Re: Conseils sur la sécurisation de ses accès par SSH

To: debian-user-french@lists.debian.org
Subject: Re: Conseils sur la sécurisation de ses accès par SSH
From: Francois Lafont <mathsattacks@free.fr>
Date: Sat, 9 Apr 2016 22:38:44 +0200
Message-id: <[🔎] nebp8l$9f2$1@ger.gmane.org>
In-reply-to: <[🔎] CANmayrO+jNbpTOfwPaeP1O-eX3UsVvZKnma8++mgVcDg5od9xw@mail.gmail.com>
References: <[🔎] CAPeT9jiujU6hCJCWzV2N+TtCMNFoT_Ezps98+p9hnAeEtfWetQ@mail.gmail.com> <[🔎] 570777E9.5000702@nosheep.fr> <[🔎] 201604081358.57518.andre_debian@numericable.fr> <[🔎] 5707AB20.8010907@nosheep.fr> <[🔎] CAPeT9jhKp+K5GorZ-04Z2MnagjA_Dz24Sh-bj8S1PVjSimmJSQ@mail.gmail.com> <[🔎] 5708CDAD.90405@nosheep.fr> <[🔎] CANmayrO+jNbpTOfwPaeP1O-eX3UsVvZKnma8++mgVcDg5od9xw@mail.gmail.com>

Bonsoir,

Perso, voici comment je fais. Je ne sais pas si bien comme il faut ou non. Si certains ont des remarques, je suis preneur bien sûr.

Sur les serveurs que j'administre, le mot de passe root existe mais il fait dans les ~30 caractères et je ne l'utilise jamais. De toute façon la connexion en tant que root via ssh est impossible (PermitRootLogin false). C'est juste un mot de passe spécial coup dur ;). Ensuite, tout passe par des paires de clés ssh. On va dire que j'ai globalement 2 machines (une chez moi et une à mon travail) avec chacun sa paire de clés ssh et les clés publiques sont déployées sur les serveurs au niveau de root et d'un compte flaf qui est sudo (je reviens sur ce point ci-dessous).

La chose qui me semble _absolument_ indispensable pour ce type de clés (ie utilisées par un humain, en l'occurrence moi-même, et pas dans un script non interactif), c'est une bonne passphrase sur chaque chaque clés privées. Pour ce type de clés, je pense que c'est vraiment imprudent de ne pas avoir de passphrase. Ensuite, avoir un agent ssh qui tourne sur sa machine de travail pour n'avoir à saisir la passphrase qu'une seule fois à chaque début de session me semble un _excellent_ compris entre sécurité et commodité.

Je sauvegarde quelque part au chaud mes 2 paires de clés ssh.

Enfin, et c'est un point important je pense, les clés publiques sur les serveurs sont déployées via un logiciel de gestionnaire de configuration (en l'occurrence Puppet). Si jamais je me fait piquer une paire de clés ssh, le temps que le pirate arrive à me casser la passphrase, je peux supprimer les clés publiques des serveurs et en redéployer une nouvelle en une dizaine de minutes.

Voilà.

--
François Lafont

Reply to:

Follow-Ups:
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: honeyshell <honeyshell@honeyshell.com>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Olivier <oza.4h07@gmail.com>

References:
- Conseils sur la sécurisation de ses accès par SSH
  - From: Olivier <oza.4h07@gmail.com>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Grégory Reinbold <gregory@nosheep.fr>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: andre_debian@numericable.fr
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Grégory Reinbold <gregory@nosheep.fr>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Olivier <oza.4h07@gmail.com>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Grégory Reinbold <gregory@nosheep.fr>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: David Demonchy <fusco.spv@gmail.com>

Prev by Date: Re: Conseils sur la sécurisation de ses accès par SSH
Next by Date: Re: Conseils sur la sécurisation de ses accès par SSH
Previous by thread: Re: Conseils sur la sécurisation de ses accès par SSH
Next by thread: Re: Conseils sur la sécurisation de ses accès par SSH
Index(es):
- Date
- Thread