Re: Conseils sur la sécurisation de ses accès par SSH
Je rejoins Grégory
1 machine 1 jeu de clé.
C'est à dire que chaque serveur à sa clé, mais aussi chaque client (pc
perso, boulot et smartphone)
Pour résumé, j'ai 3 jeux de clés par machine qui nécessite une connexion ssh.
Si 2 machines peuvent communiquer entre elles, elles ont aussi leurs
jeu de clés.
Le tout avec des passphrases différentes.
J'ai supprimé les accès root
Et bien sur le port 22 est changé.
Pour finir un fw
Si un jour je perds le tout, le temps de casser les clés une à une,
j'aurais le temps de révoquer le tout.
Mon seul souci retenir les passphrases....
Après est ce la bonne méthode, je ne sais pas, mais elle me parait correct.
si on regarde ce que fait OVH pour les maintenances. ils sont loin de
s'embêter avec ça.
Ils ont 1 clé pour tous les serveurs, avec un accès root sur le port 22.
--
David DEMONCHY
@fusco_fr
Le 9 avril 2016 à 11:38, Grégory Reinbold <gregory@nosheep.fr> a écrit :
> La réponse à ta question réside dans ta réponse.
>
> Tout est question de choix, de confort, de praticité et de connaissance.
>
> Je ne suis pas un expert en sécurité et je ne prétend pas l'être. Mon niveau
> de connaissance dans ce domaine est limité, mais me semble suffisant pour
> limiter le risque.
>
> Ma remarque porte sur le sujet d'avoir 2 ou 3 clés publiques pour TOUTES les
> machines. Exemple tu gères un parc de 80 machines avec 2 ou 3 clés sur un
> support USB, portable, CD ou ce que tu veux.
>
> Si par malheur tu perds ce support contenant ces clés, tu perds les clés
> d'accès à TOUT ton parc. En d'autres termes, c'est comme si tu avais 10
> résidences secondaires et que tu conserves les clés de TOUTES tes résidences
> sur le même trousseau. Cela ne t'effraye pas ?
>
> C'est tout :)
>
>
> Le 08/04/2016 15:57, Olivier a écrit :
>
>
>
> Le 8 avril 2016 à 14:59, Grégory Reinbold <gregory@nosheep.fr> a écrit :
>>
>> Oui et si tu venais à perdre cette clé USB ? Toutes tes machines sont
>> menacées par tes deux seules clés :)
>>
>> A méditer...
>
>
> Je ne suis pas sûr d'avoir compris cette remarque.
>
> Pour ma part, je pensais copier 2 ou 3 clés publiques (toujours les mêmes)
> sur tous les machines distantes et d'avoir au moins 2 moyens d'accès (mon
> smartphone et un PC avec sa clé USB)
>
>
>>
>>
>>
>> Le 08/04/2016 13:58, andre_debian@numericable.fr a écrit :
>>>
>>> On Friday 08 April 2016 11:20:41 Grégory Reinbold wrote:
>>>>
>>>> Pour ce qui est des clés ssh à usages multiples (sur plusieurs
>>>> machines), personnellement j'évite. Pour chaque nouvelle machine qui
>>>> entre dans mon scope, je créé une nouvelle clé qui lui ai dédié.
>>>> Inconvénient : en fonction du parc, tu peux te retrouver avec un grand
>>>> nombre de clés, il faut donc veiller à bien les nommer et à laisser un
>>>> commentaire pertinent pour identfiier rapidement la machine concernée
>>>> [ex. : (domaine).hostname.user]
>>>> Avantage : clé perdue, dérobée ou vérolée ? pas de souci, cela n'expose
>>>> qu'une machine au maximum et il me suffit de supprimer la clé publique
>>>> correspondante dans le fichier authorized_keys
>>>> Si ça peut t'aider
>>>
>>> Les connexions SSH avec clés publique et privées, restent très
>>> sécurisées,
>>> qui peut se procurer les deux clés, sauf si on a perdu la clé USB les
>>> contenant.
>>> Il faut modifier l'éternel port 22 par un autre,
>>> n'autoriser qu'une à deux personnes à se connecter au serveur,
>>> n'autoriser que la connexion par clés,
>>> ne pas autoriser le login root...
>>> Dès lors, on peut dormir tranquille.
>>>
>>> André
>>>
>>
>> --
>> Grégory Reinbold
>>
>
>
> --
> Grégory Reinbold
Reply to: