Mateusz Viste <mateusz.visteATmailDOTru@trashymail.com> writes:
Ð’ Понедельник 11 авгуÑта 2008 16:32, olive пиÑал:
L'identification se fait par login/password (non-basiques), je n'ai pas
encore pris la peine de me pencher sur la question du chiffrage par clef.
Cela vous semble-t-il poser un problème de sécurité pour une machine
d'un particulier ?
Bonjour,
Personnellement, jamais je ne laisserais un accès ssh tourner publiquement
en login/mot de passe...
Si la ou les adresses des IP distantes sont connues, il serait bien plus
raisonnable de mettre en place un filtrage par IP source.
Sinon, si cet accès doit effectivement être public, je bloque généralement
l'accès par mot de passe, et rajoute ma clef public dans /.ssh (clef RSA ou
DSS au choix). Les chances de casser une telle clef (dans un temps
raisonnable) sont quasi nuls. S'il s'agit du changement de port, je n'y
crois pas trop. L'obfuscation n'est qu'apparente...
Il faut quand meme faire attention. L'histoire récente montre que,
quelquefois, une clé ssh n'est pas la solution la plus sécure ...
(debian et la faille openssh).
Je n'ai pas de probleme avec un acces ssh en login+mot de passe,
si le mot de passe est raisonnablement complexe. Et le fait que
ce soit un acces distant ajoute pas mal de contraintes, par exemple
il n'est pas envisageable a l'heure actuelle de tester plusieur
millions de clés par seconde sur un accès ssh.
--
Thomas Samson
A witty saying proves nothing, but saying something pointless gets
people's attention.
