Utilisation de clefs et raccourcis dans ssh

Trucs et Astuces
#21

Au fait, on est pas obligé d’appeler le fichier authorized_keys, on peut très bien l’appeler authorized_keys2 si on veut.

Ensuite quant à l’utilisation de clefs sans passphrase je n’aime pas trop, du coup je conseille d’utilisé ssh-agent conjointement. Le mot de passe n’est demandé qu’une seule fois par session.

Et puis pour la sécurité SSH je proposerais … non je m’arrête :p! c’est hors thread.

#22

Tu sais Franck, je suis ammené à «gérer» un jury de 90-100 personnes et, à coté de ça, dest profs et élèves. Je me suis aperçu que, si on veut une sécurité, il faut

  1. Que ça soit facile pour l’utilisateur: Demander à des gens de crypter des mails est trop dur (avec Outlook) => création d’un site avec cryptage/décryptage à la volée.
  2. Demander aux gens d’utiliser un mot de passe non trivial entraine immédiatement le fait que celui ci est marqué sur un papier et que ce papier est immanquablement oublié près d’une machine sur laquelle peuvent composer des candidats.
  3. Exiger un stockage crypté entraine immanquablement la possession de clef USB ou de portable avec les documents en clair dessus car «c’est trop compliqué ce système».

Donc un système sécurisé est un système qu’un boeuf récalcitrant utilisera quand même malgré sa mauvaise volonté car ça ne lui complique pas trop la vie.

#23

C’est qui Franck ?

#24

Oups… thialme, dsl :frowning:

#25

Je n’ai pas de peine à te croire. Déjà avec une vingtaine de personnes je me rends compte, qu’il faut tout faire pour leur faciliter la vie :p!

#26

Ben dans le genre “qui utilise une clé” (pour faire semblant de rester dans le sujet), comme je ne sais pas ou signaler cet article rigolo:
debianhelp.org/node/1116
Dans le genre “sécurité à un coût acceptable”.

#27

bon je suis retomber sur le même problème sauf que cette foit j’ai pus trouver la cause!
il faut un 0700 sur le répertoire de l’utilisateur, enfin c est celui qui a fait que :unamused:

#28

[quote=“fran.b”]Lui donner un nom par exemple labas:

Enter file in which to save the key (/home/francois/.ssh/id_dsa): ~/.ssh/labas [/quote]
Ça ne fonctionne pas (plus ?) tel quel, il faut soit donner le chemin complet sans ~ soit juste le nom de la clef.

#29

je propose qu’il sois ajouter a ce tuto le port knocking , sa ferai d’une pièrre 2 coup, bon je ne connai pas ce type de methode, m’enfin je me dit que pour securiser ssh a part déplacer le le port par default le faite d’utiliser le port knocking serai une plus ?

fr.wikipedia.org/wiki/Port_knocking

#30

Salut Panthere,
Propose ça à François quand il sera rentré car le tuto est de lui, donc autant que ce soit le même auteur qui le mette à jour.

#31

ok il rentre quand aux juste ?
mai c est pas notifier a fran.b par mail, si je poste ici ?

#32

Ben il est parti SANS ordi, d’après ses propres dires :smiley:
Je pense qu’il en a encore pour une ou deux semaines.

#33

[quote=“panthere”]je propose qu’il sois ajouter a ce tuto le port knocking , sa ferai d’une pièrre 2 coup, bon je ne connai pas ce type de methode, m’enfin je me dit que pour securiser ssh a part déplacer le le port par default le faite d’utiliser le port knocking serai une plus ?

fr.wikipedia.org/wiki/Port_knocking[/quote]
Quel est le rapport ?

Ce fils parle d’utilisation de clefs pour se connecter en SSH.

#34

[quote=“MisterFreez”][quote=“panthere”]je propose qu’il sois ajouter a ce tuto le port knocking , sa ferai d’une pièrre 2 coup, bon je ne connai pas ce type de methode, m’enfin je me dit que pour securiser ssh a part déplacer le le port par default le faite d’utiliser le port knocking serai une plus ?

fr.wikipedia.org/wiki/Port_knocking[/quote]
Quel est le rapport ?

Ce fils parle d’utilisation de clefs pour se connecter en SSH.[/quote]
ta clef ser a rien avec le port knoking voila le rapport :slight_smile:
il faut donc amha adapter cette possibilité a ce tips :006

#35

Tu parle d’utiliser le même mécanisme au port knocking ? C’est possible ?
Si c’est pas le même mécanisme je pense qu’il serait plus logique de faire le contraire : dans un tuto sur le port knocking mettre expliquer comment pouvoir utiliser une paire de clef. Mais j’ai l’impression que ça ne coïncide pas une seule commande : tu frappe à la porte et en suite tu utilise ton .ssh/config pour te connecter de manière identique à ce qui est déjà présenté. Peut être que belier fait du port knocking sur demande mais je suis pas sur.

#36

[quote=“MisterFreez”]Tu parle d’utiliser le même mécanisme au port knocking ? C’est possible ?
Si c’est pas le même mécanisme je pense qu’il serait plus logique de faire le contraire : dans un tuto sur le port knocking mettre expliquer comment pouvoir utiliser une paire de clef. Mais j’ai l’impression que ça ne coïncide pas une seule commande : tu frappe à la porte et en suite tu utilise ton .ssh/config pour te connecter de manière identique à ce qui est déjà présenté. Peut être que belier fait du port knocking sur demande mais je suis pas sur.[/quote]
oui le même mécanisme :slight_smile:
ben si c est possible pourquoi s’en priver :wink:

je trouve compliquer de toujours tout séparer quand il s’agit en fait de la meme chose a savoir
ce connecter sur son serveur…
en une commande on doit bien pouvoir faire les deux :033

#37

[quote=“panthere”][quote=“MisterFreez”]Tu parle d’utiliser le même mécanisme au port knocking ? C’est possible ?
Si c’est pas le même mécanisme je pense qu’il serait plus logique de faire le contraire : dans un tuto sur le port knocking mettre expliquer comment pouvoir utiliser une paire de clef. Mais j’ai l’impression que ça ne coïncide pas une seule commande : tu frappe à la porte et en suite tu utilise ton .ssh/config pour te connecter de manière identique à ce qui est déjà présenté. Peut être que belier fait du port knocking sur demande mais je suis pas sur.[/quote]
oui le même mécanisme :slight_smile:
ben si c est possible pourquoi s’en priver :wink:

je trouve compliquer de toujours tout séparer quand il s’agit en fait de la meme chose a savoir
ce connecter sur son serveur…
en une commande on doit bien pouvoir faire les deux :033 [/quote]
Le port knocking est géré par le firewall je crois ou en tout cas par autre chose que ssh lui même. Donc le mếcanisme inclut dans ssh ne te seras pas d’une grande aide. Donc si c’est pour donner un script qui lance deux commandes basiques j’ai du mal à voir l’intérêt.

J’ai rapidement fait le tour belier ne permet pas cela. Je vais faire un bout de recherche supplémentaire d’ici demain pour voir comment faire (je ne pourrais pas tester par contre).

#38

certe coter serveur sa serai hors sujet(quoi que…) mai pour le coter client je trouve que sa rejoins le topics de base . 2 script peut etre mai si l’un appelle l’autre ça reste une commande. donc sa serai bénéfique pour les utilisateur client.

je peux faire les testea aux besoin 8)

#39

Attention c’est ultra complexe :

[code]#!/bin/sh

en TCP

knock $1 port1 port2 port3

en UDP

#knock $1 port1 port2 port3

mixte

#knock -u $1 port1:tcp port2:udp port3:udp

ssh $1[/code]

Bien sur faut adapter les ports dans le script, ensuite tu utilise ainsi :

#40

Tu as essayé ?