Le 20 mai 2008 23:42, Olivier Allard-Jacquin <olivieraj@???> a écrit :
> Salut Patrice,
>
> je passe en discussion privée, je pense que l'enfilade doit commencer à
> lasser sur la ML
Tu as une drôle de façon de répondre en privé :)
[...]
Juste pour rire... le reste en privé.
> OK, puisque tu le prends comme cela, je vais te parler de mes choix :
> - toi, tu installes des serveurs SSH sur les postes que tu administres,
> et tu te loggues dessus avec un mot de passe. N'est-ce pas ?
> - 2 problèmes : Tu dois ouvrir un trou dans le firewall, voir dans le
> routeur ADSL, et tu laisses un port (disons le 22) ouvert. Ce sont donc
> 2 failles de sécurité potentielles.
bof... premièrement, rien ne t'oblige à faire cela. Tu peux très
ouvrir un autre port pour le daemon ssh (ce qui t'enlève 100% des
attaques brutes) et ensuite n'ouvrir ce port qu'à la demande de
l'utilisateur en place...
J'ai l'avantage de ta solution sans les inconvénients (i.e. les
pass-phrases, qui sont de mon point de vue, une aberration en terme de
sécurité, du fait de l'automatisation automatique de l'autorisation
sans intervention humaine. L'humain n'est pas fiable mais c'est le
seul qui sache prendre des décisions intelligentes).
Tu peux retourner le problème dans tous les sens, mais mettre des
pass-phrases (pour fabriquer des connexions admin) est un trou de
sécurité à lui tout seul. À partir de là, le problème issu de Debian
montre la limite en plus de ce genre de choix, le mien restant plus
sûr par ailleurs...
Le mieux est souvent l'ennemi du bien :)
PK
--
|\ _,,,---,,_ Patrice KARATCHENTZEFF
ZZZzz /,`.-'`' -. ;-;;,_
mailto:p.karatchentzeff@free.fr
|,4- ) )-,_. ,\ ( `'-'
http://p.karatchentzeff.free.fr
'---''(_/--' `-'\_)
