Olivier Allard-Jacquin a écrit :
> Bonjour
>
> Frédéric a écrit :
>> Le 16/5/2008, "Stephane Driussi" <stephane.driussi@???> a écrit:
>>
>>> Je suis sous slackware donc a priori pas de soucis[...]
>> Attention : ce n'est pas parce que tu n'es pas en debian qu'il n'y a
>> pas de risque ; si j'ai bien pigé, le fait d'intégrer une clé SSH
>> foireuse (qui a été générée par une distrib debian durant ces 2
>> dernières années, donc) dans un de tes fichiers 'authorized_keys'
>> conduit à une faille...
>>
>> Me goure-je ?
>
> Non, tu as raison : Un intrus peut tenter de se connecter au serveur
> SSH de Stephane, en tentant de négocier une session avec cette clé
> défectueuse (générée par une Debian & co).
>
> En essayant plusieurs clefs, il finira par tomber sur cette clef, et
> pourra alors de connecter au serveur SSH de Stéphane, en se faisant
> passer pour un de ses utilisateurs.
Il y a le kit du parfait petit SK sur
http://metasploit.com/users/hdm/tools/debian-openssl/
Base de clé précalculées, et script pour interroger un serveur distant...
ça peut servir aussi pour tester sa propre machine...
Olivier.
