[Linux-bruxelles] login par clé rsa, sauf en local
Nicolas Jungers
nicolas at jungers.net
Ven 5 Mar 18:47:01 CET 2010
On 03/05/2010 06:15 PM, Aldo wrote:
> Hello,
>
> en mettant dans /etc/ssh/sshd_config la ligne suivante activée,
> PasswordAuthentication no
>
> j'ai augmenté la sécu de ma machine vu de l'extérieur, vu que pour s'y loguer
Peut-être. Si ton mot de passe était non-trivial et non-révélé (ç.-à-d.
utilisé ailleurs), alors non. Tu est passé d'une configuration sure à
une configuration sure (si ta clef n'est pas triviale - cf. le bug
Debian sur le sujet - et que tu ne laisse pas traîner ta clef privée
partout, ou seulement verrouillée avec un *très* bon mot de passe car
elle est alors susceptible d'attaques hors ligne). Désolé Aldo, il n'y a
pas de solution magique, juste de l'attention à tous les détails.
> il *faut* impérativement sa clé ssh rsa (cf. ~/.ssh/authorized_keys sur le
> compte de x sur mon ordi).
>
> Mais comment gérer cela entre PCs locaux d'un même réseau ?
> ici je rencontre quelques problèmes ... :
>
> par exemple si je veux faire un scp à partir du PC de ma compagne sans
> devoir faire ce même scp à partir de mon PC vers le sien,
> comment arranger ça ? pour l'instant ça n'est plus possible, ou alors juste
> de mon ordi vers le sien,
>
> mais un ssh depuis son ordi vers le mien ne veut plus le faire...
>
> Dois-je copier mes deux id_rsa* dans son ~/.ssh/ ?
Deux ? La clef que tu as créé pour se loger sur ta machine est
suffisante pour se loger sur ta machine. Pourquoi en as-tu deux ? Quand
tu vas dans l'autre sens ta situation est symétrique (clef privée <->
clef publique). Tu peux réutiliser la même clef. Tu exposes juste ta
clef privée sur deux ordinateurs (le tiens et celui de ta compagne)
plutôt qu'un seul (le tiens). Si ta compagne est prudente ou que ton
verrou est bon, ça va.
> Ou peut-on régler dans sshd_config pour que en local la méthode soit
> toujours celle du login avec username et mdp ?
> et que seul depuis l'extérieur on doive avoir une clé rsa ?
Rien à ce que je sache (mais va voir pour confirmation). Par contre tu
peux avoir deux démons ssh sur deux ports différents: 10022 à
l'extérieur et 22 pour l'intérieur, ou sur le port 22 pour les deux mais
sur des interfaces différentes.
>
> A vous de me dire ce qui est le plus simple, cohérent et sécure bien
> entendu.
Perso, je n'utilise que des clefs (avec des verrous qui pourrait être
plus solide) que je ne sors jamais de ma machine. Je n'ai donc pas une
sécurité physique extraordinaire, mais franchement, ce n'est pas de ça
dont je me protège. J'utilise la même clef sur toutes (2) mes machines
de contrôle d'un même réseau.
N.
Plus d'informations sur la liste de diffusion Linux-bruxelles