[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Conseils sur la sécurisation de ses accès par SSH

La réponse à ta question réside dans ta réponse.

Tout est question de choix, de confort, de praticité et de connaissance.

Je ne suis pas un expert en sécurité et je ne prétend pas l'être. Mon niveau de connaissance dans ce domaine est limité, mais me semble suffisant pour limiter le risque.

Ma remarque porte sur le sujet d'avoir 2 ou 3 clés publiques pour TOUTES les machines. Exemple tu gères un parc de 80 machines avec 2 ou 3 clés sur un support USB, portable, CD ou ce que tu veux.

Si par malheur tu perds ce support contenant ces clés, tu perds les clés d'accès à TOUT ton parc. En d'autres termes, c'est comme si tu avais 10 résidences secondaires et que tu conserves les clés de TOUTES tes résidences sur le même trousseau. Cela ne t'effraye pas ?

C'est tout :)

Le 08/04/2016 15:57, Olivier a écrit :


Le 8 avril 2016 à 14:59, Grégory Reinbold <gregory@nosheep.fr> a écrit :
Oui et si tu venais à perdre cette clé USB ? Toutes tes machines sont menacées par tes deux seules clés :)

A méditer...

Je ne suis pas sûr d'avoir compris cette remarque.

Pour ma part, je pensais copier 2 ou 3 clés publiques (toujours les mêmes) sur tous les machines distantes et d'avoir au moins 2 moyens d'accès (mon smartphone et un PC avec sa clé USB)

 


Le 08/04/2016 13:58, andre_debian@numericable.fr a écrit :
On Friday 08 April 2016 11:20:41 Grégory Reinbold wrote:
Pour ce qui est des clés ssh à usages multiples (sur plusieurs
machines), personnellement j'évite. Pour chaque nouvelle machine qui
entre dans mon scope, je créé une nouvelle clé qui lui ai dédié.
Inconvénient : en fonction du parc, tu peux te retrouver avec un grand
nombre de clés, il faut donc veiller à bien les nommer et à laisser un
commentaire pertinent pour identfiier rapidement la machine concernée
[ex. : (domaine).hostname.user]
Avantage : clé perdue, dérobée ou vérolée ? pas de souci, cela n'expose
qu'une machine au maximum et il me suffit de supprimer la clé publique
correspondante dans le fichier authorized_keys
Si ça peut t'aider
Les connexions SSH avec clés publique et privées, restent très sécurisées,
qui peut se procurer les deux clés, sauf si on a perdu la clé USB les
contenant.
Il faut modifier l'éternel port 22 par un autre,
n'autoriser qu'une à deux personnes à se connecter au serveur,
n'autoriser que la connexion par clés,
ne pas autoriser le login root...
Dès lors, on peut dormir tranquille.

André


--
Grégory Reinbold



-- 
Grégory Reinbold
Reply to: