Petite question. Est il possible de dire au serveur ssh de n'accepter
QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière
du réseau local qui pourra se connecter avec mot de passe ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Stephane Catteau
Corsica n'était pas loin de dire :
Petite question. Est il possible de dire au serveur ssh de n'accepter QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière du réseau local qui pourra se connecter avec mot de passe ?
Euh... De tête je serais tenté de dire non, mais je peux me tromper. Cependant, quel est l'intérêt d'une telle configuration ? Si vraiment tu ne veux pas te prendre la tête, ouvre rsh ou telnet à l'adresse IP concernée, ce sera encore plus simple que SSH, c'est faisable, et la problématique d'ensemble restera la même, le maillon faible de la machine sur laquelle tourne le serveur SSH sera la machine ayant le droit de se loguer sans clé.
Merci d'avance et Bien le Bonjour de Corse
De rien.
Corsica n'était pas loin de dire :
Petite question. Est il possible de dire au serveur ssh de n'accepter
QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière
du réseau local qui pourra se connecter avec mot de passe ?
Euh... De tête je serais tenté de dire non, mais je peux me tromper.
Cependant, quel est l'intérêt d'une telle configuration ? Si vraiment
tu ne veux pas te prendre la tête, ouvre rsh ou telnet à l'adresse IP
concernée, ce sera encore plus simple que SSH, c'est faisable, et la
problématique d'ensemble restera la même, le maillon faible de la
machine sur laquelle tourne le serveur SSH sera la machine ayant le
droit de se loguer sans clé.
Petite question. Est il possible de dire au serveur ssh de n'accepter QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière du réseau local qui pourra se connecter avec mot de passe ?
Euh... De tête je serais tenté de dire non, mais je peux me tromper. Cependant, quel est l'intérêt d'une telle configuration ? Si vraiment tu ne veux pas te prendre la tête, ouvre rsh ou telnet à l'adresse IP concernée, ce sera encore plus simple que SSH, c'est faisable, et la problématique d'ensemble restera la même, le maillon faible de la machine sur laquelle tourne le serveur SSH sera la machine ayant le droit de se loguer sans clé.
Merci d'avance et Bien le Bonjour de Corse
De rien.
Corsica
Euh... De tête je serais tenté de dire non, mais je peux me tromper. Cependant, quel est l'intérêt d'une telle configuration ? Si vraiment tu ne veux pas te prendre la tête, ouvre rsh ou telnet à l'adresse IP concernée, ce sera encore plus simple que SSH, c'est faisable, et la problématique d'ensemble restera la même, le maillon faible de la machine sur laquelle tourne le serveur SSH sera la machine ayant le droit de se loguer sans clé.
Ok, merci pour la réponse. Je m'en doutais un peu
Amitiés de Corse
Euh... De tête je serais tenté de dire non, mais je peux me tromper.
Cependant, quel est l'intérêt d'une telle configuration ? Si vraiment
tu ne veux pas te prendre la tête, ouvre rsh ou telnet à l'adresse IP
concernée, ce sera encore plus simple que SSH, c'est faisable, et la
problématique d'ensemble restera la même, le maillon faible de la
machine sur laquelle tourne le serveur SSH sera la machine ayant le
droit de se loguer sans clé.
Euh... De tête je serais tenté de dire non, mais je peux me tromper. Cependant, quel est l'intérêt d'une telle configuration ? Si vraiment tu ne veux pas te prendre la tête, ouvre rsh ou telnet à l'adresse IP concernée, ce sera encore plus simple que SSH, c'est faisable, et la problématique d'ensemble restera la même, le maillon faible de la machine sur laquelle tourne le serveur SSH sera la machine ayant le droit de se loguer sans clé.
Ok, merci pour la réponse. Je m'en doutais un peu
Amitiés de Corse
Olivier Croquette
Stephane Catteau wrote, On 08.02.2007 16:19 Uhr:
Petite question. Est il possible de dire au serveur ssh de n'accepter QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière du réseau local qui pourra se connecter avec mot de passe ?
Euh... De tête je serais tenté de dire non, mais je peux me tromper. Cependant, quel est l'intérêt d'une telle configuration ? Si vraiment tu ne veux pas te prendre la tête, ouvre rsh ou telnet à l'adresse IP concernée, ce sera encore plus simple que SSH, c'est faisable, et la problématique d'ensemble restera la même, le maillon faible de la machine sur laquelle tourne le serveur SSH sera la machine ayant le droit de se loguer sans clé.
Corsica parlait de se connecter à partir de la machine "privilégiée" avec un mot de passe en SSH. Tu dis que la sécurité par rapport à un telnet serait la même.
Mais le SSH chiffre la communication, ce qui me parait une énorme différence.
Stephane Catteau wrote, On 08.02.2007 16:19 Uhr:
Petite question. Est il possible de dire au serveur ssh de n'accepter
QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière
du réseau local qui pourra se connecter avec mot de passe ?
Euh... De tête je serais tenté de dire non, mais je peux me tromper.
Cependant, quel est l'intérêt d'une telle configuration ? Si vraiment
tu ne veux pas te prendre la tête, ouvre rsh ou telnet à l'adresse IP
concernée, ce sera encore plus simple que SSH, c'est faisable, et la
problématique d'ensemble restera la même, le maillon faible de la
machine sur laquelle tourne le serveur SSH sera la machine ayant le
droit de se loguer sans clé.
Corsica parlait de se connecter à partir de la machine "privilégiée"
avec un mot de passe en SSH.
Tu dis que la sécurité par rapport à un telnet serait la même.
Mais le SSH chiffre la communication, ce qui me parait une énorme
différence.
Petite question. Est il possible de dire au serveur ssh de n'accepter QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière du réseau local qui pourra se connecter avec mot de passe ?
Euh... De tête je serais tenté de dire non, mais je peux me tromper. Cependant, quel est l'intérêt d'une telle configuration ? Si vraiment tu ne veux pas te prendre la tête, ouvre rsh ou telnet à l'adresse IP concernée, ce sera encore plus simple que SSH, c'est faisable, et la problématique d'ensemble restera la même, le maillon faible de la machine sur laquelle tourne le serveur SSH sera la machine ayant le droit de se loguer sans clé.
Corsica parlait de se connecter à partir de la machine "privilégiée" avec un mot de passe en SSH. Tu dis que la sécurité par rapport à un telnet serait la même.
Mais le SSH chiffre la communication, ce qui me parait une énorme différence.
Eric Razny
Le Sun, 04 Feb 2007 11:34:43 +0000, Corsica a écrit :
Bonjour à Tous
Petite question. Est il possible de dire au serveur ssh de n'accepter QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière du réseau local qui pourra se connecter avec mot de passe ?
Bonjour. Directement je ne crois pas, mais rien ne t'empêche de faire tourner un second sshd avec un autre paramètrage sur un port autre (imaginons 222/TCP) et d'en limiter l'accès à la machine d'adresse IP connue. Et si tu veux garder la connexion sur du 22/TCP tu peux aussi faire du PAT (ex : ce qui arrive de ton adresse IP connue sur le 22/TCP est redirigée sur le 222/TCP)
Eric.
Le Sun, 04 Feb 2007 11:34:43 +0000, Corsica a écrit :
Bonjour à Tous
Petite question. Est il possible de dire au serveur ssh de n'accepter
QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière
du réseau local qui pourra se connecter avec mot de passe ?
Bonjour.
Directement je ne crois pas, mais rien ne t'empêche de faire tourner un
second sshd avec un autre paramètrage sur un port autre (imaginons
222/TCP) et d'en limiter l'accès à la machine d'adresse IP connue. Et si
tu veux garder la connexion sur du 22/TCP tu peux aussi faire du PAT (ex :
ce qui arrive de ton adresse IP connue sur le 22/TCP est redirigée sur le
222/TCP)
Le Sun, 04 Feb 2007 11:34:43 +0000, Corsica a écrit :
Bonjour à Tous
Petite question. Est il possible de dire au serveur ssh de n'accepter QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière du réseau local qui pourra se connecter avec mot de passe ?
Bonjour. Directement je ne crois pas, mais rien ne t'empêche de faire tourner un second sshd avec un autre paramètrage sur un port autre (imaginons 222/TCP) et d'en limiter l'accès à la machine d'adresse IP connue. Et si tu veux garder la connexion sur du 22/TCP tu peux aussi faire du PAT (ex : ce qui arrive de ton adresse IP connue sur le 22/TCP est redirigée sur le 222/TCP)
Eric.
Corsica
Bonjour à Tous
Petite question. Est il possible de dire au serveur ssh de n'accepter QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière du réseau local qui pourra se connecter avec mot de passe ?
Bonjour. Directement je ne crois pas, mais rien ne t'empêche de faire tourner un second sshd avec un autre paramètrage sur un port autre (imaginons 222/TCP) et d'en limiter l'accès à la machine d'adresse IP connue. Et si tu veux garder la connexion sur du 22/TCP tu peux aussi faire du PAT (ex : ce qui arrive de ton adresse IP connue sur le 22/TCP est redirigée sur le 222/TCP)
Eric. Ok, Merci pour la réponse. En fait c'est pour un IPCop auquel je dois
accèder de manière sécurisée (enfin, si possible) de l'extérieur et via notre lan de manière un peu plus souple.
Je vais donc voir du coté du double sshd.
Merci beaucoup Amitiés de Corse
Bonjour à Tous
Petite question. Est il possible de dire au serveur ssh de n'accepter
QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière
du réseau local qui pourra se connecter avec mot de passe ?
Bonjour.
Directement je ne crois pas, mais rien ne t'empêche de faire tourner un
second sshd avec un autre paramètrage sur un port autre (imaginons
222/TCP) et d'en limiter l'accès à la machine d'adresse IP connue. Et si
tu veux garder la connexion sur du 22/TCP tu peux aussi faire du PAT (ex :
ce qui arrive de ton adresse IP connue sur le 22/TCP est redirigée sur le
222/TCP)
Eric.
Ok, Merci pour la réponse. En fait c'est pour un IPCop auquel je dois
accèder de manière sécurisée (enfin, si possible) de l'extérieur et via
notre lan de manière un peu plus souple.
Petite question. Est il possible de dire au serveur ssh de n'accepter QUE les connexions avec clés ssh2, SAUF pour une adresse ip particulière du réseau local qui pourra se connecter avec mot de passe ?
Bonjour. Directement je ne crois pas, mais rien ne t'empêche de faire tourner un second sshd avec un autre paramètrage sur un port autre (imaginons 222/TCP) et d'en limiter l'accès à la machine d'adresse IP connue. Et si tu veux garder la connexion sur du 22/TCP tu peux aussi faire du PAT (ex : ce qui arrive de ton adresse IP connue sur le 22/TCP est redirigée sur le 222/TCP)
Eric. Ok, Merci pour la réponse. En fait c'est pour un IPCop auquel je dois
accèder de manière sécurisée (enfin, si possible) de l'extérieur et via notre lan de manière un peu plus souple.
Je vais donc voir du coté du double sshd.
Merci beaucoup Amitiés de Corse
Stephane Catteau
Olivier Croquette n'était pas loin de dire :
Corsica parlait de se connecter à partir de la machine "privilégiée" avec un mot de passe en SSH. Tu dis que la sécurité par rapport à un telnet serait la même.
Non. Je dis que le maillon faible sera le même, ce qui n'est pas pareil. Corsica sous-entend que la machine privilégiée et la machine à sécuriser sont sur le même LAN ("SAUF pour une adresse ip particulière du réseau local"). Donc pour sniffer la connexion, il faut déjà être rentré dans le réseau et, au choix, arriver à compromettre la machine privilégiée, la machine cible ou un routeur qui serait entre les deux. Si on a compromis la machine cible au point de pouvoir sniffer ce qui passe par son interface réseau, on s'en fiche un peu de sniffer cette connexion là, cela ne nous apprendra quasiment rien que l'on ne puisse savoir autrement. Si la connexion ne sert qu'à l'administration, on peut déjà tout faire. Et si la machine sert de relais, par exemple une connexion SSH jusqu'à elle pour ensuite utiliser Lynx pour faire ses courses en ligne, autant sniffer ce qui sort de la machine, il n'y aura pas le cryptage de SSH. A l'inverse, si on a compromis la machine privilégiée au point de pouvoir sniffer ce qui passe, on peut tout aussi bien faire un peu de brute-force sur le serveur SSH pour trouver le mot de passe. Ca prendra juste plus de temps que de trouver le mot de passe en sniffant la connexion telnet/rsh. Enfin, la présence d'un routeur est peut probable, les LAN ayant plus souvent des switchs qu'autre chose.
Cependant je te l'accorde, l'utilisation de SSH augmenterait un peu le niveau de sécurité, mais ce serait de la poudre aux yeux plus qu'autre chose. L'important dans cette configuration, c'est qu'il y a un trou énorme, le fait que l'authentification se fasse sur le seul mot de passe. Et c'est avant tout cela que j'ai voulu mettre en évidence.
Olivier Croquette n'était pas loin de dire :
Corsica parlait de se connecter à partir de la machine "privilégiée"
avec un mot de passe en SSH.
Tu dis que la sécurité par rapport à un telnet serait la même.
Non. Je dis que le maillon faible sera le même, ce qui n'est pas
pareil.
Corsica sous-entend que la machine privilégiée et la machine à
sécuriser sont sur le même LAN ("SAUF pour une adresse ip particulière
du réseau local"). Donc pour sniffer la connexion, il faut déjà être
rentré dans le réseau et, au choix, arriver à compromettre la machine
privilégiée, la machine cible ou un routeur qui serait entre les deux.
Si on a compromis la machine cible au point de pouvoir sniffer ce qui
passe par son interface réseau, on s'en fiche un peu de sniffer cette
connexion là, cela ne nous apprendra quasiment rien que l'on ne puisse
savoir autrement. Si la connexion ne sert qu'à l'administration, on
peut déjà tout faire. Et si la machine sert de relais, par exemple une
connexion SSH jusqu'à elle pour ensuite utiliser Lynx pour faire ses
courses en ligne, autant sniffer ce qui sort de la machine, il n'y aura
pas le cryptage de SSH.
A l'inverse, si on a compromis la machine privilégiée au point de
pouvoir sniffer ce qui passe, on peut tout aussi bien faire un peu de
brute-force sur le serveur SSH pour trouver le mot de passe. Ca prendra
juste plus de temps que de trouver le mot de passe en sniffant la
connexion telnet/rsh.
Enfin, la présence d'un routeur est peut probable, les LAN ayant plus
souvent des switchs qu'autre chose.
Cependant je te l'accorde, l'utilisation de SSH augmenterait un peu le
niveau de sécurité, mais ce serait de la poudre aux yeux plus qu'autre
chose. L'important dans cette configuration, c'est qu'il y a un trou
énorme, le fait que l'authentification se fasse sur le seul mot de
passe. Et c'est avant tout cela que j'ai voulu mettre en évidence.
Corsica parlait de se connecter à partir de la machine "privilégiée" avec un mot de passe en SSH. Tu dis que la sécurité par rapport à un telnet serait la même.
Non. Je dis que le maillon faible sera le même, ce qui n'est pas pareil. Corsica sous-entend que la machine privilégiée et la machine à sécuriser sont sur le même LAN ("SAUF pour une adresse ip particulière du réseau local"). Donc pour sniffer la connexion, il faut déjà être rentré dans le réseau et, au choix, arriver à compromettre la machine privilégiée, la machine cible ou un routeur qui serait entre les deux. Si on a compromis la machine cible au point de pouvoir sniffer ce qui passe par son interface réseau, on s'en fiche un peu de sniffer cette connexion là, cela ne nous apprendra quasiment rien que l'on ne puisse savoir autrement. Si la connexion ne sert qu'à l'administration, on peut déjà tout faire. Et si la machine sert de relais, par exemple une connexion SSH jusqu'à elle pour ensuite utiliser Lynx pour faire ses courses en ligne, autant sniffer ce qui sort de la machine, il n'y aura pas le cryptage de SSH. A l'inverse, si on a compromis la machine privilégiée au point de pouvoir sniffer ce qui passe, on peut tout aussi bien faire un peu de brute-force sur le serveur SSH pour trouver le mot de passe. Ca prendra juste plus de temps que de trouver le mot de passe en sniffant la connexion telnet/rsh. Enfin, la présence d'un routeur est peut probable, les LAN ayant plus souvent des switchs qu'autre chose.
Cependant je te l'accorde, l'utilisation de SSH augmenterait un peu le niveau de sécurité, mais ce serait de la poudre aux yeux plus qu'autre chose. L'important dans cette configuration, c'est qu'il y a un trou énorme, le fait que l'authentification se fasse sur le seul mot de passe. Et c'est avant tout cela que j'ai voulu mettre en évidence.
Manu
Corsica wrote:
Ok, Merci pour la réponse. En fait c'est pour un IPCop auquel je dois accèder de manière sécurisée (enfin, si possible) de l'extérieur et via notre lan de manière un peu plus souple.
Ça me parait pourtant plus simple, et potentiellement plus sûr, de ne pas avoir à taper son mot de passe.
Sinon pour une autre piste, et si tu tiens rvaiment à cette solution tu peux peut-être regarder du coté des modules PAM. Je ne sais pas bien sur quels critères OpenSSH utilise PAM, mais ça doit être possible. Mais hormis pour le plaisir de hacker un peu, ça ne me parait pas être une bonne piste.
Corsica wrote:
Ok, Merci pour la réponse. En fait c'est pour un IPCop auquel je dois
accèder de manière sécurisée (enfin, si possible) de l'extérieur et via
notre lan de manière un peu plus souple.
Ça me parait pourtant plus simple, et potentiellement plus sûr, de ne
pas avoir à taper son mot de passe.
Sinon pour une autre piste, et si tu tiens rvaiment à cette solution tu
peux peut-être regarder du coté des modules PAM. Je ne sais pas bien sur
quels critères OpenSSH utilise PAM, mais ça doit être possible.
Mais hormis pour le plaisir de hacker un peu, ça ne me parait pas être
une bonne piste.
Ok, Merci pour la réponse. En fait c'est pour un IPCop auquel je dois accèder de manière sécurisée (enfin, si possible) de l'extérieur et via notre lan de manière un peu plus souple.
Ça me parait pourtant plus simple, et potentiellement plus sûr, de ne pas avoir à taper son mot de passe.
Sinon pour une autre piste, et si tu tiens rvaiment à cette solution tu peux peut-être regarder du coté des modules PAM. Je ne sais pas bien sur quels critères OpenSSH utilise PAM, mais ça doit être possible. Mais hormis pour le plaisir de hacker un peu, ça ne me parait pas être une bonne piste.
Eric Razny
Le Tue, 13 Feb 2007 18:27:53 +0000, Manu a écrit :
Corsica wrote:
Ok, Merci pour la réponse. En fait c'est pour un IPCop auquel je dois accèder de manière sécurisée (enfin, si possible) de l'extérieur et via notre lan de manière un peu plus souple.
Ça me parait pourtant plus simple, et potentiellement plus sûr, de ne pas avoir à taper son mot de passe.
C'est clair, mais il y a quelques cas de figure tordus où c'est utile de pouvoir se passer de la clef et, malgré un problème de sécu[1], avoir accès à un compte avec un dispositif OTP (mot de passe à usage unique) par exemple.
Sinon pour une autre piste, et si tu tiens rvaiment à cette solution tu peux peut-être regarder du coté des modules PAM. Je ne sais pas bien sur quels critères OpenSSH utilise PAM, mais ça doit être possible. Mais hormis pour le plaisir de hacker un peu, ça ne me parait pas être une bonne piste.
Pour du OTP par exemple. Sinon j'ai une tendance naturelle à la méfiance avec PAM et ne faire de modif qu'avec parcimonie ;)
Eric.
[1] Accessoirement si le PC est complètement non sur(sic), à moins d'un token qui fait de la crypto en hard, si possible avec un clavier intégré, rien n'empêche de lire la clef sur son support et la passphrase au clavier si on reste dans ces cas de figure.
Le Tue, 13 Feb 2007 18:27:53 +0000, Manu a écrit :
Corsica wrote:
Ok, Merci pour la réponse. En fait c'est pour un IPCop auquel je dois
accèder de manière sécurisée (enfin, si possible) de l'extérieur et via
notre lan de manière un peu plus souple.
Ça me parait pourtant plus simple, et potentiellement plus sûr, de ne
pas avoir à taper son mot de passe.
C'est clair, mais il y a quelques cas de figure tordus où c'est utile de
pouvoir se passer de la clef et, malgré un problème de sécu[1], avoir
accès à un compte avec un dispositif OTP (mot de passe à usage unique)
par exemple.
Sinon pour une autre piste, et si tu tiens rvaiment à cette solution tu
peux peut-être regarder du coté des modules PAM. Je ne sais pas bien sur
quels critères OpenSSH utilise PAM, mais ça doit être possible.
Mais hormis pour le plaisir de hacker un peu, ça ne me parait pas être
une bonne piste.
Pour du OTP par exemple.
Sinon j'ai une tendance naturelle à la méfiance avec PAM et ne faire de
modif qu'avec parcimonie ;)
Eric.
[1] Accessoirement si le PC est complètement non sur(sic), à moins d'un
token qui fait de la crypto en hard, si possible avec un clavier
intégré, rien n'empêche de lire la clef sur son support et la
passphrase au clavier si on reste dans ces cas de figure.
Le Tue, 13 Feb 2007 18:27:53 +0000, Manu a écrit :
Corsica wrote:
Ok, Merci pour la réponse. En fait c'est pour un IPCop auquel je dois accèder de manière sécurisée (enfin, si possible) de l'extérieur et via notre lan de manière un peu plus souple.
Ça me parait pourtant plus simple, et potentiellement plus sûr, de ne pas avoir à taper son mot de passe.
C'est clair, mais il y a quelques cas de figure tordus où c'est utile de pouvoir se passer de la clef et, malgré un problème de sécu[1], avoir accès à un compte avec un dispositif OTP (mot de passe à usage unique) par exemple.
Sinon pour une autre piste, et si tu tiens rvaiment à cette solution tu peux peut-être regarder du coté des modules PAM. Je ne sais pas bien sur quels critères OpenSSH utilise PAM, mais ça doit être possible. Mais hormis pour le plaisir de hacker un peu, ça ne me parait pas être une bonne piste.
Pour du OTP par exemple. Sinon j'ai une tendance naturelle à la méfiance avec PAM et ne faire de modif qu'avec parcimonie ;)
Eric.
[1] Accessoirement si le PC est complètement non sur(sic), à moins d'un token qui fait de la crypto en hard, si possible avec un clavier intégré, rien n'empêche de lire la clef sur son support et la passphrase au clavier si on reste dans ces cas de figure.
