faire tourner un
second sshd avec un autre paramètrage sur un port autre (imaginons
222/TCP) et d'en limiter l'accès à la machine d'adresse IP connue. Et si
tu veux garder la connexion sur du 22/TCP tu peux aussi faire du PAT (ex :
ce qui arrive de ton adresse IP connue sur le 22/TCP est redirigée sur le
222/TCP)

Eric.

Corsica
Le #856089

Bonjour à Tous

Petite question. Est il possible de dire au serveur ssh de n'accepter
QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière
du réseau local qui pourra se connecter avec mot de passe ?


Bonjour.
Directement je ne crois pas, mais rien ne t'empêche de faire tourner un
second sshd avec un autre paramètrage sur un port autre (imaginons
222/TCP) et d'en limiter l'accès à la machine d'adresse IP connue. Et si
tu veux garder la connexion sur du 22/TCP tu peux aussi faire du PAT (ex :
ce qui arrive de ton adresse IP connue sur le 22/TCP est redirigée sur le
222/TCP)

Eric.
Ok, Merci pour la réponse. En fait c'est pour un IPCop auquel je dois

accèder de manière sécurisée (enfin, si possible) de l'extérieur et via
notre lan de manière un peu plus souple.

Je vais donc voir du coté du double sshd.

Merci beaucoup
Amitiés de Corse


Stephane Catteau
Le #856090
Olivier Croquette n'était pas loin de dire :

Corsica parlait de se connecter à partir de la machine "privilégiée"
avec un mot de passe en SSH.
Tu dis que la sécurité par rapport à un telnet serait la même.


Non. Je dis que le maillon faible sera le même, ce qui n'est pas
pareil.
Corsica sous-entend que la machine privilégiée et la machine à
sécuriser sont sur le même LAN ("SAUF pour une adresse ip particulière
du réseau local"). Donc pour sniffer la connexion, il faut déjà être
rentré dans le réseau et, au choix, arriver à compromettre la machine
privilégiée, la machine cible ou un routeur qui serait entre les deux.
Si on a compromis la machine cible au point de pouvoir sniffer ce qui
passe par son interface réseau, on s'en fiche un peu de sniffer cette
connexion là, cela ne nous apprendra quasiment rien que l'on ne puisse
savoir autrement. Si la connexion ne sert qu'à l'administration, on
peut déjà tout faire. Et si la machine sert de relais, par exemple une
connexion SSH jusqu'à elle pour ensuite utiliser Lynx pour faire ses
courses en ligne, autant sniffer ce qui sort de la machine, il n'y aura
pas le cryptage de SSH.
A l'inverse, si on a compromis la machine privilégiée au point de
pouvoir sniffer ce qui passe, on peut tout aussi bien faire un peu de
brute-force sur le serveur SSH pour trouver le mot de passe. Ca prendra
juste plus de temps que de trouver le mot de passe en sniffant la
connexion telnet/rsh.
Enfin, la présence d'un routeur est peut probable, les LAN ayant plus
souvent des switchs qu'autre chose.

Cependant je te l'accorde, l'utilisation de SSH augmenterait un peu le
niveau de sécurité, mais ce serait de la poudre aux yeux plus qu'autre
chose. L'important dans cette configuration, c'est qu'il y a un trou
énorme, le fait que l'authentification se fasse sur le seul mot de
passe. Et c'est avant tout cela que j'ai voulu mettre en évidence.

Manu
Le #856084
Corsica wrote:
Ok, Merci pour la réponse. En fait c'est pour un IPCop auquel je dois
accèder de manière sécurisée (enfin, si possible) de l'extérieur et via
notre lan de manière un peu plus souple.


Ça me parait pourtant plus simple, et potentiellement plus sûr, de ne
pas avoir à taper son mot de passe.

Sinon pour une autre piste, et si tu tiens rvaiment à cette solution tu
peux peut-être regarder du coté des modules PAM. Je ne sais pas bien sur
quels critères OpenSSH utilise PAM, mais ça doit être possible.
Mais hormis pour le plaisir de hacker un peu, ça ne me parait pas être
une bonne piste.

Eric Razny
Le #856083
Le Tue, 13 Feb 2007 18:27:53 +0000, Manu a écrit :

Corsica wrote:
Ok, Merci pour la réponse. En fait c'est pour un IPCop auquel je dois
accèder de manière sécurisée (enfin, si possible) de l'extérieur et via
notre lan de manière un peu plus souple.


Ça me parait pourtant plus simple, et potentiellement plus sûr, de ne
pas avoir à taper son mot de passe.


C'est clair, mais il y a quelques cas de figure tordus où c'est utile de
pouvoir se passer de la clef et, malgré un problème de sécu[1], avoir
accès à un compte avec un dispositif OTP (mot de passe à usage unique)
par exemple.


Sinon pour une autre piste, et si tu tiens rvaiment à cette solution tu
peux peut-être regarder du coté des modules PAM. Je ne sais pas bien sur
quels critères OpenSSH utilise PAM, mais ça doit être possible.
Mais hormis pour le plaisir de hacker un peu, ça ne me parait pas être
une bonne piste.


Pour du OTP par exemple.
Sinon j'ai une tendance naturelle à la méfiance avec PAM et ne faire de
modif qu'avec parcimonie ;)

Eric.

[1] Accessoirement si le PC est complètement non sur(sic), à moins d'un
token qui fait de la crypto en hard, si possible avec un clavier
intégré, rien n'empêche de lire la clef sur son support et la
passphrase au clavier si on reste dans ces cas de figure.


Publicité
Poster une réponse
Anonyme