Bonjour,
Je me connecte régulièrement par SSH à des serveurs sous Debian.
Par habitude, j'interdis sur ces serveurs l'accès au compte root par SSH.
J'accède à ces machines depuis un PC sous Debian, mais je peux plus
rarement le faire depuis un PC sous Windows ou un smartphone sous Android.
Je souhaite améliorer la sécurité de ces accès et me simplifier la vie
en changeant mes habitudes.
J'ai pensé à la chose suivante:
- sur toutes les machines distantes (sous Debian), l'accès par SSH
s'opère uniquement par clés SSH,
- je stocke mes propres clés SSH sur une clé USB (voir plus loin) qui
comme mon smartphone est toujours avec moi,
- quand je veux me connecter à une machine distante depuis un PC,
j'insère la clé USB dans le PC, je lance SSH agent en lui indiquant
qu'il pourra trouver mes clés sur la clé USB
- quand je lance SSH agent, celui-ci me demande un mot de passe
- sur toutes les machines distantes, j'autorise les clés SSH qui se
trouvent sur ma clé USB et la clé SSH sur mon smartphone
- en cas de perte de ma clé USB ou de mon smartphone, je répudie la
clé SSH correspondante sur tous les machines qui l'autorise et je
rajoute la nouvelle clé SSH.
J'utilise ici le terme clé USB à la fois comme un terme générique
désignant un appareil portable avec une interface USB, et en pensant
aux simples clés USB du commerce.
Mes questions sont nombreuses:
- Ai-je pensé à tout ?
- Que choisir comme clé USB ?
- Comment la protéger sans perdre la possibilité de l'utiliser sur
une machine occasionnelle (*) ?
- Y-a-t-il une astuce particulière (ie une option d'un logiciel) pour
conserver la liste des machines sur lesquelles une clé SSH a été
copiée afin de ne pas oublier cette machine en cas de répudiation) ?
- Conseils, remarques et suggestions ?
Slts
(*) Il m'arrive souvent, sur une machine occasionnelle, de
télé-charger PuTTY avant de me connecter et ça me semble acceptable.
S'il fallait installer des drivers et des logiciels, pour utiliser les
clés SSH stockées sur la clé USB, ça ne me semble pas acceptable.
Bonjour,
Je me connecte régulièrement par SSH à des serveurs sous Debian.
Par habitude, j'interdis sur ces serveurs l'accès au compte root par SSH.
J'accède à ces machines depuis un PC sous Debian, mais je peux plus
rarement le faire depuis un PC sous Windows ou un smartphone sous Android.
Je souhaite améliorer la sécurité de ces accès et me simplifier la vie
en changeant mes habitudes.
J'ai pensé à la chose suivante:
- sur toutes les machines distantes (sous Debian), l'accès par SSH
s'opère uniquement par clés SSH,
- je stocke mes propres clés SSH sur une clé USB (voir plus loin) qui
comme mon smartphone est toujours avec moi,
- quand je veux me connecter à une machine distante depuis un PC,
j'insère la clé USB dans le PC, je lance SSH agent en lui indiquant
qu'il pourra trouver mes clés sur la clé USB
- quand je lance SSH agent, celui-ci me demande un mot de passe
- sur toutes les machines distantes, j'autorise les clés SSH qui se
trouvent sur ma clé USB et la clé SSH sur mon smartphone
- en cas de perte de ma clé USB ou de mon smartphone, je répudie la
clé SSH correspondante sur tous les machines qui l'autorise et je
rajoute la nouvelle clé SSH.
J'utilise ici le terme clé USB à la fois comme un terme générique
désignant un appareil portable avec une interface USB, et en pensant
aux simples clés USB du commerce.
Mes questions sont nombreuses:
- Ai-je pensé à tout ?
- Que choisir comme clé USB ?
- Comment la protéger sans perdre la possibilité de l'utiliser sur
une machine occasionnelle (*) ?
- Y-a-t-il une astuce particulière (ie une option d'un logiciel) pour
conserver la liste des machines sur lesquelles une clé SSH a été
copiée afin de ne pas oublier cette machine en cas de répudiation) ?
- Conseils, remarques et suggestions ?
Slts
(*) Il m'arrive souvent, sur une machine occasionnelle, de
télé-charger PuTTY avant de me connecter et ça me semble acceptable.
S'il fallait installer des drivers et des logiciels, pour utiliser les
clés SSH stockées sur la clé USB, ça ne me semble pas acceptable.
Bonjour,
Je me connecte régulièrement par SSH à des serveurs sous Debian.
Par habitude, j'interdis sur ces serveurs l'accès au compte root par SSH.
J'accède à ces machines depuis un PC sous Debian, mais je peux plus
rarement le faire depuis un PC sous Windows ou un smartphone sous Android.
Je souhaite améliorer la sécurité de ces accès et me simplifier la vie
en changeant mes habitudes.
J'ai pensé à la chose suivante:
- sur toutes les machines distantes (sous Debian), l'accès par SSH
s'opère uniquement par clés SSH,
- je stocke mes propres clés SSH sur une clé USB (voir plus loin) qui
comme mon smartphone est toujours avec moi,
- quand je veux me connecter à une machine distante depuis un PC,
j'insère la clé USB dans le PC, je lance SSH agent en lui indiquant
qu'il pourra trouver mes clés sur la clé USB
- quand je lance SSH agent, celui-ci me demande un mot de passe
- sur toutes les machines distantes, j'autorise les clés SSH qui se
trouvent sur ma clé USB et la clé SSH sur mon smartphone
- en cas de perte de ma clé USB ou de mon smartphone, je répudie la
clé SSH correspondante sur tous les machines qui l'autorise et je
rajoute la nouvelle clé SSH.
J'utilise ici le terme clé USB à la fois comme un terme générique
désignant un appareil portable avec une interface USB, et en pensant
aux simples clés USB du commerce.
Mes questions sont nombreuses:
- Ai-je pensé à tout ?
- Que choisir comme clé USB ?
- Comment la protéger sans perdre la possibilité de l'utiliser sur
une machine occasionnelle (*) ?
- Y-a-t-il une astuce particulière (ie une option d'un logiciel) pour
conserver la liste des machines sur lesquelles une clé SSH a été
copiée afin de ne pas oublier cette machine en cas de répudiation) ?
- Conseils, remarques et suggestions ?
Slts
(*) Il m'arrive souvent, sur une machine occasionnelle, de
télé-charger PuTTY avant de me connecter et ça me semble acceptable.
S'il fallait installer des drivers et des logiciels, pour utiliser les
clés SSH stockées sur la clé USB, ça ne me semble pas acceptable.
Bonjour,
[...]
- Conseils, remarques et suggestions ?
Bonjour,
[...]
- Conseils, remarques et suggestions ?
Bonjour,
[...]
- Conseils, remarques et suggestions ?
- je stocke mes propres clés SSH sur une clé USB (voir plus loin) qui comme
mon smartphone est toujours avec moi,
- en cas de perte de ma clé USB ou de mon smartphone, je répudie la clé SSH
correspondante sur tous les machines qui l'autorise et je rajoute la
nouvelle clé SSH.
(*) Il m'arrive souvent, sur une machine occasionnelle, de télé-charger
PuTTY avant de me connecter et ça me semble acceptable. S'il fallait
installer des drivers et des logiciels, pour utiliser les clés SSH stockées
sur la clé USB, ça ne me semble pas acceptable.
- je stocke mes propres clés SSH sur une clé USB (voir plus loin) qui comme
mon smartphone est toujours avec moi,
- en cas de perte de ma clé USB ou de mon smartphone, je répudie la clé SSH
correspondante sur tous les machines qui l'autorise et je rajoute la
nouvelle clé SSH.
(*) Il m'arrive souvent, sur une machine occasionnelle, de télé-charger
PuTTY avant de me connecter et ça me semble acceptable. S'il fallait
installer des drivers et des logiciels, pour utiliser les clés SSH stockées
sur la clé USB, ça ne me semble pas acceptable.
- je stocke mes propres clés SSH sur une clé USB (voir plus loin) qui comme
mon smartphone est toujours avec moi,
- en cas de perte de ma clé USB ou de mon smartphone, je répudie la clé SSH
correspondante sur tous les machines qui l'autorise et je rajoute la
nouvelle clé SSH.
(*) Il m'arrive souvent, sur une machine occasionnelle, de télé-charger
PuTTY avant de me connecter et ça me semble acceptable. S'il fallait
installer des drivers et des logiciels, pour utiliser les clés SSH stockées
sur la clé USB, ça ne me semble pas acceptable.
Le 08/04/2016 10:50, Olivier a écrit :Bonjour,
Bonjour
[...]- Conseils, remarques et suggestions ?
. écouter sur un port différent du 22
. utiliser autossh: les clients se connectent sur une seule machine. Cela
règle le problème soulevé par Gregory dans sa réponse , une seule clé. Si
une machine est à bannir et que tu n'y a plus accès, une rle de firewall
suffit.
autossh a été discuté sur la liste il n'y a pas très longtemps.
--
Daniel
Le 08/04/2016 10:50, Olivier a écrit :
Bonjour,
Bonjour
[...]
- Conseils, remarques et suggestions ?
. écouter sur un port différent du 22
. utiliser autossh: les clients se connectent sur une seule machine. Cela
règle le problème soulevé par Gregory dans sa réponse , une seule clé. Si
une machine est à bannir et que tu n'y a plus accès, une rle de firewall
suffit.
autossh a été discuté sur la liste il n'y a pas très longtemps.
--
Daniel
Le 08/04/2016 10:50, Olivier a écrit :Bonjour,
Bonjour
[...]- Conseils, remarques et suggestions ?
. écouter sur un port différent du 22
. utiliser autossh: les clients se connectent sur une seule machine. Cela
règle le problème soulevé par Gregory dans sa réponse , une seule clé. Si
une machine est à bannir et que tu n'y a plus accès, une rle de firewall
suffit.
autossh a été discuté sur la liste il n'y a pas très longtemps.
--
Daniel
Bonjour,
Le vendredi 08 avril 2016 à 10:50, Olivier a écrit :
> - je stocke mes propres clés SSH sur une clé USB (voir plus l oin) qui
comme
> mon smartphone est toujours avec moi,
[...]
> - en cas de perte de ma clé USB ou de mon smartphone, je répu die la clé
SSH
> correspondante sur tous les machines qui l'autorise et je rajoute la
> nouvelle clé SSH.
Personnellement, je chiffrerais la clé, ça fait une sécuri té de plus (ce
qui
n’empêche pas de révoquer les clés en cas de perte ).
Par contre, ça impose de pouvoir déchiffrer sur différents types de
systèmes. À
l’époque où je me souciais de ce genre de préoccup ations, j’utilisais
« truecrypt », je ne sais pas si c’est encore une bonne piste. Tu trouveras
peut-être des infos intéressantes là [1].
1: http://arstechnica.com/civis/viewtopic.php?t" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://arstechnica.com/civis/viewtopic.php?t45367" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://arstechnica.com/civis/viewtopic.php?t" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://arstechnica.com/civis/viewtopic.php?t45367
> (*) Il m'arrive souvent, sur une machine occasionnelle, de télà ©-charger
> PuTTY avant de me connecter et ça me semble acceptable. S'il falla it
> installer des drivers et des logiciels, pour utiliser les clés SSH
stockées
> sur la clé USB, ça ne me semble pas acceptable.
Si tu crées deux partitions (une en clair et l’autre chiffr ée), tu pourra
te
balader avec les différents outils nécessaires pour les diffà ©rents
systèmes.
Il me semble me souvenir qu’à une époque, Windows nâ €™Ã©tait pas capable de
gérer
plusieurs partitions sur une clé USB, à vérifier.
Sébastien
Bonjour,
Le vendredi 08 avril 2016 à 10:50, Olivier a écrit :
> - je stocke mes propres clés SSH sur une clé USB (voir plus l oin) qui
comme
> mon smartphone est toujours avec moi,
[...]
> - en cas de perte de ma clé USB ou de mon smartphone, je répu die la clé
SSH
> correspondante sur tous les machines qui l'autorise et je rajoute la
> nouvelle clé SSH.
Personnellement, je chiffrerais la clé, ça fait une sécuri té de plus (ce
qui
nâempêche pas de révoquer les clés en cas de perte ).
Par contre, ça impose de pouvoir déchiffrer sur différents types de
systèmes. Ã
lâépoque où je me souciais de ce genre de préoccup ations, jâutilisais
« truecrypt », je ne sais pas si câest encore une bonne piste. Tu trouveras
peut-être des infos intéressantes là [1].
1: http://arstechnica.com/civis/viewtopic.php?t=1245367
> (*) Il m'arrive souvent, sur une machine occasionnelle, de télà ©-charger
> PuTTY avant de me connecter et ça me semble acceptable. S'il falla it
> installer des drivers et des logiciels, pour utiliser les clés SSH
stockées
> sur la clé USB, ça ne me semble pas acceptable.
Si tu crées deux partitions (une en clair et lâautre chiffr ée), tu pourra
te
balader avec les différents outils nécessaires pour les diffà ©rents
systèmes.
Il me semble me souvenir quâà une époque, Windows nâ était pas capable de
gérer
plusieurs partitions sur une clé USB, à vérifier.
Sébastien
Bonjour,
Le vendredi 08 avril 2016 à 10:50, Olivier a écrit :
> - je stocke mes propres clés SSH sur une clé USB (voir plus l oin) qui
comme
> mon smartphone est toujours avec moi,
[...]
> - en cas de perte de ma clé USB ou de mon smartphone, je répu die la clé
SSH
> correspondante sur tous les machines qui l'autorise et je rajoute la
> nouvelle clé SSH.
Personnellement, je chiffrerais la clé, ça fait une sécuri té de plus (ce
qui
n’empêche pas de révoquer les clés en cas de perte ).
Par contre, ça impose de pouvoir déchiffrer sur différents types de
systèmes. À
l’époque où je me souciais de ce genre de préoccup ations, j’utilisais
« truecrypt », je ne sais pas si c’est encore une bonne piste. Tu trouveras
peut-être des infos intéressantes là [1].
1: http://arstechnica.com/civis/viewtopic.php?t" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://arstechnica.com/civis/viewtopic.php?t45367" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://arstechnica.com/civis/viewtopic.php?t" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://arstechnica.com/civis/viewtopic.php?t45367
> (*) Il m'arrive souvent, sur une machine occasionnelle, de télà ©-charger
> PuTTY avant de me connecter et ça me semble acceptable. S'il falla it
> installer des drivers et des logiciels, pour utiliser les clés SSH
stockées
> sur la clé USB, ça ne me semble pas acceptable.
Si tu crées deux partitions (une en clair et l’autre chiffr ée), tu pourra
te
balader avec les différents outils nécessaires pour les diffà ©rents
systèmes.
Il me semble me souvenir qu’à une époque, Windows nâ €™Ã©tait pas capable de
gérer
plusieurs partitions sur une clé USB, à vérifier.
Sébastien
Pour ce qui est des clés ssh à usages multiples (sur plusieurs
machines), personnellement j'évite. Pour chaque nouvelle machine qui
entre dans mon scope, je créé une nouvelle clé qui lui ai dédié.
Inconvénient : en fonction du parc, tu peux te retrouver avec un gra nd
nombre de clés, il faut donc veiller à bien les nommer et à laisser un
commentaire pertinent pour identfiier rapidement la machine concerné e
[ex. : (domaine).hostname.user]
Avantage : clé perdue, dérobée ou vérolée ? pas de souci, cela n'expose
qu'une machine au maximum et il me suffit de supprimer la clé publiq ue
correspondante dans le fichier authorized_keys
Si ça peut t'aider
Pour ce qui est des clés ssh à usages multiples (sur plusieurs
machines), personnellement j'évite. Pour chaque nouvelle machine qui
entre dans mon scope, je créé une nouvelle clé qui lui ai dédié.
Inconvénient : en fonction du parc, tu peux te retrouver avec un gra nd
nombre de clés, il faut donc veiller à bien les nommer et à laisser un
commentaire pertinent pour identfiier rapidement la machine concerné e
[ex. : (domaine).hostname.user]
Avantage : clé perdue, dérobée ou vérolée ? pas de souci, cela n'expose
qu'une machine au maximum et il me suffit de supprimer la clé publiq ue
correspondante dans le fichier authorized_keys
Si ça peut t'aider
Pour ce qui est des clés ssh à usages multiples (sur plusieurs
machines), personnellement j'évite. Pour chaque nouvelle machine qui
entre dans mon scope, je créé une nouvelle clé qui lui ai dédié.
Inconvénient : en fonction du parc, tu peux te retrouver avec un gra nd
nombre de clés, il faut donc veiller à bien les nommer et à laisser un
commentaire pertinent pour identfiier rapidement la machine concerné e
[ex. : (domaine).hostname.user]
Avantage : clé perdue, dérobée ou vérolée ? pas de souci, cela n'expose
qu'une machine au maximum et il me suffit de supprimer la clé publiq ue
correspondante dans le fichier authorized_keys
Si ça peut t'aider
Comment copie-t-on une clé chiffrée ? On la colle simplement dans
authorized_keys ?
Comment copie-t-on une clé chiffrée ? On la colle simplement dans
authorized_keys ?
Comment copie-t-on une clé chiffrée ? On la colle simplement dans
authorized_keys ?
On Friday 08 April 2016 11:20:41 Grégory Reinbold wrote:Pour ce qui est des clés ssh à usages multiples (sur plusieurs
machines), personnellement j'évite. Pour chaque nouvelle machine qui
entre dans mon scope, je créé une nouvelle clé qui lui ai dédié.
Inconvénient : en fonction du parc, tu peux te retrouver avec un grand
nombre de clés, il faut donc veiller à bien les nommer et à laisser un
commentaire pertinent pour identfiier rapidement la machine concernée
[ex. : (domaine).hostname.user]
Avantage : clé perdue, dérobée ou vérolée ? pas de souci, cela n'expose
qu'une machine au maximum et il me suffit de supprimer la clé publique
correspondante dans le fichier authorized_keys
Si ça peut t'aider
Les connexions SSH avec clés publique et privées, restent très sécurisées,
qui peut se procurer les deux clés, sauf si on a perdu la clé USB les
contenant.
Il faut modifier l'éternel port 22 par un autre,
n'autoriser qu'une à deux personnes à se connecter au serveur,
n'autoriser que la connexion par clés,
ne pas autoriser le login root...
Dès lors, on peut dormir tranquille.
André
On Friday 08 April 2016 11:20:41 Grégory Reinbold wrote:
Pour ce qui est des clés ssh à usages multiples (sur plusieurs
machines), personnellement j'évite. Pour chaque nouvelle machine qui
entre dans mon scope, je créé une nouvelle clé qui lui ai dédié.
Inconvénient : en fonction du parc, tu peux te retrouver avec un grand
nombre de clés, il faut donc veiller à bien les nommer et à laisser un
commentaire pertinent pour identfiier rapidement la machine concernée
[ex. : (domaine).hostname.user]
Avantage : clé perdue, dérobée ou vérolée ? pas de souci, cela n'expose
qu'une machine au maximum et il me suffit de supprimer la clé publique
correspondante dans le fichier authorized_keys
Si ça peut t'aider
Les connexions SSH avec clés publique et privées, restent très sécurisées,
qui peut se procurer les deux clés, sauf si on a perdu la clé USB les
contenant.
Il faut modifier l'éternel port 22 par un autre,
n'autoriser qu'une à deux personnes à se connecter au serveur,
n'autoriser que la connexion par clés,
ne pas autoriser le login root...
Dès lors, on peut dormir tranquille.
André
On Friday 08 April 2016 11:20:41 Grégory Reinbold wrote:Pour ce qui est des clés ssh à usages multiples (sur plusieurs
machines), personnellement j'évite. Pour chaque nouvelle machine qui
entre dans mon scope, je créé une nouvelle clé qui lui ai dédié.
Inconvénient : en fonction du parc, tu peux te retrouver avec un grand
nombre de clés, il faut donc veiller à bien les nommer et à laisser un
commentaire pertinent pour identfiier rapidement la machine concernée
[ex. : (domaine).hostname.user]
Avantage : clé perdue, dérobée ou vérolée ? pas de souci, cela n'expose
qu'une machine au maximum et il me suffit de supprimer la clé publique
correspondante dans le fichier authorized_keys
Si ça peut t'aider
Les connexions SSH avec clés publique et privées, restent très sécurisées,
qui peut se procurer les deux clés, sauf si on a perdu la clé USB les
contenant.
Il faut modifier l'éternel port 22 par un autre,
n'autoriser qu'une à deux personnes à se connecter au serveur,
n'autoriser que la connexion par clés,
ne pas autoriser le login root...
Dès lors, on peut dormir tranquille.
André
le classique : fail2ban sur les serveurs , ssh avec clef RSA, phrase
de passe, pas de connexion sur root,
autre port que 22 (sup à 10000),
le tout sur une clef usb bootable encryptée.
Si tu utilises Putty tu as du te rendre compte que putty ne gère pas
la phrase de passe.
Il faut aussi générer les clefs via putty pour les
exporter sur le serveur. L'encryptage est moins poussé.
Je ne suis donc pas fan de putty du fait de ces faiblesses.
le classique : fail2ban sur les serveurs , ssh avec clef RSA, phrase
de passe, pas de connexion sur root,
autre port que 22 (sup à 10000),
le tout sur une clef usb bootable encryptée.
Si tu utilises Putty tu as du te rendre compte que putty ne gère pas
la phrase de passe.
Il faut aussi générer les clefs via putty pour les
exporter sur le serveur. L'encryptage est moins poussé.
Je ne suis donc pas fan de putty du fait de ces faiblesses.
le classique : fail2ban sur les serveurs , ssh avec clef RSA, phrase
de passe, pas de connexion sur root,
autre port que 22 (sup à 10000),
le tout sur une clef usb bootable encryptée.
Si tu utilises Putty tu as du te rendre compte que putty ne gère pas
la phrase de passe.
Il faut aussi générer les clefs via putty pour les
exporter sur le serveur. L'encryptage est moins poussé.
Je ne suis donc pas fan de putty du fait de ces faiblesses.