| View previous topic :: View next topic |
| Author |
Message |
obpt
n00b
Joined: 25 Sep 2007
Posts: 9
Location: Suisse
|
 Posted: Sun Mar 23, 2008 8:01 pm Post subject: [FreeNX/ssh] Dilemme sécuritaire |
 |
|
Bonjour,
Voilà, j'ai un serveur ssh qui n'accepte pas les connexions avec mots de passe. Tout se passait bien dans le meilleur des mondes jusqu'à ce que je me décide à expérimenter les joies de FreeNX: il n'est apparemment pas possible d'ouvrir une session avec un système de clé ssh.
Ma question est la suivante: si je veux utiliser FreeNX et que je ne veux pas trop compromettre la sécurité, devrais-je plutôt réactiver l'authentification par mot de passe du serveur ssh ou plutôt utiliser le système d'authentification fourni par FreeNX?
Je sais bien que je risque pas grand chose avec un bon mot de passe. Mais je me demande quand même qu'elle est la méthode la plus sûre.
Merci pour vos lumières!  |
|
| Back to top |
|
 |
gbetous
l33t
Joined: 15 Jan 2004
Posts: 679
Location: Toulouse
|
|
| Back to top |
|
|
obpt
n00b
Joined: 25 Sep 2007
Posts: 9
Location: Suisse
|
| Posted: Mon Mar 24, 2008 2:11 pm Post subject: |
|
|
Merci pour ton lien! 
Malheureusement la méthode proposée n'a l'air de fonctionner qu'avec des clés sans passphrase. (J'ai eu un message d'erreur me disait que ma clé utilisait une passphrase.) Et pour moi, c'est un peu bloquant: admettons que je me crée une paire de clé sans mot de passe pour ma connexion NX et que je dépose une autre paire de clé (toujours sans mot de passe) sur mon ordi distant pour l'authentification interne. Si quelqu'un arrive à me prendre la première clé, il aura directement accès à mon compte sur la machine distante (et de manière super confortable en plus!  )
Donc, pour l'instant, j'ai créé une paire de clé pour la connexion NX et j'utilise le système d'authentification FreeNX. De cette manière, si la clé privée tombe, l'éventuel intrus devra encore se taper une recherche de mot de passe.
J'ai bon ou je viens d'ouvrir une énorme faille dans mon système?  |
|
| Back to top |
|
|
zyprexa
Apprentice
Joined: 26 Dec 2004
Posts: 180
|
| Posted: Mon Mar 24, 2008 3:14 pm Post subject: |
|
|
Bonjour,
Pour peaufiner, tu peux encore faire bien d'autres choses.
Avec un filtrage limité à certains crénaux horaires, en changeant le port par défaut, ou encore en utilisant fail2ban et/ou knockd.
Ces techniques permettent pour certaines de compliquer la tâche au petit malin qui parviendrait malgré tout à mettre la main sur ta clé.
_________________
enjoy |
|
| Back to top |
|
|
gbetous
l33t
Joined: 15 Jan 2004
Posts: 679
Location: Toulouse
|
| Posted: Mon Mar 24, 2008 3:14 pm Post subject: |
|
|
| obpt wrote: | | Malheureusement la méthode proposée n'a l'air de fonctionner qu'avec des clés sans passphrase. (J'ai eu un message d'erreur me disait que ma clé utilisait une passphrase.) Et pour moi, c'est un peu bloquant |
Désolé, j'en sais pas plus 
_________________
Core2Quad Q6600
ASUS P5B-V (i965 video intégrée)
~amd64 / KDE
|
|
| Back to top |
|
|
geekounet
Bodhisattva
Joined: 11 Oct 2004
Posts: 3772
Location: Wellington, Aotearoa
|
| Posted: Mon Mar 24, 2008 5:17 pm Post subject: |
|
|
| Suffit d'utiliser ssh-agent, voire keychain, pour stocker les passphrases |
|
| Back to top |
|
|
Temet
Advocate
Joined: 14 Mar 2006
Posts: 2586
Location: 92
|
| Posted: Fri Apr 04, 2008 2:46 pm Post subject: |
|
|
Cool, j'ai pu re-virer l'auth par mots de passe pour Nx!! \o/
_________________
Full Gentoo powered. |
|
| Back to top |
|
|
|
French
