Poster une réponse 
 
Note de cette discussion :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
[split] Gestion des clés SSH sur VHS
11-02-2020, 14:32:51 (Ce message a été modifié le : 12-02-2020 00:02:05 par bpe.)
Message : #1
[split] Gestion des clés SSH sur VHS
Bonjour

Dé-valider la mise à jour automatique c'est bien, mais il faudrait aussi dé-valider la prise de main à distance par VE avec son certificat

Dans /etc/ssh/sshd_config
mettre en commentaire "#" les lignes suivantes:

Code :
# HostKey /etc/ssh/ssh_host_ecdsa_key (serveur VE ?)
# HostKey /etc/ssh/ssh_host_ed25519_key (utilisateur VE ?)

edit: ne pas faire la modification, lire la suite Angel

.

VHS-4 Xtreme II AMD Athlon II X4 610e 2,4GHz, 2*4Go, clef USB 4Go
HDMI
Raid 1: 2 disques poubelles
OS: en test Angel

VHS-4 Home 1 Intel Atom D525 Dual Core 1,8GHz, 4Go, SSD 4Go
Pas de sortie vidéo
Raid 5: 4*6To WD60EFRX
OS: 6.1.4 Heart
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
11-02-2020, 16:26:48 (Ce message a été modifié le : 11-02-2020 16:28:52 par Epy.)
Message : #2
RE: [IMPORTANT] Après coupure du domaine ve-hotech.com
Nope !
Parce que ces règles te permettent aussi de te connecter avec une clé ssh et passphrase plutôt que par mot de passe, c'est nettement plus sûr.
Tu peux enlever la ecdsa_key SI tu n'utilises pas une clé de ce format, elle est déconseillée il me semble, pareil pour dsa.
ed25519 est recommandée en revanche en remplacement de rsa lorsque le système le supporte

Elles ne sont pas plus l'une ou l'autre réservée aux utilisateurs ou au support, la clé du support doit se trouver dans /root/.ssh/authorized_keys
Perdu, le chemin n'existe pas, pas plus que chez admin. Elles sont ailleurs

VHS4 Xtreme II - AMD Athlon II X2 240e
OS: v6.1.3 / RAM: 6 Go / Stockage: 1x 2To

[Image: wiki:favicon-32.png]Wiki madovi.xyz
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
11-02-2020, 20:31:00 (Ce message a été modifié le : 11-02-2020 20:31:47 par bpe.)
Message : #3
RE: [IMPORTANT] Après coupure du domaine ve-hotech.com
Bonsoir

je n'ai pas tous compris dans votre réponse
les 2 cles ne sont pas de Ve : ok
elles servent à quoi ?
on peut donc les laisser: ok
mais comment VE se connecte sur nos nas sans pws ?
ils ne peuvent pas utiliser le compte root, car il est invalidé dans le fichier de configuration pour ssh

note: je me suis acheté la clés de sécurité Titan de google, mais faute temps, elle est encore dans la boite
.

VHS-4 Xtreme II AMD Athlon II X4 610e 2,4GHz, 2*4Go, clef USB 4Go
HDMI
Raid 1: 2 disques poubelles
OS: en test Angel

VHS-4 Home 1 Intel Atom D525 Dual Core 1,8GHz, 4Go, SSD 4Go
Pas de sortie vidéo
Raid 5: 4*6To WD60EFRX
OS: 6.1.4 Heart
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
11-02-2020, 23:07:19 (Ce message a été modifié le : 12-02-2020 12:26:10 par Epy.)
Message : #4
RE: [IMPORTANT] Après coupure du domaine ve-hotech.com
Google \o/

Ce ne sont pas des clés les paramètres de ce fichier de configuration, ce sont des réglages qui autorisent l'utilisation d'une clé SSH avec tel ou tel type de chiffrement.
Le seul risque à laisser ces paramètres actifs, c'est si une clé de type DSA est utilisée par exemple, et que sa passphrase est vide ou trop simple, un attaquant pourrait réutiliser la clé privée qui va avec pour se connecter.
Il faudrait déjà qu'une telle clé de chiffrement existe sur le système, qu'elle soit utilisée et qu'elle soit très faible pour que le risque soit important.

Désactiver la connexion avec des clés SSH faibles est une bonne chose, mais ed25519 n'est pas faible et n'est pas cassé pour le moment. Il est même recommandé en remplacement de RSA pour préparer l'avenir.

Je n'ai pas trouvé de clés SSH de ve-hotech sur mon serveur (de la même façon que je n'ai pas pu mettre ma clé publique pour m'y connecter de façon sécurisée), s'il y en a, elles sont aggrégées dans un fichier nommé autorized_keys par défaut sur Ubuntu.
Je n'ai vu aucun fichier de ce type sur le serveur

Peut-être que Ve-hotech a changé l'emplacement ou le nom du fichier (ce n'est pas ce que semble dire le fichier de configuration, mais avec leur surcouche c'est un peu le bordel)
ou alors ils ont utilisé une autre méthode, plus pratique pour eux mais pas top dans nos conditions aujourd'hui: les VHS se connectent eux-mêmes à un serveur Ve-Hotech et de là ils ont la main. Si c'est le cas c'est pas génial parce que ça veut dire que de nombreux serveurs vont continuer à essayer de se connecter sur un domaine squatté et peut-être un serveur inconnu
Je n'ai rien trouvé dans ce sens là non plus je dois dire.

VHS4 Xtreme II - AMD Athlon II X2 240e
OS: v6.1.3 / RAM: 6 Go / Stockage: 1x 2To

[Image: wiki:favicon-32.png]Wiki madovi.xyz
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
12-02-2020, 00:00:05
Message : #5
RE: [IMPORTANT] Après coupure du domaine ve-hotech.com
ok, merci

c'est plus clair
je ne touche à rien, mais je remettrais l'adresse ip de VE à la poubelle le mois prochain

.

VHS-4 Xtreme II AMD Athlon II X4 610e 2,4GHz, 2*4Go, clef USB 4Go
HDMI
Raid 1: 2 disques poubelles
OS: en test Angel

VHS-4 Home 1 Intel Atom D525 Dual Core 1,8GHz, 4Go, SSD 4Go
Pas de sortie vidéo
Raid 5: 4*6To WD60EFRX
OS: 6.1.4 Heart
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
12-02-2020, 15:42:53
Message : #6
RE: [IMPORTANT] Après coupure du domaine ve-hotech.com
Hop, petit complément d'info sur les clés SSH pour ceux qui souhaitent
https://www.cypouz.com/article/181009/ss...ptographie

VHS4 Xtreme II - AMD Athlon II X2 240e
OS: v6.1.3 / RAM: 6 Go / Stockage: 1x 2To

[Image: wiki:favicon-32.png]Wiki madovi.xyz
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
13-02-2020, 22:03:37
Message : #7
RE: [IMPORTANT] Après coupure du domaine ve-hotech.com
Hello,

Hop, dans mon shaarli - marque-ta-page Tongue

Les fichiers référencés sont dans '/etc/ssh', avec extension 'pub' (publique) et sans (privé ?).
- je les ai aussi sur serveur Debian, hors VHT donc (livrées avec le serveur SSH).
- il y a aussi un outil "ssh_import_id" - sur VHS mais pas sur l'autre - dont j'ai pas bien compris l'utilité mais, semble-t-il permet de récupérer des clés sur un serveur launchpad.net... Peut être la maintenance se fait-elle par ce biais... Mais je dois être à côté DodgyBig Grin

Merci, @+

[Image: logo-forum.png]
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
13-02-2020, 23:51:13 (Ce message a été modifié le : 13-02-2020 23:53:29 par Epy.)
Message : #8
RE: [IMPORTANT] Après coupure du domaine ve-hotech.com
ssh_import_id, après ouverture, doit être un script d'ubuntu spécialement. Je chercherai par là bas, si j'ai un peu de temps.

ptin je suis passé à coté du /etc/ssh .. la commande find n'a rien trouvé après 15 min (elle passe par le data/ ça n'aide pas)

Le .pub sont bien les clés publiques et les autres les privées, mais ça ne devrait pas se présenter de la sorte, normalement coté serveur c'est un fichier avec le contenu des clés publiques. Les privées ne devraient jamais quitter les postes VHT ..
y'a ptet une couille dans le potage là

VHS4 Xtreme II - AMD Athlon II X2 240e
OS: v6.1.3 / RAM: 6 Go / Stockage: 1x 2To

[Image: wiki:favicon-32.png]Wiki madovi.xyz
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
14-02-2020, 22:16:03
Message : #9
RE: [split] Gestion des clés SSH sur VHS
Hello,

Pour ssh_import_id, c'est "spéciale Ubuntu" on dirait bien en effet.
Faudrait tester l'installation d'un serveur ssh sur un Ubuntu pour voir s'il y est par défaut (je vais tenter dans un LXC pour voir).

Pour les clé privées livrées, j'en sais rien: faudrait chercher dans le détail du paquet openssh si elles sont décrites.
On doit rater quelque chose... c'est éprouvé le bouzin en principe Sleepy

@+

[Image: logo-forum.png]
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
14-02-2020, 23:21:35 (Ce message a été modifié le : 14-02-2020 23:34:36 par Cram28.)
Message : #10
RE: [split] Gestion des clés SSH sur VHS
Hello,

Je confirme, avec un LXC ubuntu :
Code :
root@lxc-term01:/# lsb_release -a
No LSB modules are available.
Distributor ID:    Ubuntu
Description:    Ubuntu 18.04.4 LTS
Release:    18.04
Codename:    bionic

L'installation d'un serveur openssh génère des clés de différentes natures (RSA, ECDSA et ED25519) et installe le fameux ssh-import-id (pour celui-là, ce n'est pas le cas sur Debian):
Code :
Creating config file /etc/ssh/sshd_config with new version
Creating SSH2 RSA key; this may take some time ...
2048 SHA256:Sv4dsIC/wwYIUbK9dZeRwYCz1EHTs9hmRHcQC5dXV2E root@lxc-term01 (RSA)
Creating SSH2 ECDSA key; this may take some time ...
256 SHA256:kuyJ22qv6jZ9q0/1gGKEBr+gkD4nOiiPtxaTUULRhRM root@lxc-term01 (ECDSA)
Creating SSH2 ED25519 key; this may take some time ...
256 SHA256:q2l6TiBHX55tVtRH6AXvjRCuNF0Au71zoatUM8Tcmwg root@lxc-term01 (ED25519)
[ ..]
Setting up ssh-import-id (5.7-0ubuntu1.1) ...

Et j'ai lu/traduit:
https://askubuntu.com/questions/400552/m...-already-i a écrit :La clé du serveur SSH authentifie le serveur, pas les utilisateurs. Elle ne permet pas aux utilisateurs de se connecter.

Ce qui permet aux utilisateurs de se connecter, c'est si leur clé publique figure dans le fichier .ssh/authorized_keys dans leur répertoire personnel ; c'est toujours la partie qui a la clé privée qui est authentifiée, et la partie qui a la clé publique qui fait l'authentification.

La paire de clés du serveur SSH vous permet d'être informé si un attaquant tente de vous faire ouvrir une session sur son serveur au lieu du vôtre, ou tente d'intercepter la connexion SSH entre votre client et votre serveur.

Pour plus d'informations, lisez la cryptographie à clé publique et sur la façon dont SSH l'utilise.

Traduit avec http://www.DeepL.com/Translator (version gratuite)

Pour ssh-import-id (qui vient donc en standard avec le serveur ssh sous ubuntu):
https://askubuntu.com/questions/1199553/...42#1199842 a écrit :ssh-import-id récupère pour vous une clé SSH de GitHub par exemple. L'outil peut importer depuis GitHub et Launchpad.
Normalement, l'outil prend la clé récupérée et l'ajoute à votre fichier de clés autorisées, ce que le serveur Ubuntu aurait fait.

La page de manuel décrit les mécanismes des appels spécifiques de l'API qu'il effectue pour récupérer la clé.
Traduit avec http://www.DeepL.com/Translator (version gratuite)
Pas sûr que ce soit utilisé sur le VHS donc...

On sait tout ... Smile

@+

[Image: logo-forum.png]
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
Poster une réponse 


Aller à :




Contact | Ve-hotech | Retourner en haut | Retourner au contenu | Version bas-débit (Archivé) | Syndication RSS