• [^] # Re: Les entreprises payent ?

    Posté par . En réponse à la dépêche Appel aux dons pour OpenBSD. Évalué à 4.

    Ton serveur sous OpenBSD, si un de tes utilisateurs a une clef debian de l'époque ne vaut plus rien, c'est une passoire... Mes serveurs debian ne risquent plus rien !

    Fait le parallèle avec des mots de passe.
    Comme un mot de passe, un certificat peut être faible.
    Comme un mot de passe, un certificat peut être compromis.

    Pour les mots de passe, on peut facilement mettre en place des règles (longueur, complexité, etc).
    Pour un certificat, la moindre des choses est de ne pas permettre à n'importe qui de les placer sur une machine.

    Dans le cas précis d'OpenSSH, il est possible d'enlever la possibilité de se connecter avec des clefs (voir la page de manuel de sshd_config), il est possible d'attribuer une clef à un utilisateur (man sshd_config et man ssh-keygen) et de lui interdire de la modifier (man chmod et man chown).
    C'est aux admin systèmes de faire ces choix et de mettre en place les règles qui vont bien.

    Avec SSL et les certificats X509, ce cas a été prévu avec les listes de révocation très mal implantés par les clients -> faille des clients.

    SSH n'a aucune protection contre cela. Faille du serveur ou du protocole ?

    La faille ce n'est pas qu'OpenSSH accepte un certificat généré par Debian, mais qu'un administrateur laisser des personnes placer des clefs sur une machine.
    En particulier si ces personnes n'ont pas les compétences et le sens des responsabilités suffisants pour maintenir ces clefs.