Quentin Demoulière

Mon blog personnel

debian

SSHFP, faciliter l'authentification d'un serveur SSH à partir d'un client

Rédigé par Quentin Demouliere - 20 mars 2016 - Aucun commentaire

Le protocole SSH est fortement utilisé dans les domaines des réseaux et de l'administration système pour notamment prendre le contrôle de machines à distance. Il fait parti, au même titre que TLS, des protocoles les plus utilisés. Hors, concernant l'authentification, SSH et TLS ne fonctionne pas du tout de la même manière.

Lire la suite de SSHFP, faciliter l'authentification d'un serveur SSH à partir d'un client

Double facteur d'authentification SSH avec la Yubikey de Yubico

Rédigé par Quentin Demouliere - 02 décembre 2015 - Aucun commentaire

Pourquoi un double facteur d'authentification ?

"Le mot de passe est actuellement le système le plus couramment utilisé pour authentifier un utilisateur. Il n’offre plus le niveau de sécurité requis pour assurer la protection de biens informatiques sensibles, car différentes techniques d’attaque permettent de le trouver facilement."

Wikipédia

La yubikey est une clef USB simulant un clavier USB et permettant de générer un mot de passe à usage unique appelé OTP. Ainsi, l'idée est d'obtenir une authentification forte à l'aide d'un double facteur d'authentification pour le daemon OpenSSH. Concernant son fonctionnement, voici l'explication très claire fournie par aeris sur son blog :

"À l’intérieur de la Yubikey se trouve une clef AES en écriture seule (pas de lecture possible de la clef), possédée aussi par Yubico (l’entreprise fabriquant la Yubikey).

À chaque appui sur le bouton de la clef, celle-ci va émettre une chaîne composée de son identifiant de clef, d’un compteur de session (s’incrémente à chaque branchement de la clef), d’un compteur d’horloge (s’incrémente 8× par seconde) et d’un compteur d’utilisation (s’incrémente à chaque appui sur le bouton). La chaîne complète est chiffrée avec la clef AES interne, et envoyée ainsi à l’application qui cherche à vous authentifier.

Votre application va alors contacter le serveur de Yubico et lui soumettre la chaîne chiffrée. Le serveur possédant lui aussi la clef AES, il peut déchiffrer les données et les vérifier. S’il est capable de déchiffrer les données et que l’identifiant d’utilisateur correspond bien à celui associé à la clef, on est en présence d’une clef valide. Si les valeurs de tous les compteurs sont bien strictement supérieures à celles de la dernière chaîne validée, on est en présence d’un nouveau identifiant et non d’un rejeu d’une chaîne interceptée."

Si vous souhaitez en apprendre davantage sur le fonctionnement de cette petite clef, je vous renvoie à l'excellente conférence qui a eu lieu lors de Pas Sage en Seine 2011 : https://numaparis.ubicast.tv/videos/pses-yubikey/ mais aussi plus récemment lors des RMLL 2014 : http://video.rmll.info/channels/#securite_.

Lire la suite de Double facteur d'authentification SSH avec la Yubikey de Yubico

Mise à jour de Debian Wheezy vers Debian Jessie

Rédigé par Quentin Demouliere - 27 avril 2015 - Aucun commentaire

Debian 8.0 Jessie est sorti le samedi 25 avril 2015 en version release et stable. C'est donc l'occasion pour upgrader ses serveurs tournant sous Wheezy la version antérieure. Pour ma part, j'ai réalisé quelques tests sur une machine virtuelle avant de me lancer sur des machines physiques.

Comme je n'aime pas Systemd, vous l'aurez compris :p,  et que Jessie supporte toujours Sysvinit, j'ai fait en sorte de garder ce gestionnaire d'init. Voilà les différentes étapes que j'ai réalisé afin de réaliser cette mise à jour :

$ sudo -s
# tmux new -s upgrade
# echo -e 'Package: *systemd*\nPin: origin ""\nPin-Priority: -1' > /etc/apt/preferences.d/systemd

 

Je n'oublie pas de modifier mon fichier sources.list afin de basculer vers les dépôts de Jessie :

# vim /etc/apt/sources.list
deb http://ftp.fr.debian.org/debian/ jessie main contrib non-free
deb-src http://ftp.fr.debian.org/debian/ jessie main contrib non-freedeb
http://security.debian.org/ jessie/updates main contrib non-free
deb-src http://security.debian.org/ jessie/updates main contrib non-free
deb http://ftp.fr.debian.org/debian/ jessie-updates main contrib non-free
deb-src http://ftp.fr.debian.org/debian/ jessie-updates main contrib non-free
deb http://ftp.fr.debian.org/debian/ jessie-backports main contrib non-free
deb-src http://ftp.fr.debian.org/debian/ jessie-backports main contrib non-free

 

Aptitude, cet outil magique !

# aptitude update && aptitude safe-upgrade
# aptitude dist-upgrade

 

La troisième ligne me permet de dire au système Debian que je ne veux pas de systemd et que je préfère sysvinit. Pour cela, on passe par le système de Pin Entry, gestionnaire de priorités avec l'outil apt-get. Et voilà, enjoy !

PS : À noter que sur l'un de mes serveurs où j'utilise php5-fpm, le système de gestion des dépendances m'a obligé à installer libsystemd. Tant que ça reste une librairie. Voici également un site sympa qui explique clairement comment conserver sysvinit.

À propos de Systemd

Rédigé par Quentin Demouliere - 01 janvier 2015 - 7 commentaires

En cette nouvelle année, j'avais envie d'écrire un petit billet sur systemd, le daemon d'init qui aura bientôt le quasi-monopole dans l'univers des distributions GNU/Linux. Ça fait maintenant un certain temps que j'entends un certain nombre de critiques concernant ce logiciel développé par Lennart Poettering. Certes, je ne suis pas développeur, certes, je n'ai pas consulté et analysé le code en détail mais je vais donner mon avis en tant qu'utilisateur lambda.

Lire la suite de À propos de Systemd