Kevin Hinault wrote:
Bonjour tout le monde, Je viens de tomber sur un point étrange et je me demandais si c'est normal. J'ai deux comportement différents entre deux pc différents : l'un est sous Debian Etch et l'autre sous Mandriva 2008.1 Je voulais mettre sur les deux PC dans ~/.ssh/authorized_keys une clé publique RSA généré avec ssh-keygen par un 3e PC. La dessus aucun problème ça marche bien et je me connecte sans problème sur les deux. Mais j'ai remarqué une petite différence : Le pc Mandriva n'accepte de vérifier les clés dans authorized_keys que si les droits du repertoire .ssh sont restreint à 600. Le pc Debian accepte les clés dans authorized_keys quelque soit les droits sur .ssh : ca peut aussi bien être 777 qu'il s'en tape.
certains pensent que .ssh n'a aucune raison d'être visité par les "autres". d'autres pensent que ça n'a acune importance.
l'argument des premiers est qu'il ne faut pas simplifier la tache à un attaquant en lui montrant quelles clefs lui permettraient de rentrer. mais bon, la clef peut très bien être copiée ailleurs (elle pourrait être dans /var/www/*/index.html). et la clef privée est souvent sur un PC pas vraiment super protégé.
pour éviter tous les problèmes de compatibilité, mieux vaut mettre .ssh. en mode "og=".
Les confs sont les mêmes, seul la version de OpenSSH est différente : Mandriva : OpenSSH_4.7p1, OpenSSL 0.9.8f 11 Oct 2007 Debian : OpenSSH_4.3p2 Debian-9etch3, OpenSSL 0.9.8c 05 Sep 2006 Est ce normal ? Mon OpenSSH est trop vieux ?
trop vieux? je suis pas sûr. ayant utilisé plusieurs OS pour ça, j'ai l'impression que l'age ne fait rien à la chose.
Mandriva plus securisée que Debian ? (hahaha)
et alors? la sécurité n'est pas une "relation d'ordre total". et en plus, ce n'est pas un but en soi. je préfère encore XP à Vista;-p