SSHFS : Une alerte est manquante sur l'état des droits de clé privée

To: Liste Debian <debian-user-french@lists.debian.org>
Subject: SSHFS : Une alerte est manquante sur l'état des droits de clé privée
From: G2PC <g2pc@visionduweb.com>
Date: Mon, 8 Jul 2019 19:22:09 +0200
Message-id: <[🔎] 38a311d6-babd-1e18-0af7-e1bd0ba6e21d@visionduweb.com>

Avis aux développeurs de paquets, pour corriger le bogue suivant, ouvert sur le Github officiel du paquet SSHFS.

Je suis probablement mauvais, mais je crée mes clés privées sur le serveur, après une première connexion avec un simple mot de passe.
Une fois cela fait, je copie le contenu de mes clés sur la machine locale.
Pour cela, je suis en mode graphique et je crée deux fichiers sur ma machine: id_rsa_private et id_rsa.pub qui ont, par défaut, les droits 664.

Je remarque le message d'alerte suivant, avec SSH, lorsque je souhaite me connecter avec mon utilisateur local simple, à l'aide de la clé privée:

ssh USER@SERVEUR -i /home/USERLOCAL/.ssh/SERVEUR/id_rsa_private

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
WARNING: UNPROTECTED PRIVATE KEY FILE!
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0664 for '/home/USERLOCAL/.ssh/SERVEUR/id_rsa_private' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.

On note ici la traduction de l'anglais vers le français : This private key will be ignored. -> La clé privée est ignorée !

Avec ça, je comprends mieux!
J'ai identifié ce qui ressemble à un bogue, ou plutôt à un manque de précision, sur SSHFS, mais, cela me semble important.

sshfs -o allow_other, IdentityFile = / home / USERLOCAL / .ssh / SERVEUR / id_rsa_private USERSERVEUR @ SERVEUR: / home / USERSERVEUR / FOLDER / home / USERLOCAL / FOLDER

Si l'utilisateur qui se connecte est l'utilisateur root de la machine locale, la phrase secrète est requise lors du montage de dossiers partagés.

Si l'utilisateur qui se connecte est un simple utilisateur de la machine locale, le mot de passe de l'utilisateur sur le SERVEUR est demandé lors du montage des dossiers partagés.
Attention ! Ce n'est pas le comportement normal! Si la clé privée qui est copiée localement a les droits, 600, c'est la phrase secrète qui sera demandée. C'est ce que nous voulons !

Donc, ici, SSHFS ne nous informe pas de la présence de la clé, qui possède de mauvais droits, tout comme le fait SSH, lors d’une connexion en tant que simple utilisateur local.
Pourtant, le comportement semble identique ! SSHFS va ignorer la clé privée ! OUTCH :/

Je pense vraiment que SSHFS devrait être capable de mettre en garde sur le problème des droits appliqués à la clé privée, de la même manière que le fait déjà SSH.

https://github.com/libfuse/sshfs/issues/180

Reply to:

Follow-Ups:
- Re: SSHFS : Une alerte est manquante sur l'état des droits de clé privée
  - From: Daniel Caillibaud <ml@lairdutemps.org>

Prev by Date: Re: Re : Lumière bleue des moniteurs led ?
Next by Date: Re : Re : Lumière bleue des moniteurs led ?
Previous by thread: Re: configuration du serveur smtp.gmail.com
Next by thread: Re: SSHFS : Une alerte est manquante sur l'état des droits de clé privée
Index(es):
- Date
- Thread