View previous topic :: View next topic |
Author |
Message |
obpt n00b
Joined: 25 Sep 2007 Posts: 9 Location: Suisse
|
Posted: Sun Mar 23, 2008 8:01 pm Post subject: [FreeNX/ssh] Dilemme sécuritaire |
|
|
Bonjour,
Voilà, j'ai un serveur ssh qui n'accepte pas les connexions avec mots de passe. Tout se passait bien dans le meilleur des mondes jusqu'à ce que je me décide à expérimenter les joies de FreeNX: il n'est apparemment pas possible d'ouvrir une session avec un système de clé ssh.
Ma question est la suivante: si je veux utiliser FreeNX et que je ne veux pas trop compromettre la sécurité, devrais-je plutôt réactiver l'authentification par mot de passe du serveur ssh ou plutôt utiliser le système d'authentification fourni par FreeNX?
Je sais bien que je risque pas grand chose avec un bon mot de passe. Mais je me demande quand même qu'elle est la méthode la plus sûre.
Merci pour vos lumières! |
|
Back to top |
|
|
gbetous l33t
Joined: 15 Jan 2004 Posts: 679 Location: Toulouse
|
|
Back to top |
|
|
obpt n00b
Joined: 25 Sep 2007 Posts: 9 Location: Suisse
|
Posted: Mon Mar 24, 2008 2:11 pm Post subject: |
|
|
Merci pour ton lien!
Malheureusement la méthode proposée n'a l'air de fonctionner qu'avec des clés sans passphrase. (J'ai eu un message d'erreur me disait que ma clé utilisait une passphrase.) Et pour moi, c'est un peu bloquant: admettons que je me crée une paire de clé sans mot de passe pour ma connexion NX et que je dépose une autre paire de clé (toujours sans mot de passe) sur mon ordi distant pour l'authentification interne. Si quelqu'un arrive à me prendre la première clé, il aura directement accès à mon compte sur la machine distante (et de manière super confortable en plus! )
Donc, pour l'instant, j'ai créé une paire de clé pour la connexion NX et j'utilise le système d'authentification FreeNX. De cette manière, si la clé privée tombe, l'éventuel intrus devra encore se taper une recherche de mot de passe.
J'ai bon ou je viens d'ouvrir une énorme faille dans mon système? |
|
Back to top |
|
|
zyprexa Apprentice
Joined: 26 Dec 2004 Posts: 180
|
Posted: Mon Mar 24, 2008 3:14 pm Post subject: |
|
|
Bonjour,
Pour peaufiner, tu peux encore faire bien d'autres choses.
Avec un filtrage limité à certains crénaux horaires, en changeant le port par défaut, ou encore en utilisant fail2ban et/ou knockd.
Ces techniques permettent pour certaines de compliquer la tâche au petit malin qui parviendrait malgré tout à mettre la main sur ta clé. _________________ enjoy |
|
Back to top |
|
|
gbetous l33t
Joined: 15 Jan 2004 Posts: 679 Location: Toulouse
|
Posted: Mon Mar 24, 2008 3:14 pm Post subject: |
|
|
obpt wrote: | Malheureusement la méthode proposée n'a l'air de fonctionner qu'avec des clés sans passphrase. (J'ai eu un message d'erreur me disait que ma clé utilisait une passphrase.) Et pour moi, c'est un peu bloquant |
Désolé, j'en sais pas plus _________________ Core2Quad Q6600
ASUS P5B-V (i965 video intégrée)
~amd64 / KDE
|
|
Back to top |
|
|
geekounet Bodhisattva
Joined: 11 Oct 2004 Posts: 3772 Location: Wellington, Aotearoa
|
Posted: Mon Mar 24, 2008 5:17 pm Post subject: |
|
|
Suffit d'utiliser ssh-agent, voire keychain, pour stocker les passphrases |
|
Back to top |
|
|
Temet Advocate
Joined: 14 Mar 2006 Posts: 2586 Location: 92
|
Posted: Fri Apr 04, 2008 2:46 pm Post subject: |
|
|
Cool, j'ai pu re-virer l'auth par mots de passe pour Nx!! \o/ _________________ Full Gentoo powered. |
|
Back to top |
|
|
|