[Linux-bruxelles] login par clé rsa, sauf en local

[Aldo]

Yo Nicolas: 

On Fri, Mar 05, 2010 at 06:47:01PM +0100, Nicolas Jungers wrote:
> On 03/05/2010 06:15 PM, Aldo wrote:
> > Hello,
> >
> > en mettant dans  /etc/ssh/sshd_config  la ligne suivante activée,
> > 	PasswordAuthentication no
> >
> > j'ai augmenté la sécu de ma machine vu de l'extérieur, vu que pour s'y loguer
> 
> Peut-être. Si ton mot de passe était non-trivial et non-révélé (ç.-à-d. 
> utilisé ailleurs), alors non. 

Mon mdp ne fais ni 3 ni 360 chars si c ça que tu veux dire!
et il n'est pas révélé, sauf que j'utilise le même sur  qqs systèmes
installés.

>Tu est passé d'une configuration sure à 
> une configuration sure (si ta clef n'est pas triviale - cf. le bug 
> Debian sur le sujet - et que tu ne laisse pas traîner ta clef privée 
> partout, ou seulement verrouillée avec un *très* bon mot de passe car 
> elle est alors susceptible d'attaques hors ligne). Désolé Aldo, il n'y a 
> pas de solution magique, juste de l'attention à tous les détails.

Oui c ce que je cherche à faire en posant la question. L'utilisation a l'air
plus simple pour moi que la compréhension de son modus operandi! 

> > il *faut* impérativement sa clé ssh rsa (cf. ~/.ssh/authorized_keys sur le
> > compte de x sur mon ordi).
> >
> > Mais comment gérer cela entre PCs locaux d'un même réseau ?
> > ici je rencontre quelques problèmes ... :
> >
> > par exemple si je veux faire un  scp  à partir du PC de ma compagne sans
> > devoir faire ce même  scp  à partir de mon PC vers le sien,
> > comment arranger ça ? pour l'instant ça n'est plus possible, ou alors juste
> > de mon ordi vers le sien,
> >
> > mais un ssh depuis son ordi vers le mien ne veut plus le faire...
> >
> > Dois-je copier mes deux id_rsa* dans son ~/.ssh/ ?
> 
> Deux ? La clef que tu as créé pour se loger sur ta machine est 
> suffisante pour se loger sur ta machine. Pourquoi en as-tu deux ? 

J'en ai pas deux,
y a deux id_rsa*
mais je sais bien que l'on parle de paire, et qu'en fait c'est d'une paire
que je parlais, pas de deux clefs/paires.

>Quand 
> tu vas dans l'autre sens ta situation est symétrique (clef privée <-> 
> clef publique). Tu peux réutiliser la même clef. Tu exposes juste ta 
> clef privée sur deux ordinateurs (le tiens et celui de ta compagne) 
> plutôt qu'un seul (le tiens). 

Donc je dois bien cp id_rsa* (la paire) vers le ~/.ssh de son ordi
pour que quand je vais dans l'autre sens, cad scp à partir de son ordi, il
puisse m'autoriser à cp de/vers mon ordi ?

>Si ta compagne est prudente ou que ton 
> verrou est bon, ça va.

On a pas accès à son pc depuis l'extérieur... en tout cas pas par ssh /
grâce à un ddclient.  

> > Ou peut-on régler dans sshd_config pour que en local la méthode soit
> > toujours celle du login avec username et mdp ?
> > et que seul depuis l'extérieur on doive avoir une clé rsa ?
> 
> Rien à ce que je sache (mais va voir pour confirmation). Par contre tu 
> peux avoir deux démons ssh sur deux ports différents: 10022 à 
> l'extérieur et 22 pour l'intérieur, ou sur le port 22 pour les deux mais 
> sur des interfaces différentes.

J'ai eu des problèmes avec ça:
sous le nouveau Belkin dans Firewall -> Virtual Server, si je mettais dans 
Porte Entrente 10022 et Porte Privée 22, ça ne marchait pas de l'extérieur,
idem pour l'inverse;

alors j'ai mis 22 partout et là ça va,

mais du coup j'ai voulu sécuriser un peu plus, car le port 22 est bien connu
des hackeurs et j'ai pas trop envie de leur mettre l'eau à la bouche .....
notes qu'il y a rien d'intéressant à trouver sur mon ordi ... aucun trésor
en tout cas!

> > A vous de me dire ce qui est le plus simple, cohérent et sécure bien
> > entendu.
> 
> Perso, je n'utilise que des clefs (avec des verrous qui pourrait être 
> plus solide) que je ne sors jamais de ma machine. Je n'ai donc pas une 
> sécurité physique extraordinaire, mais franchement, ce n'est pas de ça 
> dont je me protège. J'utilise la même clef sur toutes (2) mes machines 
> de contrôle d'un même réseau.

OK, mais confirmes-moi si j'ai bien à copier la pare sur les machines
locales auxquelles je veux accéder ou desquelles je veux accéder vers ma
machine x ou y ou z !

A+

Aldo.