Outils pour utilisateurs

Outils du site


services:accès_à_distance

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
services:accès_à_distance [Tue Jan 10 22:21:36 2012]
fifou Infos SSHFP DNS
services:accès_à_distance [Tue Jan 10 23:11:27 2012]
exca Tipiak ^^
Ligne 19: Ligne 19:
 ==== Aparté concernant les enregistrements DNS SSHFP ==== ==== Aparté concernant les enregistrements DNS SSHFP ====
  
-La relation de confiance établie entre un client et un serveur SSH repose sur la vérification de l'​empreinte publique du serveur, exposée par ce dernier lorsqu'​une demande de connexion SSH survient. Normalement,​ il faudrait prendre le temps de calculer cette empreinte sur le serveur (avec l'​option -r de la commande ssh-keygen) afin de la comparer avec celle qui est proposée par l'​invite de commande, côté client. Si tout va bien et que l'​utilisateur valide, l'​hôte de destination est inscrit dans le fichier ~/​.ssh/​known_hosts du client qui n'aura plus à se soucier de contrôler l'​identité du serveur sauf si ce dernier réinitialise sa clef pour une raison ou pour une autre. Si cette vérification n'est pas faite avec sérieux, des attaques du type "man in the middle"​ pourront fonctionner et permettre à un tiers de récupérer ​nos accès au serveur.+La relation de confiance établie entre un client et un serveur SSH repose sur la vérification de l'​empreinte publique du serveur, exposée par ce dernier lorsqu'​une demande de connexion SSH survient. Normalement,​ il faudrait prendre le temps de calculer cette empreinte sur le serveur (avec l'​option -r de la commande ssh-keygen) afin de la comparer avec celle qui est proposée par l'​invite de commande, côté client. Si tout va bien et que l'​utilisateur valide, l'​hôte de destination est inscrit dans le fichier ~/​.ssh/​known_hosts du client qui n'aura plus à se soucier de contrôler l'​identité du serveur sauf si ce dernier réinitialise sa clef pour une raison ou pour une autre. Si cette vérification n'est pas faite avec sérieux, des attaques du type "man in the middle"​ pourront fonctionner et permettre à un pirate ​de récupérer ​l'accès au serveur.
  
-Pour effectuer ce premier contrôle, tous les moyens sont bons :+En cas de doutes plusieurs ​moyens sont bons pour vérifier facilement l'​identité du serveur ​:
  
     * Appeler l'​administrateur du serveur SSH et lui demander l'​empreinte ;     * Appeler l'​administrateur du serveur SSH et lui demander l'​empreinte ;
-    * Recevoir ​cette empreinte par e-mail ;+    * Lui demander ​cette empreinte par e-mail ;
     * Valider la comparaison sans se soucier de ces bêtises de Geek...     * Valider la comparaison sans se soucier de ces bêtises de Geek...
  
-Traditionnellement, c'​est ​plutôt ​la dernière solution qui est retenue ; il n'y a donc aucun contrôle effectué par le client ​et nous tombons ​dans les travers énoncés plus tôt. Heureusement,​ il existe un mécanisme pour faciliter la vérification de la clef : le protocole DNS permet d'​exposer les empreintes publiques du serveur dans ses enregistrements SSHFP. De son côté, l'​option VerifyHostKeyDNS=yes du client SSH demandera au "​resolver DNS" local l'​empreinte de clef qui va bien pour la comparer avec celle retournée par le serveur SSH.+Malheureusement, c'​est ​souvent ​la dernière solution qui est retenue ; dans ce cas, aucun contrôle ​n'​est ​effectué par le client ​qui risque alors de tomber ​dans les travers énoncés plus tôt. Heureusement,​ il existe un mécanisme pour faciliter la vérification de la clef : le protocole DNS permet d'​exposer les empreintes publiques du serveur dans ses enregistrements SSHFP. De son côté, l'​option VerifyHostKeyDNS=yes du client SSH demandera au "​resolver DNS" local l'​empreinte de clef correspondante ​pour vérifier ​celle retournée par le serveur SSH.
  
 Les empreintes peuvent être calculées de la façon suivante : Les empreintes peuvent être calculées de la façon suivante :
Ligne 47: Ligne 47:
     RSA key fingerprint is 64:​64:​67:​38:​14:​99:​0d:​b9:​53:​b7:​bd:​9e:​87:​64:​e1:​f4.     RSA key fingerprint is 64:​64:​67:​38:​14:​99:​0d:​b9:​53:​b7:​bd:​9e:​87:​64:​e1:​f4.
 --> Matching host key fingerprint found in DNS. --> Matching host key fingerprint found in DNS.
-    Are you sure you want to continue connecting (yes/​no)? ​yes+    Are you sure you want to continue connecting (yes/no)?
 </​code>​ </​code>​
  
services/accès_à_distance.txt · Dernière modification: Tue Jan 10 23:11:27 2012 par exca