Je me connecte r=C3=A9guli=C3=A8rement par SSH =C3=A0 des serveurs sous Deb=
ian.
Par habitude, j'interdis sur ces serveurs l'acc=C3=A8s au compte root par S=
SH.
J'acc=C3=A8de =C3=A0 ces machines depuis un PC sous Debian, mais je peux pl=
us
rarement le faire depuis un PC sous Windows ou un smartphone sous Android.
Je souhaite am=C3=A9liorer la s=C3=A9curit=C3=A9 de ces acc=C3=A8s et me si=
mplifier la vie en
changeant mes habitudes.
J'ai pens=C3=A9 =C3=A0 la chose suivante:
- sur toutes les machines distantes (sous Debian), l'acc=C3=A8s par SSH s'o=
p=C3=A8re
uniquement par cl=C3=A9s SSH,
- je stocke mes propres cl=C3=A9s SSH sur une cl=C3=A9 USB (voir plus loin)=
qui comme
mon smartphone est toujours avec moi,
- quand je veux me connecter =C3=A0 une machine distante depuis un PC, j'in=
s=C3=A8re
la cl=C3=A9 USB dans le PC, je lance SSH agent en lui indiquant qu'il pourr=
a
trouver mes cl=C3=A9s sur la cl=C3=A9 USB
- quand je lance SSH agent, celui-ci me demande un mot de passe
- sur toutes les machines distantes, j'autorise les cl=C3=A9s SSH qui se
trouvent sur ma cl=C3=A9 USB et la cl=C3=A9 SSH sur mon smartphone
- en cas de perte de ma cl=C3=A9 USB ou de mon smartphone, je r=C3=A9pudie =
la cl=C3=A9 SSH
correspondante sur tous les machines qui l'autorise et je rajoute la
nouvelle cl=C3=A9 SSH.
J'utilise ici le terme cl=C3=A9 USB =C3=A0 la fois comme un terme g=C3=A9n=
=C3=A9rique d=C3=A9signant
un appareil portable avec une interface USB, et en pensant aux simples cl=
=C3=A9s
USB du commerce.
Mes questions sont nombreuses:
- Ai-je pens=C3=A9 =C3=A0 tout ?
- Que choisir comme cl=C3=A9 USB ?
- Comment la prot=C3=A9ger sans perdre la possibilit=C3=A9 de l'utiliser s=
ur une
machine occasionnelle (*) ?
- Y-a-t-il une astuce particuli=C3=A8re (ie une option d'un logiciel) pour
conserver la liste des machines sur lesquelles une cl=C3=A9 SSH a =C3=A9t=
=C3=A9 copi=C3=A9e
afin de ne pas oublier cette machine en cas de r=C3=A9pudiation) ?
- Conseils, remarques et suggestions ?
Slts
(*) Il m'arrive souvent, sur une machine occasionnelle, de t=C3=A9l=C3=A9-c=
harger
PuTTY avant de me connecter et =C3=A7a me semble acceptable. S'il fallait
installer des drivers et des logiciels, pour utiliser les cl=C3=A9s SSH sto=
ck=C3=A9es
sur la cl=C3=A9 USB, =C3=A7a ne me semble pas acceptable.
<div dir=3D"ltr"><div><div><div><div><div><div><div><div><div><div><div><di=
v><div><div>Bonjour,<br><br></div>Je me connecte r=C3=A9guli=C3=A8rement pa=
r SSH =C3=A0 des serveurs sous Debian.<br></div>Par habitude, j'interdi=
s sur ces serveurs l'acc=C3=A8s au compte root par SSH.<br></div><div>J=
'acc=C3=A8de =C3=A0 ces machines depuis un PC sous Debian, mais je peux=
plus rarement le faire depuis un PC sous Windows ou un smartphone sous And=
roid.<br></div><div><br></div>Je souhaite am=C3=A9liorer la s=C3=A9curit=C3=
=A9 de ces acc=C3=A8s et me simplifier la vie en changeant mes habitudes.<b=
r><br></div>J'ai pens=C3=A9 =C3=A0 la chose suivante:<br><br></div>- su=
r toutes les machines distantes (sous Debian), l'acc=C3=A8s par SSH s&#=
39;op=C3=A8re uniquement par cl=C3=A9s SSH,<br></div>- je stocke mes propre=
s cl=C3=A9s SSH sur une cl=C3=A9 USB (voir plus loin) qui comme mon smartph=
one est toujours avec moi,<br></div>- quand je veux me connecter =C3=A0 une=
machine distante depuis un PC, j'ins=C3=A8re la cl=C3=A9 USB dans le P=
C, je lance SSH agent en lui indiquant qu'il pourra trouver mes cl=C3=
=A9s sur la cl=C3=A9 USB<br></div>- quand je lance SSH agent, celui-ci me =
demande un mot de passe<br></div>- sur toutes les machines distantes, j'=
;autorise les cl=C3=A9s SSH qui se trouvent sur ma cl=C3=A9 USB et la cl=C3=
=A9 SSH sur mon smartphone<br></div>- en cas de perte de ma cl=C3=A9 USB ou=
de mon smartphone, je r=C3=A9pudie la cl=C3=A9 SSH correspondante sur tous=
les machines qui l'autorise et je rajoute la nouvelle cl=C3=A9 SSH.<br=
><br>J'utilise ici le terme cl=C3=A9 USB =C3=A0 la fois comme un terme =
g=C3=A9n=C3=A9rique d=C3=A9signant un appareil portable avec une interface =
USB, et en pensant aux simples cl=C3=A9s USB du commerce.<br><br><br></div>=
Mes questions sont nombreuses:<br></div><div>-=C2=A0 Ai-je pens=C3=A9 =C3=
=A0 tout ?<br></div>-=C2=A0 Que choisir comme cl=C3=A9 USB ?<br></div>-=C2=
=A0 Comment la prot=C3=A9ger sans perdre la possibilit=C3=A9 de l'utili=
ser sur une machine occasionnelle (*) ?<br></div><div>-=C2=A0 Y-a-t-il une =
astuce particuli=C3=A8re (ie une option d'un logiciel) pour conserver l=
a liste des machines sur lesquelles une cl=C3=A9 SSH a =C3=A9t=C3=A9 copi=
=C3=A9e afin de ne pas oublier cette machine en cas de r=C3=A9pudiation) ?<=
br></div><div>-=C2=A0 Conseils, remarques et suggestions ?<br><br></div><di=
v>Slts<br></div><div><br></div>(*) Il m'arrive souvent, sur une machine=
occasionnelle, de t=C3=A9l=C3=A9-charger PuTTY avant de me connecter et =
=C3=A7a me semble acceptable. S'il fallait installer des drivers et des=
logiciels, pour utiliser les cl=C3=A9s SSH stock=C3=A9es sur la cl=C3=A9 U=
SB, =C3=A7a ne me semble pas acceptable.<br><div><br></div></div>
Perso, voici comment je fais. Je ne sais pas si bien comme il faut ou non. Si certains ont des remarques, je suis preneur bien sûr.
Sur les serveurs que j'administre, le mot de passe root existe mais il fait dans les ~30 caractères et je ne l'utilise jamais. De toute façon la connexion en tant que root via ssh est impossible (PermitRootLogin false). C'est juste un mot de passe spécial coup dur ;). Ensuite, tout passe par des paires de clés ssh. On va dire que j'ai globalement 2 machines (une chez moi et une à mon travail) avec chacun sa paire de clés ssh et les clés publiques sont déployées sur les serveurs au niveau de root et d'un compte flaf qui est sudo (je reviens sur ce point ci-dessous).
La chose qui me semble _absolument_ indispensable pour ce type de clés (ie utilisées par un humain, en l'occurrence moi-même, et pas dans un script non interactif), c'est une bonne passphrase sur chaque chaque clés privées. Pour ce type de clés, je pense que c'est vraiment imprudent de ne pas avoir de passphrase. Ensuite, avoir un agent ssh qui tourne sur sa machine de travail pour n'avoir à saisir la passphrase qu'une seule fois à chaque début de session me semble un _excellent_ compris entre sécurité et commodité.
Je sauvegarde quelque part au chaud mes 2 paires de clés ssh.
Enfin, et c'est un point important je pense, les clés publiques sur les serveurs sont déployées via un logiciel de gestionnaire de configuration (en l'occurrence Puppet). Si jamais je me fait piquer une paire de clés ssh, le temps que le pirate arrive à me casser la passphrase, je peux supprimer les clés publiques des serveurs et en redéployer une nouvelle en une dizaine de minutes.
Voilà.
-- François Lafont
Bonsoir,
Perso, voici comment je fais. Je ne sais pas si bien comme il faut ou non. Si certains ont des remarques, je suis preneur bien sûr.
Sur les serveurs que j'administre, le mot de passe root existe mais il fait dans les ~30 caractères et je ne l'utilise jamais. De toute façon la connexion en tant que root via ssh est impossible (PermitRootLogin false). C'est juste un mot de passe spécial coup dur ;). Ensuite, tout passe par des paires de clés ssh. On va dire que j'ai globalement 2 machines (une chez moi et une à mon travail) avec chacun sa paire de clés ssh et les clés publiques sont déployées sur les serveurs au niveau de root et d'un compte flaf qui est sudo (je reviens sur ce point ci-dessous).
La chose qui me semble _absolument_ indispensable pour ce type de clés (ie utilisées par un humain, en l'occurrence moi-même, et pas dans un script non interactif), c'est une bonne passphrase sur chaque chaque clés privées. Pour ce type de clés, je pense que c'est vraiment imprudent de ne pas avoir de passphrase. Ensuite, avoir un agent ssh qui tourne sur sa machine de travail pour n'avoir à saisir la passphrase qu'une seule fois à chaque début de session me semble un _excellent_ compris entre sécurité et commodité.
Je sauvegarde quelque part au chaud mes 2 paires de clés ssh.
Enfin, et c'est un point important je pense, les clés publiques sur les serveurs sont déployées via un logiciel de gestionnaire de configuration (en l'occurrence Puppet). Si jamais je me fait piquer une paire de clés ssh, le temps que le pirate arrive à me casser la passphrase, je peux supprimer les clés publiques des serveurs et en redéployer une nouvelle en une dizaine de minutes.
Perso, voici comment je fais. Je ne sais pas si bien comme il faut ou non. Si certains ont des remarques, je suis preneur bien sûr.
Sur les serveurs que j'administre, le mot de passe root existe mais il fait dans les ~30 caractères et je ne l'utilise jamais. De toute façon la connexion en tant que root via ssh est impossible (PermitRootLogin false). C'est juste un mot de passe spécial coup dur ;). Ensuite, tout passe par des paires de clés ssh. On va dire que j'ai globalement 2 machines (une chez moi et une à mon travail) avec chacun sa paire de clés ssh et les clés publiques sont déployées sur les serveurs au niveau de root et d'un compte flaf qui est sudo (je reviens sur ce point ci-dessous).
La chose qui me semble _absolument_ indispensable pour ce type de clés (ie utilisées par un humain, en l'occurrence moi-même, et pas dans un script non interactif), c'est une bonne passphrase sur chaque chaque clés privées. Pour ce type de clés, je pense que c'est vraiment imprudent de ne pas avoir de passphrase. Ensuite, avoir un agent ssh qui tourne sur sa machine de travail pour n'avoir à saisir la passphrase qu'une seule fois à chaque début de session me semble un _excellent_ compris entre sécurité et commodité.
Je sauvegarde quelque part au chaud mes 2 paires de clés ssh.
Enfin, et c'est un point important je pense, les clés publiques sur les serveurs sont déployées via un logiciel de gestionnaire de configuration (en l'occurrence Puppet). Si jamais je me fait piquer une paire de clés ssh, le temps que le pirate arrive à me casser la passphrase, je peux supprimer les clés publiques des serveurs et en redéployer une nouvelle en une dizaine de minutes.
C'est une bonne question et j'avoue que perso je n'ai rien mis en place. J'imagine mal le jour où mes accès ssh seraient corrompus et pourtant, cela peut arriver.
Tu as des suggestions de solution pour détecter l'intrusion ?
Bonne fin de dimanche -_-
Le 10/04/2016 13:12, honeyshell a écrit :
Je pense que la question sur l'utilisation des clefs ssh à bien fait son tour. Chacun pourra prendre la méthode qui lui semble la plus commode et sécuritaire en fonction de l'importance des serveurs administrés.
Une question reste en suspent: quelle techno avez vous mis en place pour être alerté d'une intrusion vi ssh avant que le vole d'informations ne commence?
Bon dimanche à tous :-)
-- Grégory Reinbold
C'est une bonne question et j'avoue que perso je n'ai rien mis en place.
J'imagine mal le jour où mes accès ssh seraient corrompus et pourtant,
cela peut arriver.
Tu as des suggestions de solution pour détecter l'intrusion ?
Bonne fin de dimanche -_-
Le 10/04/2016 13:12, honeyshell a écrit :
Je pense que la question sur l'utilisation des clefs ssh à bien fait
son tour. Chacun pourra prendre la méthode qui lui semble la plus
commode et sécuritaire en fonction de l'importance des serveurs
administrés.
Une question reste en suspent: quelle techno avez vous mis en place
pour être alerté d'une intrusion vi ssh avant que le vole
d'informations ne commence?
C'est une bonne question et j'avoue que perso je n'ai rien mis en place. J'imagine mal le jour où mes accès ssh seraient corrompus et pourtant, cela peut arriver.
Tu as des suggestions de solution pour détecter l'intrusion ?
Bonne fin de dimanche -_-
Le 10/04/2016 13:12, honeyshell a écrit :
Je pense que la question sur l'utilisation des clefs ssh à bien fait son tour. Chacun pourra prendre la méthode qui lui semble la plus commode et sécuritaire en fonction de l'importance des serveurs administrés.
Une question reste en suspent: quelle techno avez vous mis en place pour être alerté d'une intrusion vi ssh avant que le vole d'informations ne commence?
Bon dimanche à tous :-)
-- Grégory Reinbold
Yves Rutschle
On Fri, Apr 08, 2016 at 02:37:56PM +0200, honeyshell wrote:
Si tu utilises Putty tu as du te rendre compte que putty ne gère pas la phrase de passe.
Bah si, y'a même un PAGENT.EXE qui est un agent SSH pour Windows...
Y.
On Fri, Apr 08, 2016 at 02:37:56PM +0200, honeyshell wrote:
Si tu utilises Putty tu as du te rendre compte que putty ne gère pas
la phrase de passe.
Bah si, y'a même un PAGENT.EXE qui est un agent SSH pour
Windows...
On Fri, Apr 08, 2016 at 02:37:56PM +0200, honeyshell wrote:
Si tu utilises Putty tu as du te rendre compte que putty ne gère pas la phrase de passe.
Bah si, y'a même un PAGENT.EXE qui est un agent SSH pour Windows...
Y.
Francois Lafont
On 10/04/2016 19:35, Grégory Reinbold wrote:
C'est une bonne question et j'avoue que perso je n'ai rien mis en place.
Tout pareil.
À partir du moment où on se fait piquer sa clé privée, comment un serveur pourrait-il détecter qu'une connexion ssh est illicite alors que justement le contrat est "seul le détenteur de la clé privée pourra se connecter" ? Je serais curieux d'avoir des infos sur tout ça.
-- François Lafont
On 10/04/2016 19:35, Grégory Reinbold wrote:
C'est une bonne question et j'avoue que perso je n'ai rien mis en place.
Tout pareil.
À partir du moment où on se fait piquer sa clé privée, comment un serveur pourrait-il détecter qu'une connexion ssh est illicite alors que justement le contrat est "seul le détenteur de la clé privée pourra se connecter" ? Je serais curieux d'avoir des infos sur tout ça.
C'est une bonne question et j'avoue que perso je n'ai rien mis en place.
Tout pareil.
À partir du moment où on se fait piquer sa clé privée, comment un serveur pourrait-il détecter qu'une connexion ssh est illicite alors que justement le contrat est "seul le détenteur de la clé privée pourra se connecter" ? Je serais curieux d'avoir des infos sur tout ça.
-- François Lafont
Vincent Lefevre
On 2016-04-08 14:26:03 +0200, Sébastien NOBILI wrote:
Je ne parlais pas de chiffrer les clés SSH, mais de chiffrer la clé USB.
Quel est l'intérêt de chiffrer la clé USB alors que la clé SSH est déjà chiffrée en standard (de manière optionnelle, mais je suppose que l'utilisateur a choisi une passphrase non vide)?
On 2016-04-08 14:26:03 +0200, Sébastien NOBILI wrote:
Je ne parlais pas de chiffrer les clés SSH, mais de chiffrer la clé USB.
Quel est l'intérêt de chiffrer la clé USB alors que la clé SSH est
déjà chiffrée en standard (de manière optionnelle, mais je suppose
que l'utilisateur a choisi une passphrase non vide)?
On 2016-04-08 14:26:03 +0200, Sébastien NOBILI wrote:
Je ne parlais pas de chiffrer les clés SSH, mais de chiffrer la clé USB.
Quel est l'intérêt de chiffrer la clé USB alors que la clé SSH est déjà chiffrée en standard (de manière optionnelle, mais je suppose que l'utilisateur a choisi une passphrase non vide)?