Re: Trou de sécurité Debian pour SSH/SSL

Page principale

Répondre à ce message
Auteur: Olivier Allard-Jacquin
Date:  
À: guilde
Sujet: Re: Trou de sécurité Debian pour SSH/SSL
    Bonsoir,

Raphael Dorado a écrit :
>
> http://it.slashdot.org/article.pl?sid=08/05/13/1533212&from=rss
>
> "The solution? Upgrade OpenSSL and re-generate all your SSH and SSL
> keys. This problem not only affects Debian, but also all its
> derivatives, such as Ubuntu."
>
> Traduction rapide:
>
> La Solution ? Faites une MàJ de OpenSSL et re-générez toutes vos clefs
> SSH et SSL. Ce problème ne concerne pas seulement Debian, il est
> valable aussi pour toutes les distributions basées sur Debian, comme
> Ubuntu".


    2 bons liens de plus sur ce problèmes :
http://roland.entierement.nu/blog/2008/05/15/branle-bas-sshssl.html
http://www.linuxfr.org/2008/05/15/24092.html


    Je dirais qu'il faudrait, dans l'ordre :
- sur les serveurs Debian & co qui ont un serveur SSH, ou qui ont des
serveurs HTTPS , FTP+TLS, ..., il faut commencer par mettre à jour la
distribution :
    aptitude update && aptitude full-upgrade
- sur ces même machines, il faut re-générer les certificats SSL et les
clés SSH
- toujours sur ces serveurs, il faut supprimer toutes les autorisations
pour des clefs qui auraient été générées sur des machines clientes
Debian & co. Il s'agit des fichiers :
    /etc/ssh/ssh_known_hosts
    ~/.ssh/known_hosts


2nd étapes : Sur les machines clientes Debian & co qui utilisent une
authentification via SSH, il faut :
- mettre la machine cliente à jour
- supprimer les clés ssh actuelles (~/.ssh/id_dsa*, ~/.ssh/id_rsa*, et
/etc/ssh/ssh_host_dsa*, /etc/ssh/ssh_host_rsa*)
- générer de nouvelles clefs
- envoyer les clefs publiques aux serveurs sur lesquels on veut se
connecter sans mot de passe.

    Pour ceux qui on vu ma dernière conférence, ou qui ont lu mes
transparents, il s'agit de l'utilisation de SSH tel qu'il est expliqué
dans les parties :
- page 11: "La sécurité par le chiffrement : SSH"
- page 14: "Échange de clés contre mot de passe"
http://www.guilde.asso.fr/rencontres/20080409/prise_de_controle_a_distance_avec_linux.odp
http://www.guilde.asso.fr/rencontres/20080409/prise_de_controle_a_distance_avec_linux.pdf


    Cordialement,


                            Olivier


-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!