On me demande de configurer un acces a un serveur subversion interne
pour des developpeurs externes.
Normalement, je cree un compte, je demande au dev sa cle publique, et
je met la bonne incantation dans .ssh/autrized_keys et le dev peut
faire du svn et rien d'autre.
Mais la, pas le droit aux paires de cles, password obligatoire.
Probleme : comment n'autoriser que svn et pas de login interactif ou
meme l'execution de n'importe quelle commande ?
Mais la, pas le droit aux paires de cles, password obligatoire.
Quelle est la (s?rement mauvaise) raison invoqu?e pour cette demande plut?t surprenante ?
les developpeurs sont en Chine.
Et ?
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Che Averell
Erwan David écrit :
Qu'ils ne connaissent pas Unix n'a rien à voir, on fait très bien du ssh depuis un windows.
Je ne dit pas le contraire, mais dans la tête des neuneus que je croise régulièrement au boulot : ssh = unix. Et ça me sidère le manque de culture générale informatique au sein des développeurs que je croise...
Mais reste *la* question : dans ce cas, pourquoi ssh ? Un transport HTTPS pourrait très bien faire l'affaire...
Oui, clairement. Mais on va répondre qu'on ne va pas payer un certificat pour ça, parce que tu comprends, l'autosigné c'est pas bien ça génère une alarme, c'est que ça doit pas être sécurisé...
Erwan David <erwan@rail.eu.org> écrit :
Qu'ils ne connaissent pas Unix n'a rien à voir, on fait très bien du ssh
depuis un windows.
Je ne dit pas le contraire, mais dans la tête des neuneus que je
croise régulièrement au boulot : ssh = unix. Et ça me sidère le manque
de culture générale informatique au sein des développeurs que je
croise...
Mais reste *la* question : dans ce cas, pourquoi ssh ?
Un transport HTTPS pourrait très bien faire l'affaire...
Oui, clairement. Mais on va répondre qu'on ne va pas payer un
certificat pour ça, parce que tu comprends, l'autosigné c'est pas bien
ça génère une alarme, c'est que ça doit pas être sécurisé...
Qu'ils ne connaissent pas Unix n'a rien à voir, on fait très bien du ssh depuis un windows.
Je ne dit pas le contraire, mais dans la tête des neuneus que je croise régulièrement au boulot : ssh = unix. Et ça me sidère le manque de culture générale informatique au sein des développeurs que je croise...
Mais reste *la* question : dans ce cas, pourquoi ssh ? Un transport HTTPS pourrait très bien faire l'affaire...
Oui, clairement. Mais on va répondre qu'on ne va pas payer un certificat pour ça, parce que tu comprends, l'autosigné c'est pas bien ça génère une alarme, c'est que ça doit pas être sécurisé...
Erwan David
Che Averell écrivait :
Erwan David écrit :
Qu'ils ne connaissent pas Unix n'a rien à voir, on fait très bien du ssh depuis un windows.
Je ne dit pas le contraire, mais dans la tête des neuneus que je croise régulièrement au boulot : ssh = unix. Et ça me sidère le manque de culture générale informatique au sein des développeurs que je croise...
Mais reste *la* question : dans ce cas, pourquoi ssh ? Un transport HTTPS pourrait très bien faire l'affaire...
Oui, clairement. Mais on va répondre qu'on ne va pas payer un certificat pour ça, parce que tu comprends, l'autosigné c'est pas bien ça génère une alarme, c'est que ça doit pas être sécurisé...
Alors que clairement l'autosigné ou signé par un CA explicitement ajouté est nettement plus sécurisé...
J'aurais même tendance à considérer l'autosigné comme plus sécurisé car tu ne peux pas restreindre la confaince dans un CA à seulement certains serveurs.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Che Averell <averell@dalton-brothers.org> écrivait :
Erwan David <erwan@rail.eu.org> écrit :
Qu'ils ne connaissent pas Unix n'a rien à voir, on fait très bien du ssh
depuis un windows.
Je ne dit pas le contraire, mais dans la tête des neuneus que je
croise régulièrement au boulot : ssh = unix. Et ça me sidère le manque
de culture générale informatique au sein des développeurs que je
croise...
Mais reste *la* question : dans ce cas, pourquoi ssh ?
Un transport HTTPS pourrait très bien faire l'affaire...
Oui, clairement. Mais on va répondre qu'on ne va pas payer un
certificat pour ça, parce que tu comprends, l'autosigné c'est pas bien
ça génère une alarme, c'est que ça doit pas être sécurisé...
Alors que clairement l'autosigné ou signé par un CA explicitement ajouté
est nettement plus sécurisé...
J'aurais même tendance à considérer l'autosigné comme plus sécurisé car
tu ne peux pas restreindre la confaince dans un CA à seulement certains
serveurs.
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Qu'ils ne connaissent pas Unix n'a rien à voir, on fait très bien du ssh depuis un windows.
Je ne dit pas le contraire, mais dans la tête des neuneus que je croise régulièrement au boulot : ssh = unix. Et ça me sidère le manque de culture générale informatique au sein des développeurs que je croise...
Mais reste *la* question : dans ce cas, pourquoi ssh ? Un transport HTTPS pourrait très bien faire l'affaire...
Oui, clairement. Mais on va répondre qu'on ne va pas payer un certificat pour ça, parce que tu comprends, l'autosigné c'est pas bien ça génère une alarme, c'est que ça doit pas être sécurisé...
Alors que clairement l'autosigné ou signé par un CA explicitement ajouté est nettement plus sécurisé...
J'aurais même tendance à considérer l'autosigné comme plus sécurisé car tu ne peux pas restreindre la confaince dans un CA à seulement certains serveurs.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Che Averell
Erwan David écrit :
Alors que clairement l'autosigné ou signé par un CA explicitement ajouté est nettement plus sécurisé...
Signé par un CA autosigné et explicitement ajouté, perso. On n'a qu'un seul certificat à ajouter, donc les navigateurs ne hurlent plus, et on fait ce qu'on veut.
J'aurais même tendance à considérer l'autosigné comme plus sécurisé car tu ne peux pas restreindre la confaince dans un CA à seulement certains serveurs.
Sans même parler du fait que je fais plus confiance au CA dont j'ai la clé qu'à Veriawte qui signe n'importe quoi du moment qu'on paye.
Erwan David <erwan@rail.eu.org> écrit :
Alors que clairement l'autosigné ou signé par un CA explicitement ajouté
est nettement plus sécurisé...
Signé par un CA autosigné et explicitement ajouté, perso. On n'a qu'un
seul certificat à ajouter, donc les navigateurs ne hurlent plus, et on
fait ce qu'on veut.
J'aurais même tendance à considérer l'autosigné comme plus sécurisé car
tu ne peux pas restreindre la confaince dans un CA à seulement certains
serveurs.
Sans même parler du fait que je fais plus confiance au CA dont j'ai la
clé qu'à Veriawte qui signe n'importe quoi du moment qu'on paye.
Alors que clairement l'autosigné ou signé par un CA explicitement ajouté est nettement plus sécurisé...
Signé par un CA autosigné et explicitement ajouté, perso. On n'a qu'un seul certificat à ajouter, donc les navigateurs ne hurlent plus, et on fait ce qu'on veut.
J'aurais même tendance à considérer l'autosigné comme plus sécurisé car tu ne peux pas restreindre la confaince dans un CA à seulement certains serveurs.
Sans même parler du fait que je fais plus confiance au CA dont j'ai la clé qu'à Veriawte qui signe n'importe quoi du moment qu'on paye.
Paul Gaborit
À (at) Wed, 13 Jul 2011 10:26:55 +0200, Che Averell écrivait (wrote):
Paul Gaborit écrit :
Quelle est la (sûrement mauvaise) raison invoquée pour cette demande plutôt surprenante ?
Je parie pour l'excuse habituelle : les développeurs ne connaissent pas unix, alors arrêtez de les faire chier avec un barbarisme que personne comprend.
De quel barbarisme spécifique Unix parlez-vous ? Ni SVN ni SSH ne sont spécifiques à Unix.
Ou, même encore : si ça ne demande pas de mdp, ce n'est pas sécurisé, tout le monde peut s'y connecter !
Sauf que pour assurer une bonne sécurité, la clé SSH est chiffrée par une passphrase qui est demandée pour la débloquer...
-- Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
À (at) Wed, 13 Jul 2011 10:26:55 +0200,
Che Averell <averell@dalton-brothers.org> écrivait (wrote):
Paul Gaborit <Paul.Gaborit@invalid.invalid> écrit :
Quelle est la (sûrement mauvaise) raison invoquée pour cette demande
plutôt surprenante ?
Je parie pour l'excuse habituelle : les développeurs ne connaissent
pas unix, alors arrêtez de les faire chier avec un barbarisme que
personne comprend.
De quel barbarisme spécifique Unix parlez-vous ? Ni SVN ni SSH ne sont
spécifiques à Unix.
Ou, même encore : si ça ne demande pas de mdp, ce
n'est pas sécurisé, tout le monde peut s'y connecter !
Sauf que pour assurer une bonne sécurité, la clé SSH est chiffrée par
une passphrase qui est demandée pour la débloquer...
--
Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
À (at) Wed, 13 Jul 2011 10:26:55 +0200, Che Averell écrivait (wrote):
Paul Gaborit écrit :
Quelle est la (sûrement mauvaise) raison invoquée pour cette demande plutôt surprenante ?
Je parie pour l'excuse habituelle : les développeurs ne connaissent pas unix, alors arrêtez de les faire chier avec un barbarisme que personne comprend.
De quel barbarisme spécifique Unix parlez-vous ? Ni SVN ni SSH ne sont spécifiques à Unix.
Ou, même encore : si ça ne demande pas de mdp, ce n'est pas sécurisé, tout le monde peut s'y connecter !
Sauf que pour assurer une bonne sécurité, la clé SSH est chiffrée par une passphrase qui est demandée pour la débloquer...
-- Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
Mihamina Rakotomandimby (R12y)
On Wed, 13 Jul 2011 11:35:33 +0200, Erwan David wrote:
Mais la, pas le droit aux paires de cles, password obligatoire.
Quelle est la (s?rement mauvaise) raison invoqu?e pour cette demande plut?t surprenante ?
les developpeurs sont en Chine.
Et ?
Réponse A) en Chine les mot de passes sont obligatoires Réponse B) on ne sait pas si il y a des tutorial pour générer les clés écris en mandarin Réponse C) ssh-keygen est interdit en chine Réponse D) Je passe
On Wed, 13 Jul 2011 11:35:33 +0200, Erwan David wrote:
Mais la, pas le droit aux paires de cles, password obligatoire.
Quelle est la (s?rement mauvaise) raison invoqu?e pour cette demande
plut?t surprenante ?
les developpeurs sont en Chine.
Et ?
Réponse A) en Chine les mot de passes sont obligatoires
Réponse B) on ne sait pas si il y a des tutorial pour générer les clés
écris en mandarin
Réponse C) ssh-keygen est interdit en chine
Réponse D) Je passe
On Wed, 13 Jul 2011 11:35:33 +0200, Erwan David wrote:
Mais la, pas le droit aux paires de cles, password obligatoire.
Quelle est la (s?rement mauvaise) raison invoqu?e pour cette demande plut?t surprenante ?
les developpeurs sont en Chine.
Et ?
Réponse A) en Chine les mot de passes sont obligatoires Réponse B) on ne sait pas si il y a des tutorial pour générer les clés écris en mandarin Réponse C) ssh-keygen est interdit en chine Réponse D) Je passe
Emmanuel Florac
Le Wed, 13 Jul 2011 11:49:22 +0200, Che Averell a écrit:
Oui, clairement. Mais on va répondre qu'on ne va pas payer un certificat pour ça
Il existe des certificats gratuits. Je dis ça, je dis rien. cacert.org, par exemple.
-- A thing of beauty is a joy forever. J. Keats.
Ah! Singe débotté, hisse un jouet fort et vert! Marcel Bénabou.
Le Wed, 13 Jul 2011 11:49:22 +0200, Che Averell a écrit:
Oui, clairement. Mais on va répondre qu'on ne va pas payer un certificat
pour ça
Il existe des certificats gratuits. Je dis ça, je dis rien. cacert.org,
par exemple.
--
A thing of beauty is a joy forever.
J. Keats.
Ah! Singe débotté, hisse un jouet fort et vert!
Marcel Bénabou.
Le Wed, 13 Jul 2011 11:49:22 +0200, Che Averell a écrit:
Oui, clairement. Mais on va répondre qu'on ne va pas payer un certificat pour ça
Il existe des certificats gratuits. Je dis ça, je dis rien. cacert.org, par exemple.
-- A thing of beauty is a joy forever. J. Keats.
Ah! Singe débotté, hisse un jouet fort et vert! Marcel Bénabou.
Fabien LE LEZ
On Wed, 13 Jul 2011 13:55:51 +0200, Paul Gaborit :
De quel barbarisme spécifique Unix parlez-vous ? Ni SVN ni SSH ne sont spécifiques à Unix.
Certes. Mais SSH est très très courant dans le monde Linux, et rare dans le monde Windows. Ce qui est logique, d'ailleurs : SSH signifie "secure shell", et le shell, sous Windows, c'est très limité. (Je crois que Powershell améliore considérablement les choses, mais il est récent.)
En fait, hors Cygwin, je n'ai pas encore vu de serveur SSH sur une machine Windows.
On Wed, 13 Jul 2011 13:55:51 +0200, Paul Gaborit
<Paul.Gaborit@invalid.invalid>:
De quel barbarisme spécifique Unix parlez-vous ? Ni SVN ni SSH ne sont
spécifiques à Unix.
Certes. Mais SSH est très très courant dans le monde Linux, et rare
dans le monde Windows. Ce qui est logique, d'ailleurs : SSH signifie
"secure shell", et le shell, sous Windows, c'est très limité. (Je
crois que Powershell améliore considérablement les choses, mais il est
récent.)
En fait, hors Cygwin, je n'ai pas encore vu de serveur SSH sur une
machine Windows.
On Wed, 13 Jul 2011 13:55:51 +0200, Paul Gaborit :
De quel barbarisme spécifique Unix parlez-vous ? Ni SVN ni SSH ne sont spécifiques à Unix.
Certes. Mais SSH est très très courant dans le monde Linux, et rare dans le monde Windows. Ce qui est logique, d'ailleurs : SSH signifie "secure shell", et le shell, sous Windows, c'est très limité. (Je crois que Powershell améliore considérablement les choses, mais il est récent.)
En fait, hors Cygwin, je n'ai pas encore vu de serveur SSH sur une machine Windows.
Mais la, pas le droit aux paires de cles, password obligatoire.
Quelle est la (s?rement mauvaise) raison invoqu?e pour cette demande plut?t surprenante ?
les developpeurs sont en Chine.
Et ?
Et rien.
Mon chef (en fait le chef de mon chef) me dit de creer ces comptes et que pas de paires de cles. C'est tout. Apres, si c'est du a une vraie contrainte elgale ou technique, ou si c'est sa tantine qui lui as dit ca, moi j'en sais rien.
Merci a tout ceux qui ont repondu, j'ai de quoi faire maintenant.
Le gag de demande multiple de password (deja vu avec svn en lignes de commande) ne se pose pas ici, les dev utilisant eclipse qui memorise le pass.
On 2011-07-13, Erwan David <erwan@rail.eu.org> wrote:
Curious George <cg@nowhere.invalid> ?crivait?:
On 2011-07-12, Paul Gaborit <Paul.Gaborit@invalid.invalid> wrote:
Mais la, pas le droit aux paires de cles, password obligatoire.
Quelle est la (s?rement mauvaise) raison invoqu?e pour cette demande
plut?t surprenante ?
les developpeurs sont en Chine.
Et ?
Et rien.
Mon chef (en fait le chef de mon chef) me dit de creer ces comptes et que
pas de paires de cles. C'est tout. Apres, si c'est du a une vraie contrainte
elgale ou technique, ou si c'est sa tantine qui lui as dit ca, moi j'en sais
rien.
Merci a tout ceux qui ont repondu, j'ai de quoi faire maintenant.
Le gag de demande multiple de password (deja vu avec svn en lignes de commande)
ne se pose pas ici, les dev utilisant eclipse qui memorise le pass.
Mais la, pas le droit aux paires de cles, password obligatoire.
Quelle est la (s?rement mauvaise) raison invoqu?e pour cette demande plut?t surprenante ?
les developpeurs sont en Chine.
Et ?
Et rien.
Mon chef (en fait le chef de mon chef) me dit de creer ces comptes et que pas de paires de cles. C'est tout. Apres, si c'est du a une vraie contrainte elgale ou technique, ou si c'est sa tantine qui lui as dit ca, moi j'en sais rien.
Merci a tout ceux qui ont repondu, j'ai de quoi faire maintenant.
Le gag de demande multiple de password (deja vu avec svn en lignes de commande) ne se pose pas ici, les dev utilisant eclipse qui memorise le pass.
