je viens de decouvrir l'option -A de ssh, qui va me permettre de faire
tous le sauts que je veux :-)
je voulais mettre l'option -A partout, tout le temps, meme si j'en ai
pas besoin,
histoire de l'avoir sous la main le jour où j'en aurais besoin sans
devoir me reconnecter en rajoutant l'option expres
est ce que ca peut poser des pb de securité ?
est ce que par exemple, si un pirate est entrain de pirater l'ordi
distant, il peut exploiter ma clé ?
--
Informations sur Nicolas Sarkozy :
http://www.betapolitique.fr/spip.php?article0602
http://www.betapolitique.fr/spip.php?article0601
http://www.betapolitique.fr/spip.php?article0414
http://www.betapolitique.fr/spip.php?article0606
http://tDeContes.hd.free.fr/divers/Ruptures.pdf
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Julien Salgado
Thomas a écrit :
bonjour :-)
Bonsoir,
je viens de decouvrir l'option -A de ssh, qui va me permettre de faire tous le sauts que je veux :-)
je voulais mettre l'option -A partout, tout le temps, meme si j'en ai pas besoin, histoire de l'avoir sous la main le jour où j'en aurais besoin sans devoir me reconnecter en rajoutant l'option expres
Ce n'est pas une bonne idée, une bonne pratique de sécurité est de toujours utilisé juste ce qui est nécessaire.
est ce que ca peut poser des pb de securité ?
Oui, C'est même écrit dans le manuel :)
est ce que par exemple, si un pirate est entrain de pirater l'ordi distant, il peut exploiter ma clé ?
Je ne crois pas qu'il y ait des attaques permettant de récupérer la clef. Par contre, n'importe qui pouvant lire les sockets unix utilisées (en particuliers les utilisateurs root), pourront discuter avec les agents et obtenir les authentifications. Il suffit de positionner les variables SSH_AGENT_PID et SSH_AUTH_SOCKS correctement.
-- Julien
Thomas a écrit :
bonjour :-)
Bonsoir,
je viens de decouvrir l'option -A de ssh, qui va me permettre de faire
tous le sauts que je veux :-)
je voulais mettre l'option -A partout, tout le temps, meme si j'en ai
pas besoin,
histoire de l'avoir sous la main le jour où j'en aurais besoin sans
devoir me reconnecter en rajoutant l'option expres
Ce n'est pas une bonne idée, une bonne pratique de sécurité est de
toujours utilisé juste ce qui est nécessaire.
est ce que ca peut poser des pb de securité ?
Oui, C'est même écrit dans le manuel :)
est ce que par exemple, si un pirate est entrain de pirater l'ordi
distant, il peut exploiter ma clé ?
Je ne crois pas qu'il y ait des attaques permettant de récupérer la
clef.
Par contre, n'importe qui pouvant lire les sockets unix utilisées (en
particuliers les utilisateurs root), pourront discuter avec les agents
et obtenir les authentifications. Il suffit de positionner les variables
SSH_AGENT_PID et SSH_AUTH_SOCKS correctement.
je viens de decouvrir l'option -A de ssh, qui va me permettre de faire tous le sauts que je veux :-)
je voulais mettre l'option -A partout, tout le temps, meme si j'en ai pas besoin, histoire de l'avoir sous la main le jour où j'en aurais besoin sans devoir me reconnecter en rajoutant l'option expres
Ce n'est pas une bonne idée, une bonne pratique de sécurité est de toujours utilisé juste ce qui est nécessaire.
est ce que ca peut poser des pb de securité ?
Oui, C'est même écrit dans le manuel :)
est ce que par exemple, si un pirate est entrain de pirater l'ordi distant, il peut exploiter ma clé ?
Je ne crois pas qu'il y ait des attaques permettant de récupérer la clef. Par contre, n'importe qui pouvant lire les sockets unix utilisées (en particuliers les utilisateurs root), pourront discuter avec les agents et obtenir les authentifications. Il suffit de positionner les variables SSH_AGENT_PID et SSH_AUTH_SOCKS correctement.
-- Julien
Thomas
In article (Dans l'article) , Julien Salgado wrote (écrivait) :
Thomas a écrit :
je viens de decouvrir l'option -A de ssh, qui va me permettre de faire tous les sauts que je veux :-)
je voulais mettre l'option -A partout, tout le temps, meme si j'en ai pas besoin, histoire de l'avoir sous la main le jour où j'en aurais besoin sans devoir me reconnecter en rajoutant l'option expres
Ce n'est pas une bonne idée, une bonne pratique de sécurité est de toujours utilisé juste ce qui est nécessaire.
est ce que ca peut poser des pb de securité ?
Oui, C'est même écrit dans le manuel :)
ok :-)
est ce que par exemple, si un pirate est entrain de pirater l'ordi distant, il peut exploiter ma clé ?
Je ne crois pas qu'il y ait des attaques permettant de récupérer la clef. Par contre, n'importe qui pouvant lire les sockets unix utilisées (en particuliers les utilisateurs root), pourront discuter avec les agents et obtenir les authentifications. Il suffit de positionner les variables SSH_AGENT_PID et SSH_AUTH_SOCKS correctement.
merci :-)
j'ai trouvé ca <http://www.cert-ist.com/fra/ressources/Publications_ArticlesBulletins/Au tres/ssh_agent_OpenSSH/> qui m'a permis de comprendre plus en detail les divers aspects et niveaux de sécurité :-)
c'est indiqué que le socket fait par ssh-agent en local est extremement protégé (et qu'il est lisible que par l'utilisateur proprietaire et root, et aucun autre) peux tu juste me confirmer que les sockets faits par ssh -A sont aussi bien protégés que ca ?
sinon, je pense à un truc : meme si on en est par exemple au 3 eme saut en cascade, à chaque fois qu'on fait un nouveau ssh en definitive c'est tjr le ssh-agent local qui donne l'autorisation finale ? ca peut pas se faire uniquement sur la machine où est le client ssh executé ?
est ce que ca serait possible que ssh-agent nous demande confirmation à chaque fois qu'on lui demande de faire une authentification ?
je pense à ca parce que - avec les trucs graphiques qui permettent de charger les clés dans l'agent automatiquement c'est deja possible qu'ils demandent confirmation au moment de charger une clé - à ce moment là, on pourrait mettre -A tout le temps sans aucun danger, parce que si un pirate essayait de le detourner, on le verrait tout de suite : ssh-agent nous demanderais d'autoriser une authentification, alors qu'on n'aurais rien fait ni en local ni a distance qui le necessite :-)
une derniere question, sur la derniere phrase de ce document : "Ce danger de propagation intrinsèque à SSH justifie une fois de plus que des couples "clé publique / clé privée" différents soient utilisés dans le cas où on accède à des systèmes de sensibilité (ou de niveau de sécurité) différents."
vous allez me prendre pour un idiot, mais je ne comprend pas si il s'agit - simplement de ne pas recopier des clés privées d'un ordi à l'autre, mais bien créer une clé privée differente sur chaque ordi - ou carrement de creer sur son ordinateur une clé privée par ordi distant, pour que chaque ordi distant ait une clé publique differente pour notre authentification
-- Informations sur Nicolas Sarkozy : http://www.betapolitique.fr/spip.php?article0602 http://www.betapolitique.fr/spip.php?article0601 http://www.betapolitique.fr/spip.php?article0414 http://www.betapolitique.fr/spip.php?article0606 http://tDeContes.hd.free.fr/divers/Ruptures.pdf
In article (Dans l'article) <slrnf8qoj3.u1f.Julien.Salgado@chez.moi>,
Julien Salgado <Julien.Salgado@nospam.invalid> wrote (écrivait) :
Thomas a écrit :
je viens de decouvrir l'option -A de ssh, qui va me permettre de faire
tous les sauts que je veux :-)
je voulais mettre l'option -A partout, tout le temps, meme si j'en ai
pas besoin,
histoire de l'avoir sous la main le jour où j'en aurais besoin sans
devoir me reconnecter en rajoutant l'option expres
Ce n'est pas une bonne idée, une bonne pratique de sécurité est de
toujours utilisé juste ce qui est nécessaire.
est ce que ca peut poser des pb de securité ?
Oui, C'est même écrit dans le manuel :)
ok :-)
est ce que par exemple, si un pirate est entrain de pirater l'ordi
distant, il peut exploiter ma clé ?
Je ne crois pas qu'il y ait des attaques permettant de récupérer la
clef.
Par contre, n'importe qui pouvant lire les sockets unix utilisées (en
particuliers les utilisateurs root), pourront discuter avec les agents
et obtenir les authentifications. Il suffit de positionner les variables
SSH_AGENT_PID et SSH_AUTH_SOCKS correctement.
merci :-)
j'ai trouvé ca
<http://www.cert-ist.com/fra/ressources/Publications_ArticlesBulletins/Au
tres/ssh_agent_OpenSSH/>
qui m'a permis de comprendre plus en detail les divers aspects et
niveaux de sécurité :-)
c'est indiqué que le socket fait par ssh-agent en local est extremement
protégé (et qu'il est lisible que par l'utilisateur proprietaire et
root, et aucun autre)
peux tu juste me confirmer que les sockets faits par ssh -A sont aussi
bien protégés que ca ?
sinon, je pense à un truc :
meme si on en est par exemple au 3 eme saut en cascade, à chaque fois
qu'on fait un nouveau ssh
en definitive c'est tjr le ssh-agent local qui donne l'autorisation
finale ?
ca peut pas se faire uniquement sur la machine où est le client ssh
executé ?
est ce que ca serait possible que ssh-agent nous demande confirmation à
chaque fois qu'on lui demande de faire une authentification ?
je pense à ca parce que
- avec les trucs graphiques qui permettent de charger les clés dans
l'agent automatiquement c'est deja possible qu'ils demandent
confirmation au moment de charger une clé
- à ce moment là, on pourrait mettre -A tout le temps sans aucun danger,
parce que si un pirate essayait de le detourner, on le verrait tout de
suite : ssh-agent nous demanderais d'autoriser une authentification,
alors qu'on n'aurais rien fait ni en local ni a distance qui le
necessite :-)
une derniere question, sur la derniere phrase de ce document :
"Ce danger de propagation intrinsèque à SSH justifie une fois de plus
que des couples "clé publique / clé privée" différents soient utilisés
dans le cas où on accède à des systèmes de sensibilité (ou de niveau de
sécurité) différents."
vous allez me prendre pour un idiot, mais je ne comprend pas si il s'agit
- simplement de ne pas recopier des clés privées d'un ordi à l'autre,
mais bien créer une clé privée differente sur chaque ordi
- ou carrement de creer sur son ordinateur une clé privée par ordi
distant, pour que chaque ordi distant ait une clé publique differente
pour notre authentification
--
Informations sur Nicolas Sarkozy :
http://www.betapolitique.fr/spip.php?article0602
http://www.betapolitique.fr/spip.php?article0601
http://www.betapolitique.fr/spip.php?article0414
http://www.betapolitique.fr/spip.php?article0606
http://tDeContes.hd.free.fr/divers/Ruptures.pdf
In article (Dans l'article) , Julien Salgado wrote (écrivait) :
Thomas a écrit :
je viens de decouvrir l'option -A de ssh, qui va me permettre de faire tous les sauts que je veux :-)
je voulais mettre l'option -A partout, tout le temps, meme si j'en ai pas besoin, histoire de l'avoir sous la main le jour où j'en aurais besoin sans devoir me reconnecter en rajoutant l'option expres
Ce n'est pas une bonne idée, une bonne pratique de sécurité est de toujours utilisé juste ce qui est nécessaire.
est ce que ca peut poser des pb de securité ?
Oui, C'est même écrit dans le manuel :)
ok :-)
est ce que par exemple, si un pirate est entrain de pirater l'ordi distant, il peut exploiter ma clé ?
Je ne crois pas qu'il y ait des attaques permettant de récupérer la clef. Par contre, n'importe qui pouvant lire les sockets unix utilisées (en particuliers les utilisateurs root), pourront discuter avec les agents et obtenir les authentifications. Il suffit de positionner les variables SSH_AGENT_PID et SSH_AUTH_SOCKS correctement.
merci :-)
j'ai trouvé ca <http://www.cert-ist.com/fra/ressources/Publications_ArticlesBulletins/Au tres/ssh_agent_OpenSSH/> qui m'a permis de comprendre plus en detail les divers aspects et niveaux de sécurité :-)
c'est indiqué que le socket fait par ssh-agent en local est extremement protégé (et qu'il est lisible que par l'utilisateur proprietaire et root, et aucun autre) peux tu juste me confirmer que les sockets faits par ssh -A sont aussi bien protégés que ca ?
sinon, je pense à un truc : meme si on en est par exemple au 3 eme saut en cascade, à chaque fois qu'on fait un nouveau ssh en definitive c'est tjr le ssh-agent local qui donne l'autorisation finale ? ca peut pas se faire uniquement sur la machine où est le client ssh executé ?
est ce que ca serait possible que ssh-agent nous demande confirmation à chaque fois qu'on lui demande de faire une authentification ?
je pense à ca parce que - avec les trucs graphiques qui permettent de charger les clés dans l'agent automatiquement c'est deja possible qu'ils demandent confirmation au moment de charger une clé - à ce moment là, on pourrait mettre -A tout le temps sans aucun danger, parce que si un pirate essayait de le detourner, on le verrait tout de suite : ssh-agent nous demanderais d'autoriser une authentification, alors qu'on n'aurais rien fait ni en local ni a distance qui le necessite :-)
une derniere question, sur la derniere phrase de ce document : "Ce danger de propagation intrinsèque à SSH justifie une fois de plus que des couples "clé publique / clé privée" différents soient utilisés dans le cas où on accède à des systèmes de sensibilité (ou de niveau de sécurité) différents."
vous allez me prendre pour un idiot, mais je ne comprend pas si il s'agit - simplement de ne pas recopier des clés privées d'un ordi à l'autre, mais bien créer une clé privée differente sur chaque ordi - ou carrement de creer sur son ordinateur une clé privée par ordi distant, pour que chaque ordi distant ait une clé publique differente pour notre authentification
-- Informations sur Nicolas Sarkozy : http://www.betapolitique.fr/spip.php?article0602 http://www.betapolitique.fr/spip.php?article0601 http://www.betapolitique.fr/spip.php?article0414 http://www.betapolitique.fr/spip.php?article0606 http://tDeContes.hd.free.fr/divers/Ruptures.pdf