bonjour =E0 tous,
j'aimerais masquer la version de ssh afin d'=E9viter de donner trop
d'information aux personnes qui ne sont pas autoris=E9es =E0 se logguer
.=2E..
j'ai essay=E9 dans google de trouver l'info mais j'ai pas du mettre les
bons mots de recherche ...=20
Et que quand tu met ta clé sur un PC qui ne gère pas ce système de fichier, tu l'as dans l'os.
C'est un peu ce que disait Jacques en fait ... ;-)
C'est TOUTAFé ce que je disais..
;) Jacques
Sébastien Monbrun aka TiChou
Dans le message <news:, *Gotrar* tapota sur f.c.o.l.configuration :
Pour ma part je pense qu'un systeme ne doit donné qu'un minimum d'info cela ne sert à rine que la terre entière sache que vous utilisez telle version de telle application .... cela n'est pas nécessaire pour le bon fonctionnement donc inutile.
Pour des questions de compatibilités entre client/serveur et aussi à titre informatif il est parfois utile d'avoir un minimum d'information sur un système, comme par exemple la version de tel ou tel service.
Mais passons ce point de vue, là n'est finalement pas le débat. Non, en fait, ce qu'il faut comprendre c'est que cacher la version de ses services n'apporte rien non plus. On n'est pas plus à l'abri. Bien au contraire, on éveille d'autant plus la curiosité d'un attaquant qui pourrait croire que vous tentez de cacher quelque chose d'intéressant.
Bref, une vraie bonne politique de sécurité ne se base pas sur l'obscurantisme.
-- Sébastien Monbrun aka TiChou
Dans le message
<news:1137746971.053482.142170@g47g2000cwa.googlegroups.com>,
*Gotrar* tapota sur f.c.o.l.configuration :
Pour ma part je pense qu'un systeme ne doit donné qu'un minimum d'info
cela ne sert à rine que la terre entière sache que vous utilisez
telle version de telle application .... cela n'est pas nécessaire pour
le bon fonctionnement donc inutile.
Pour des questions de compatibilités entre client/serveur et aussi à titre
informatif il est parfois utile d'avoir un minimum d'information sur un
système, comme par exemple la version de tel ou tel service.
Mais passons ce point de vue, là n'est finalement pas le débat. Non, en
fait, ce qu'il faut comprendre c'est que cacher la version de ses services
n'apporte rien non plus. On n'est pas plus à l'abri. Bien au contraire, on
éveille d'autant plus la curiosité d'un attaquant qui pourrait croire que
vous tentez de cacher quelque chose d'intéressant.
Bref, une vraie bonne politique de sécurité ne se base pas sur
l'obscurantisme.
Dans le message <news:, *Gotrar* tapota sur f.c.o.l.configuration :
Pour ma part je pense qu'un systeme ne doit donné qu'un minimum d'info cela ne sert à rine que la terre entière sache que vous utilisez telle version de telle application .... cela n'est pas nécessaire pour le bon fonctionnement donc inutile.
Pour des questions de compatibilités entre client/serveur et aussi à titre informatif il est parfois utile d'avoir un minimum d'information sur un système, comme par exemple la version de tel ou tel service.
Mais passons ce point de vue, là n'est finalement pas le débat. Non, en fait, ce qu'il faut comprendre c'est que cacher la version de ses services n'apporte rien non plus. On n'est pas plus à l'abri. Bien au contraire, on éveille d'autant plus la curiosité d'un attaquant qui pourrait croire que vous tentez de cacher quelque chose d'intéressant.
Bref, une vraie bonne politique de sécurité ne se base pas sur l'obscurantisme.
-- Sébastien Monbrun aka TiChou
Sébastien Kirche
Le 20 January 2006 à 14:09, Jacques vraute :
A la maison : passphrase Nomade : password.
Je n'utilise pas ce système pour rentrer chez moi (les mots de passe des comptes mail, du poste et du réseau au boulot, des cartes bancaires, du téléphone portable me suffisent ;) mais j'aurais fait l'inverse : password à la maison ce qui est plus simple et passphrase pour l'extérieur. Non ?
-- Sébastien Kirche
Le 20 January 2006 à 14:09, Jacques vraute :
A la maison : passphrase
Nomade : password.
Je n'utilise pas ce système pour rentrer chez moi (les mots de passe des
comptes mail, du poste et du réseau au boulot, des cartes bancaires, du
téléphone portable me suffisent ;) mais j'aurais fait l'inverse :
password à la maison ce qui est plus simple et passphrase pour
l'extérieur. Non ?
Je n'utilise pas ce système pour rentrer chez moi (les mots de passe des comptes mail, du poste et du réseau au boulot, des cartes bancaires, du téléphone portable me suffisent ;) mais j'aurais fait l'inverse : password à la maison ce qui est plus simple et passphrase pour l'extérieur. Non ?
-- Sébastien Kirche
Sébastien Kirche
Le 20 January 2006 à 09:05, Xavier Maillard s'est exprimé ainsi :
une clé dsa qui se transporte aisément sur un lecteur usb. C'est même compatible windows avec putty.
Exactement. Au pire, si on ne peut pas se ballader avec un cle, il suffit de generer autant de cle qu'il y a de machines en mesure de se connecter et de les ajouter au fichier authorized_key.
Oui. D'ailleurs je ne me suis servi de ma clé usb pour transporter ma clé dsa que le temps de l'installer sur mon compte sur diverses machines depuis lesquelles j'étais susceptible d'avoir besoin de contacter mon réseau perso. Depuis je n'en ai plus eu besoin.
-- Sébastien Kirche
Le 20 January 2006 à 09:05, Xavier Maillard s'est exprimé ainsi :
une clé dsa qui se transporte aisément sur un lecteur usb. C'est
même compatible windows avec putty.
Exactement. Au pire, si on ne peut pas se ballader avec un cle,
il suffit de generer autant de cle qu'il y a de machines en
mesure de se connecter et de les ajouter au fichier
authorized_key.
Oui. D'ailleurs je ne me suis servi de ma clé usb pour transporter ma
clé dsa que le temps de l'installer sur mon compte sur diverses machines
depuis lesquelles j'étais susceptible d'avoir besoin de contacter mon
réseau perso. Depuis je n'en ai plus eu besoin.
Le 20 January 2006 à 09:05, Xavier Maillard s'est exprimé ainsi :
une clé dsa qui se transporte aisément sur un lecteur usb. C'est même compatible windows avec putty.
Exactement. Au pire, si on ne peut pas se ballader avec un cle, il suffit de generer autant de cle qu'il y a de machines en mesure de se connecter et de les ajouter au fichier authorized_key.
Oui. D'ailleurs je ne me suis servi de ma clé usb pour transporter ma clé dsa que le temps de l'installer sur mon compte sur diverses machines depuis lesquelles j'étais susceptible d'avoir besoin de contacter mon réseau perso. Depuis je n'en ai plus eu besoin.
-- Sébastien Kirche
Sébastien Kirche
Le 20 January 2006 à 15:23, Sébastien Monbrun aka TiChou s'est exprimé ainsi :
Mais passons ce point de vue, là n'est finalement pas le débat. Non, en fait, ce qu'il faut comprendre c'est que cacher la version de ses services n'apporte rien non plus. On n'est pas plus à l'abri. Bien au contraire, on éveille d'autant plus la curiosité d'un attaquant qui pourrait croire que vous tentez de cacher quelque chose d'intéressant.
Bref, une vraie bonne politique de sécurité ne se base pas sur l'obscurantisme.
J'abonde.
Dans la même veine, le pare-feu de la passerelle n'est pas configuré pour absorber les pings et autres paquets tcp ou udp «de service» comme c'est parfois conseillé.
Comme le dit Tichou, une machine qui se comporterait en trou noir risquerait de donner envie au script kiddie ou au pirate du dimanche d'aller voir ce qu'il y aurait à cacher.
D'ailleurs, je n'ai tellement rien à cacher que j'ai même le service ident :oP
-- Sébastien Kirche
Le 20 January 2006 à 15:23, Sébastien Monbrun aka TiChou s'est exprimé
ainsi :
Mais passons ce point de vue, là n'est finalement pas le débat. Non,
en fait, ce qu'il faut comprendre c'est que cacher la version de ses
services n'apporte rien non plus. On n'est pas plus à l'abri. Bien au
contraire, on éveille d'autant plus la curiosité d'un attaquant qui
pourrait croire que vous tentez de cacher quelque chose d'intéressant.
Bref, une vraie bonne politique de sécurité ne se base pas sur
l'obscurantisme.
J'abonde.
Dans la même veine, le pare-feu de la passerelle n'est pas configuré
pour absorber les pings et autres paquets tcp ou udp «de service» comme
c'est parfois conseillé.
Comme le dit Tichou, une machine qui se comporterait en trou noir
risquerait de donner envie au script kiddie ou au pirate du dimanche
d'aller voir ce qu'il y aurait à cacher.
D'ailleurs, je n'ai tellement rien à cacher que j'ai même le service
ident :oP
Le 20 January 2006 à 15:23, Sébastien Monbrun aka TiChou s'est exprimé ainsi :
Mais passons ce point de vue, là n'est finalement pas le débat. Non, en fait, ce qu'il faut comprendre c'est que cacher la version de ses services n'apporte rien non plus. On n'est pas plus à l'abri. Bien au contraire, on éveille d'autant plus la curiosité d'un attaquant qui pourrait croire que vous tentez de cacher quelque chose d'intéressant.
Bref, une vraie bonne politique de sécurité ne se base pas sur l'obscurantisme.
J'abonde.
Dans la même veine, le pare-feu de la passerelle n'est pas configuré pour absorber les pings et autres paquets tcp ou udp «de service» comme c'est parfois conseillé.
Comme le dit Tichou, une machine qui se comporterait en trou noir risquerait de donner envie au script kiddie ou au pirate du dimanche d'aller voir ce qu'il y aurait à cacher.
D'ailleurs, je n'ai tellement rien à cacher que j'ai même le service ident :oP
-- Sébastien Kirche
Sébastien Kirche
Le 20 January 2006 à 15:23, Sébastien Monbrun aka TiChou s'est exprimé ainsi :
Mais passons ce point de vue, là n'est finalement pas le débat. Non, en fait, ce qu'il faut comprendre c'est que cacher la version de ses services n'apporte rien non plus. On n'est pas plus à l'abri. Bien au contraire, on éveille d'autant plus la curiosité d'un attaquant qui pourrait croire que vous tentez de cacher quelque chose d'intéressant.
Bref, une vraie bonne politique de sécurité ne se base pas sur l'obscurantisme.
J'abonde.
Dans la même veine, le pare-feu de la passerelle n'est pas configuré pour absorber les pings et autres paquets tcp ou udp «de service» comme c'est parfois conseillé.
Comme le dit Tichou, une machine qui se comporterait en trou noir risquerait de donner envie au script kiddie ou au pirate du dimanche d'aller voir ce qu'il y aurait à cacher. Il vaut mieux avoir une machine tenue à jour.
D'ailleurs, je n'ai tellement rien à cacher que j'ai même le service ident :oP
-- Sébastien Kirche
Le 20 January 2006 à 15:23, Sébastien Monbrun aka TiChou s'est exprimé
ainsi :
Mais passons ce point de vue, là n'est finalement pas le débat. Non,
en fait, ce qu'il faut comprendre c'est que cacher la version de ses
services n'apporte rien non plus. On n'est pas plus à l'abri. Bien au
contraire, on éveille d'autant plus la curiosité d'un attaquant qui
pourrait croire que vous tentez de cacher quelque chose d'intéressant.
Bref, une vraie bonne politique de sécurité ne se base pas sur
l'obscurantisme.
J'abonde.
Dans la même veine, le pare-feu de la passerelle n'est pas configuré
pour absorber les pings et autres paquets tcp ou udp «de service» comme
c'est parfois conseillé.
Comme le dit Tichou, une machine qui se comporterait en trou noir
risquerait de donner envie au script kiddie ou au pirate du dimanche
d'aller voir ce qu'il y aurait à cacher. Il vaut mieux avoir une machine
tenue à jour.
D'ailleurs, je n'ai tellement rien à cacher que j'ai même le service
ident :oP
Le 20 January 2006 à 15:23, Sébastien Monbrun aka TiChou s'est exprimé ainsi :
Mais passons ce point de vue, là n'est finalement pas le débat. Non, en fait, ce qu'il faut comprendre c'est que cacher la version de ses services n'apporte rien non plus. On n'est pas plus à l'abri. Bien au contraire, on éveille d'autant plus la curiosité d'un attaquant qui pourrait croire que vous tentez de cacher quelque chose d'intéressant.
Bref, une vraie bonne politique de sécurité ne se base pas sur l'obscurantisme.
J'abonde.
Dans la même veine, le pare-feu de la passerelle n'est pas configuré pour absorber les pings et autres paquets tcp ou udp «de service» comme c'est parfois conseillé.
Comme le dit Tichou, une machine qui se comporterait en trou noir risquerait de donner envie au script kiddie ou au pirate du dimanche d'aller voir ce qu'il y aurait à cacher. Il vaut mieux avoir une machine tenue à jour.
D'ailleurs, je n'ai tellement rien à cacher que j'ai même le service ident :oP
-- Sébastien Kirche
Nicolas George
Zouplaz wrote in message <43d26e6e$0$3797$:
Mais sur la clé USB tu n'as que la clé publique
Euh, non, ça ça ne servirait absolument à rien.
Zouplaz wrote in message <43d26e6e$0$3797$636a55ce@news.free.fr>:
Je viens de configurer un serveur ssh et j'utilise une authentification par clé uniquement (pas de login/password). J'ai simplement copié ma clé publique dans un fichier texte, trimbalé sur une disquette et que j'ai ensuite copié dans /root/.ssh/authorized_keys sur le serveur.
La clé privée n'a aucune raison d'être transportée ou que ce soit - sinon quel serait l'intérêt d'en avoir une ?
Nicolas George wrote:
Zouplaz wrote in message <43d26e6e$0$3797$636a55ce@news.free.fr>:
Mais sur la clé USB tu n'as que la clé publique
Euh, non, ça ça ne servirait absolument à rien.
Je viens de configurer un serveur ssh et j'utilise une authentification
par clé uniquement (pas de login/password).
J'ai simplement copié ma clé publique dans un fichier texte, trimbalé
sur une disquette et que j'ai ensuite copié dans
/root/.ssh/authorized_keys sur le serveur.
La clé privée n'a aucune raison d'être transportée ou que ce soit -
sinon quel serait l'intérêt d'en avoir une ?
Je viens de configurer un serveur ssh et j'utilise une authentification par clé uniquement (pas de login/password). J'ai simplement copié ma clé publique dans un fichier texte, trimbalé sur une disquette et que j'ai ensuite copié dans /root/.ssh/authorized_keys sur le serveur.
La clé privée n'a aucune raison d'être transportée ou que ce soit - sinon quel serait l'intérêt d'en avoir une ?
Nicolas George
Zouplaz wrote in message <43d27157$0$3787$:
J'ai simplement copié ma clé publique dans un fichier texte, trimbalé sur une disquette et que j'ai ensuite copié dans /root/.ssh/authorized_keys sur le serveur.
La clé privée n'a aucune raison d'être transportée ou que ce soit - sinon quel serait l'intérêt d'en avoir une ?
Mais ce n'est pas du tout de cet usage qu'il est question dans ce thread : ici, le fichier présent sur le support amovible est censé servir à remplacer le mot de passe, c'est bien de la clef privée qu'il est question.
Zouplaz wrote in message <43d27157$0$3787$636a55ce@news.free.fr>:
J'ai simplement copié ma clé publique dans un fichier texte, trimbalé
sur une disquette et que j'ai ensuite copié dans
/root/.ssh/authorized_keys sur le serveur.
La clé privée n'a aucune raison d'être transportée ou que ce soit -
sinon quel serait l'intérêt d'en avoir une ?
Mais ce n'est pas du tout de cet usage qu'il est question dans ce thread :
ici, le fichier présent sur le support amovible est censé servir à remplacer
le mot de passe, c'est bien de la clef privée qu'il est question.
J'ai simplement copié ma clé publique dans un fichier texte, trimbalé sur une disquette et que j'ai ensuite copié dans /root/.ssh/authorized_keys sur le serveur.
La clé privée n'a aucune raison d'être transportée ou que ce soit - sinon quel serait l'intérêt d'en avoir une ?
Mais ce n'est pas du tout de cet usage qu'il est question dans ce thread : ici, le fichier présent sur le support amovible est censé servir à remplacer le mot de passe, c'est bien de la clef privée qu'il est question.
