On Fri, 07 Jun 2013 17:12:57 +0200
Jean-Jacques Doti wrote:Si tu es le seul utilisateur de la machine à partir de laquelle tu
vas changer les mots de passe sur tes serveurs, je pense que le
risque est plutôt faible et que certains utilisateurs de cette ML ont
peut-être un peu exagéré le danger de ce que tu faisais ;-)
Pas d'accord avec toi, JJ!
Sans vouloir jouer dans la cour du perfectionnisme, prendre les
bonnes habitudes dès le départ est le gage d'un bon édifice.
Pour faire un parallèle, tu ne peux pas construire une maison
solide sur une mine, avec du sable de mer non déssalé ni sans
ferrailler le béton et utiliser au minimum un niveau et une
équerre.j'avoue que je conserve un accès SSH root sur mes serveurs - en
entreprise, ce n'est généralement plus le cas).
À partir du moment où la connexion se fait par clé, le risque
est inexistant.
On Fri, 07 Jun 2013 17:12:57 +0200
Jean-Jacques Doti <bugs@doti.fr> wrote:
Si tu es le seul utilisateur de la machine à partir de laquelle tu
vas changer les mots de passe sur tes serveurs, je pense que le
risque est plutôt faible et que certains utilisateurs de cette ML ont
peut-être un peu exagéré le danger de ce que tu faisais ;-)
Pas d'accord avec toi, JJ!
Sans vouloir jouer dans la cour du perfectionnisme, prendre les
bonnes habitudes dès le départ est le gage d'un bon édifice.
Pour faire un parallèle, tu ne peux pas construire une maison
solide sur une mine, avec du sable de mer non déssalé ni sans
ferrailler le béton et utiliser au minimum un niveau et une
équerre.
j'avoue que je conserve un accès SSH root sur mes serveurs - en
entreprise, ce n'est généralement plus le cas).
À partir du moment où la connexion se fait par clé, le risque
est inexistant.
On Fri, 07 Jun 2013 17:12:57 +0200
Jean-Jacques Doti wrote:Si tu es le seul utilisateur de la machine à partir de laquelle tu
vas changer les mots de passe sur tes serveurs, je pense que le
risque est plutôt faible et que certains utilisateurs de cette ML ont
peut-être un peu exagéré le danger de ce que tu faisais ;-)
Pas d'accord avec toi, JJ!
Sans vouloir jouer dans la cour du perfectionnisme, prendre les
bonnes habitudes dès le départ est le gage d'un bon édifice.
Pour faire un parallèle, tu ne peux pas construire une maison
solide sur une mine, avec du sable de mer non déssalé ni sans
ferrailler le béton et utiliser au minimum un niveau et une
équerre.j'avoue que je conserve un accès SSH root sur mes serveurs - en
entreprise, ce n'est généralement plus le cas).
À partir du moment où la connexion se fait par clé, le risque
est inexistant.
Belaïd MOUNSI a écrit :
Je crois que c'est lorsque tu es enfin connecté a ton compte en ssh qu e
les informations passe en crypter (on passe par un tunnel crypté). Sin on
c'est vrai qu'on nous conseil toujours de se connecter avec un compte sa ns
priviléges (ou avec des privileges reduits) puis de tourner sur le com pte
root avec la commande su. C'est pour cela qu'on utilise dans quelques ca s
des clés asymétriques (rsa, dsa, etc...) pour les connexions
Euh, c'est une blague ?
Si c'est ca, SSH perd tout son intérêt par rapport à telnet (pour n e citer
que lui ... ).
De ce qu'il me semble, la première étape d'une connexion SSH , c'est des
échanges de clés, avant même de demander un mot de passe ...
C'est d'ailleurs stocké dans un fichier known_hosts côté client , e t est
vérifié à chaque connexion, pour être sur qu'on s'adresse bien à la bonne
machine. (protection contre les "man in the middle").
On m'aurait menti ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/**FrenchLists<http://wiki.debian.org/fr/FrenchL ists>
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@**lists.debian.org<debian-user-french-REQ
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/**<http://li sts.debian.org/
Belaïd MOUNSI a écrit :
Je crois que c'est lorsque tu es enfin connecté a ton compte en ssh qu e
les informations passe en crypter (on passe par un tunnel crypté). Sin on
c'est vrai qu'on nous conseil toujours de se connecter avec un compte sa ns
priviléges (ou avec des privileges reduits) puis de tourner sur le com pte
root avec la commande su. C'est pour cela qu'on utilise dans quelques ca s
des clés asymétriques (rsa, dsa, etc...) pour les connexions
Euh, c'est une blague ?
Si c'est ca, SSH perd tout son intérêt par rapport à telnet (pour n e citer
que lui ... ).
De ce qu'il me semble, la première étape d'une connexion SSH , c'est des
échanges de clés, avant même de demander un mot de passe ...
C'est d'ailleurs stocké dans un fichier known_hosts côté client , e t est
vérifié à chaque connexion, pour être sur qu'on s'adresse bien à la bonne
machine. (protection contre les "man in the middle").
On m'aurait menti ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/**FrenchLists<http://wiki.debian.org/fr/FrenchL ists>
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@**lists.debian.org<debian-user-french-REQ UEST@lists.debian.org>
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/**51B1EDC0.6010405@stuxnet.org<http://li sts.debian.org/51B1EDC0.6010405@stuxnet.org>
Belaïd MOUNSI a écrit :
Je crois que c'est lorsque tu es enfin connecté a ton compte en ssh qu e
les informations passe en crypter (on passe par un tunnel crypté). Sin on
c'est vrai qu'on nous conseil toujours de se connecter avec un compte sa ns
priviléges (ou avec des privileges reduits) puis de tourner sur le com pte
root avec la commande su. C'est pour cela qu'on utilise dans quelques ca s
des clés asymétriques (rsa, dsa, etc...) pour les connexions
Euh, c'est une blague ?
Si c'est ca, SSH perd tout son intérêt par rapport à telnet (pour n e citer
que lui ... ).
De ce qu'il me semble, la première étape d'une connexion SSH , c'est des
échanges de clés, avant même de demander un mot de passe ...
C'est d'ailleurs stocké dans un fichier known_hosts côté client , e t est
vérifié à chaque connexion, pour être sur qu'on s'adresse bien à la bonne
machine. (protection contre les "man in the middle").
On m'aurait menti ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/**FrenchLists<http://wiki.debian.org/fr/FrenchL ists>
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@**lists.debian.org<debian-user-french-REQ
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/**<http://li sts.debian.org/
"pour etre sur qu'on s'adresse bien a la bonne personne" tu peux
jamais etre sur juste avec un mot de passe (authentification standard)
meme en ssh. Par contre avec un certificat certifier par une authorité
connue oui
"pour etre sur qu'on s'adresse bien a la bonne personne" tu peux
jamais etre sur juste avec un mot de passe (authentification standard)
meme en ssh. Par contre avec un certificat certifier par une authorité
connue oui
"pour etre sur qu'on s'adresse bien a la bonne personne" tu peux
jamais etre sur juste avec un mot de passe (authentification standard)
meme en ssh. Par contre avec un certificat certifier par une authorité
connue oui
Il n'empêche, même s'il n'est jamais utilisé il faut un mo t de passe
local à root, ne serait-ce que pour réparer la machine en passa nt en
single user.
Une politique de sécurité globale peut t'imposer de changer
régulièrement ce mot de passe, et si tu as une centaine de serv eurs,
tu dois l'automatiser.
Il n'empêche, même s'il n'est jamais utilisé il faut un mo t de passe
local à root, ne serait-ce que pour réparer la machine en passa nt en
single user.
Une politique de sécurité globale peut t'imposer de changer
régulièrement ce mot de passe, et si tu as une centaine de serv eurs,
tu dois l'automatiser.
Il n'empêche, même s'il n'est jamais utilisé il faut un mo t de passe
local à root, ne serait-ce que pour réparer la machine en passa nt en
single user.
Une politique de sécurité globale peut t'imposer de changer
régulièrement ce mot de passe, et si tu as une centaine de serv eurs,
tu dois l'automatiser.
ldap ou kerberos ou autre.. Mais pas pour root : root doit avoir un
mot de passe local, puisuqe ce mot de passe ne va servir que quand
tout est cassé.
ldap ou kerberos ou autre.. Mais pas pour root : root doit avoir un
mot de passe local, puisuqe ce mot de passe ne va servir que quand
tout est cassé.
ldap ou kerberos ou autre.. Mais pas pour root : root doit avoir un
mot de passe local, puisuqe ce mot de passe ne va servir que quand
tout est cassé.
On m'aurait menti ?
On m'aurait menti ?
On m'aurait menti ?
Le Fri, 07 Jun 2013 16:27:12 +0200,
Christophe a écrit :
> On m'aurait menti ?
non, sauf si tu utilises encore ssh 1.0 :-)
--
----------------------------------------------------------------
Sacha Le Lay
Centre de Ressources Informatiques Départemental (CRID) - Vendée
DSI - Rectorat de Nantes
----------------------------------------------------------------
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive:
http://lists.debian.org/
Le Fri, 07 Jun 2013 16:27:12 +0200,
Christophe <tech@stuxnet.org> a écrit :
> On m'aurait menti ?
non, sauf si tu utilises encore ssh 1.0 :-)
--
----------------------------------------------------------------
Sacha Le Lay
Centre de Ressources Informatiques Départemental (CRID) - Vendée
DSI - Rectorat de Nantes
----------------------------------------------------------------
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive:
http://lists.debian.org/20130607164431.0077c2e1@sacha-380.cridbox.1s.fr
Le Fri, 07 Jun 2013 16:27:12 +0200,
Christophe a écrit :
> On m'aurait menti ?
non, sauf si tu utilises encore ssh 1.0 :-)
--
----------------------------------------------------------------
Sacha Le Lay
Centre de Ressources Informatiques Départemental (CRID) - Vendée
DSI - Rectorat de Nantes
----------------------------------------------------------------
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive:
http://lists.debian.org/
Hormis des protocoles de chiffrages et un protocole de négociation
qui différent , tu es sur ce ça ?
Je ne remets pas en cause ton affirmation , mais je suis curieux ;) .
(accessoirement, rares sont les systèmes de nos jours qui utilisent
encore SSH-1)
Hormis des protocoles de chiffrages et un protocole de négociation
qui différent , tu es sur ce ça ?
Je ne remets pas en cause ton affirmation , mais je suis curieux ;) .
(accessoirement, rares sont les systèmes de nos jours qui utilisent
encore SSH-1)
Hormis des protocoles de chiffrages et un protocole de négociation
qui différent , tu es sur ce ça ?
Je ne remets pas en cause ton affirmation , mais je suis curieux ;) .
(accessoirement, rares sont les systèmes de nos jours qui utilisent
encore SSH-1)