Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 09-01-2020 22:47:08

Jahkyn
Adhérent(e)
Distrib. : Debian Buster 10.2
Noyau : Linux 4.19.0-6-686-pae
Inscription : 05-01-2020
Site Web

[QUESTION BÊTE]Connexion SSH vraiment moins sécurisé par mot de passe?

Bonsoir les amis,

Une question qui paraîtra bête pour les experts, surtout qu'il existe moultes tutoriels expliquant bien qu'il faut privilégier la connexion par clés plutôt que par mot de passe ...
Néanmoins j'ai besoin d'une réponse honnête.

Mon cas : j'utilise de nombreux clients SSH car je me connecte à mon serveur via divers machines/smartphones ... Du coup la connexion en SSH via mot de passe est vraiment plus pratique pour moi.

À savoir que :
- j'ai changé le port SSH
- j'ai installé fail2ban (paramétré sur 3 essais max + 24h de ban)
- mot de passe complexe (+12 caractères, numériques, alphanumériques , symboles)

J'ai quand même l'impression d'avoir sécurisé mon serveur ... Non ?

Merci d'avance et encore désolé pour cette question largement traitée.

Hors ligne

#2 09-01-2020 22:56:18

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [QUESTION BÊTE]Connexion SSH vraiment moins sécurisé par mot de passe?

Le mot de passe est toujours le rempart faible, donc oui, c'est une vulnérabilité par rapport à la connexion par clé privée. Vu que la sécurité absolue n'est pas possible, il s'agit avant tout d'un compromis à avoir wink

Après une fois qu'on a dit ça on a rien dit ; la clé privé peut-être médiocre (selon la suite de chiffrement choisie), ou utilisé sans mot de passe, des copies ont été exposé publiquement, etc. - et un mot de passe peut-être relativement fort.

Bref.
Et j'en sais rien si t'as sécurisé ton serveur. Du peu que ça veut dire. Rien que d'installer un serveur ssh et n'importe quel autre service est une faille possible en soi. Le serveur ssh le plus sécurisé au monde, c'est pas de serveur ssh.
Le fait de s'être connecté au net tout court est une vulnérabilité, en fait.

C'est à toi de décider quel niveau de risque tu veux prendre >.<

Dernière modification par otyugh (09-01-2020 22:58:01)


datalove-datalove-s1-2.png agendadulibre-lagendadulibre.png arzinfo-arzinfo.png

Hors ligne

#3 09-01-2020 23:22:25

Jahkyn
Adhérent(e)
Distrib. : Debian Buster 10.2
Noyau : Linux 4.19.0-6-686-pae
Inscription : 05-01-2020
Site Web

Re : [QUESTION BÊTE]Connexion SSH vraiment moins sécurisé par mot de passe?

J'ai bien compris, merci.
Je suis d'accord que le mieux est PAS DE SSH, c'est sûr.
Mais c'est tellement pratique, ça permet de supprimer des écrans physiques et d'intervenir n'importe quand (quand on est loin de sa machine).

Et je crois que tu vas un peu dans mon sens, grosso modo :"vaut mieux un SSH par mot de passe bien protégé, qu'un SSH par clés mal protégées".
Si j'ai bien compris.

Merci de ta réponse, camarade.

Dernière modification par Jahkyn (09-01-2020 23:24:41)

Hors ligne

#4 10-01-2020 12:20:40

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [QUESTION BÊTE]Connexion SSH vraiment moins sécurisé par mot de passe?

je crois que tu vas un peu dans mon sens, grosso modo :


Utiliser le mot de passe en SSH n'est pas considéré comme une faille de sécurité critique (mais elle expose à des attaques bruteforce, donc c'est quand même mieux de désactiver l'identification par mots de passe, idéalement).
Idéalement aussi, tu ne vois pas la différence. Personnellement j'ai mes alias pour lancer des connexion ssh (sinon faudrait que je me souvienne de l'IP, du login, du port, du chemin vers ma clé privée ET du mot de passe pour la dévérrouiller ? C'est mort), et je ne vois pas la différence entre me connecter avec ou sans clé privée. Donc je n'utilise que des clés privées, et ça ne me contraint en rien. Ça m'a pris dix minute à mettre en place, quoi x)

Dernière modification par otyugh (10-01-2020 12:25:26)


datalove-datalove-s1-2.png agendadulibre-lagendadulibre.png arzinfo-arzinfo.png

Hors ligne

#5 11-01-2020 00:34:46

Philou92
Adhérent(e)
Lieu : Hauts de Seine
Distrib. : Debian bullseye (testing)
Noyau : Linux 5.6.0-1-amd64
(G)UI : LightDM et Xfce4
Inscription : 29-04-2015

Re : [QUESTION BÊTE]Connexion SSH vraiment moins sécurisé par mot de passe?

L’utilisation d’une connexion SSH par mot de passe ou par échange de clef est équivalente en terme de sécurité.
L’échange de clef du client vers le serveur est juste une question de confort d’utilisation, notamment dans le cas où le client souhaite se connecter en SSH à plusieurs machines différentes avec le même mot de passe (celui de sa clef privée). L’inconvénient est que si le mot de passe de la clef privée est compromise, toutes les machines le deviennent  également.
Je pense que dans le cas exposé par @Jahkyn au post #1, connexion en SSH à la même machine par mot de passe depuis des clients différents est la plus sûre, puisque moins complexe à gérer dans ce contexte. Fail2ban est efficace contre les attaques par force brute. j’ajouterai la surveillance régulière des logs de connexion voire l’envoi d’un mail pour chaque bannissement effectué par fail2ban.

Dernière modification par Philou92 (11-01-2020 00:35:29)


Chaque siècle fera son œuvre, aujourd’hui civique, demain humaine. Aujourd’hui la question du droit, demain la question du salaire. Salaire et droit, au fond c’est le même mot. L’homme ne vit pas pour n’être point payé ; Dieu en donnant la vie contracte une dette ; le droit, c’est le salaire inné ; le salaire, c’est le droit acquis.
             Quatrevingt-treize
             Victor Hugo.

Hors ligne

#6 11-01-2020 11:03:20

Jahkyn
Adhérent(e)
Distrib. : Debian Buster 10.2
Noyau : Linux 4.19.0-6-686-pae
Inscription : 05-01-2020
Site Web

Re : [QUESTION BÊTE]Connexion SSH vraiment moins sécurisé par mot de passe?

Merci pour vos réponses.
J'ai déjà activé la surveillance des tentatives de logs par email, j'en reçois au moins une centaine par jour.

Dernière modification par Jahkyn (11-01-2020 11:03:53)

Hors ligne

#7 11-01-2020 14:15:53

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [QUESTION BÊTE]Connexion SSH vraiment moins sécurisé par mot de passe?

Philou92 a écrit :

L’utilisation d’une connexion SSH par mot de passe ou par échange de clef est équivalente en terme de sécurité.


D'où vient cette affirmation ? (pas que ça m'importe tant que ça, au fond. Mais vu que tu me contredis, je suis curieux de confirmer la validité de mon erreur).

Dernière modification par otyugh (11-01-2020 14:17:42)


datalove-datalove-s1-2.png agendadulibre-lagendadulibre.png arzinfo-arzinfo.png

Hors ligne

#8 11-01-2020 19:19:41

Philou92
Adhérent(e)
Lieu : Hauts de Seine
Distrib. : Debian bullseye (testing)
Noyau : Linux 5.6.0-1-amd64
(G)UI : LightDM et Xfce4
Inscription : 29-04-2015

Re : [QUESTION BÊTE]Connexion SSH vraiment moins sécurisé par mot de passe?

otyugh a écrit :


D'où vient cette affirmation ?



Du bon sens. Comme tu l’as précisé les deux méthodes nécessitent l’usage d’un mot de passe.

otyugh a écrit :


Mais vu que tu me contredis.


Il n’y a pas de contradiction. Ce n’est qu’une affaire de choix. Le meilleur étant celui que l’on maîtrise le mieux en fonction du contexte d’utilisation.

La connexion par clef est pratique pour l’administrateur qui doit joindre plusieurs serveurs (seul le mot de passe de sa clef privée est nécessaire). Il doit tout de même s’assurer que la machine cliente ne présente pas de faille, malware, keylogger etc… Ce qui à mon avis devient compliqué s’il doit se connecter depuis plusieurs machines clientes différentes. Que dire de la connexion par clef depuis son « abrutiphone », du PC ouinedauze de la voisine etc…
Avec la méthode par mot de passe, on risque la compromission d’un serveur (en admettant que tous les mots de passe des users de tous les serveurs sont différents), avec l’échange de clef on risque de tous les compromettre.

Le principal danger à mon avis serait de se croire plus en sécurité avec une méthode plutôt qu’avec une autre.

otyugh a écrit :


je suis curieux de confirmer la validité de mon erreur).



Je ne vois pas d’erreur dans ce que tu as écris. smile


Chaque siècle fera son œuvre, aujourd’hui civique, demain humaine. Aujourd’hui la question du droit, demain la question du salaire. Salaire et droit, au fond c’est le même mot. L’homme ne vit pas pour n’être point payé ; Dieu en donnant la vie contracte une dette ; le droit, c’est le salaire inné ; le salaire, c’est le droit acquis.
             Quatrevingt-treize
             Victor Hugo.

Hors ligne

#9 13-01-2020 13:50:25

infothema
CA Debian-Facile
Lieu : Bégard (Côtes d'Armor)
Distrib. : CentOS 8 - Fedora 32
(G)UI : MATE
Inscription : 28-01-2012
Site Web

Re : [QUESTION BÊTE]Connexion SSH vraiment moins sécurisé par mot de passe?

La mise en place de clés chiffrées SSH robustes (voir les générations) compliquent l'écoute de réseau et donc protègent bien plus qu'un mot de passe en clair !

Que le mot de passe en clair fasse 52 éléments avec des .+-"@7-~ ne change à l'affaire : il est en clair !  smile

Association libriste infothema  située dans les Côtes d'Armor (Bretagne)
Blog : https://www.infothema.fr / Forum : https://www.infothema.fr/forum
Twitter : https://twitter.com/asso_infothema / Compte Mastodon : https://framapiaf.org/@infothema
Diaspora : https://framasphere.org/u/association_infothema

Hors ligne

#10 13-01-2020 20:48:41

Philou92
Adhérent(e)
Lieu : Hauts de Seine
Distrib. : Debian bullseye (testing)
Noyau : Linux 5.6.0-1-amd64
(G)UI : LightDM et Xfce4
Inscription : 29-04-2015

Re : [QUESTION BÊTE]Connexion SSH vraiment moins sécurisé par mot de passe?

infothema a écrit :



Que le mot de passe en clair fasse 52 éléments avec des .+-"@7-~ ne change à l'affaire : il est en clair !  smile



En clair ?? Tu dois confondre avec telnet, le mot de passe d'hautentification est chiffré avec ssh.


Chaque siècle fera son œuvre, aujourd’hui civique, demain humaine. Aujourd’hui la question du droit, demain la question du salaire. Salaire et droit, au fond c’est le même mot. L’homme ne vit pas pour n’être point payé ; Dieu en donnant la vie contracte une dette ; le droit, c’est le salaire inné ; le salaire, c’est le droit acquis.
             Quatrevingt-treize
             Victor Hugo.

Hors ligne

#11 13-01-2020 22:54:56

infothema
CA Debian-Facile
Lieu : Bégard (Côtes d'Armor)
Distrib. : CentOS 8 - Fedora 32
(G)UI : MATE
Inscription : 28-01-2012
Site Web

Re : [QUESTION BÊTE]Connexion SSH vraiment moins sécurisé par mot de passe?

Hello Philou92

1) Oui ton mot de passe de connexion est en clair dans les scripts qui se servent de SSH si tu n'as pas de clés !

2) Avec un mot de passe "lechiendelavoisine@15estVERT", Il est plus facile de brute forcer ton serveur SSH surtout si il est visible sur le web

3) A propos des clés, il est fortement conseillé d'utiliser les dernières générations

4) Ton hébergeur pro te conseillera toujours l'usage des clés en SSH sur ton serveur

Pour résumer, la sécurité se résume à l'usage du protocole SSH avec des clés hautement sécurisées (génération)

Si tu n'es toujours pas convaincu, je t'invite à visiter ces liens :

https://www.supinfo.com/articles/single … orce-ligne de l'école Supinfo

https://www.securiteinfo.com/attaques/h … ydra.shtml

Dernière modification par infothema (13-01-2020 23:07:51)


Association libriste infothema  située dans les Côtes d'Armor (Bretagne)
Blog : https://www.infothema.fr / Forum : https://www.infothema.fr/forum
Twitter : https://twitter.com/asso_infothema / Compte Mastodon : https://framapiaf.org/@infothema
Diaspora : https://framasphere.org/u/association_infothema

Hors ligne

#12 20-01-2020 00:11:49

Philou92
Adhérent(e)
Lieu : Hauts de Seine
Distrib. : Debian bullseye (testing)
Noyau : Linux 5.6.0-1-amd64
(G)UI : LightDM et Xfce4
Inscription : 29-04-2015

Re : [QUESTION BÊTE]Connexion SSH vraiment moins sécurisé par mot de passe?

infothema a écrit :


1) Oui ton mot de passe de connexion est en clair dans les scripts qui se servent de SSH si tu n'as pas de clés !


Je n’utilise pas de script pour me connecter à SSH.
Utiliser des scripts avec des mots de passe en clair ce n’est pas sérieux. Autant coller un post-it avec le mot de passe dessus sur l’écran du PC.

infothema a écrit :


2) Avec un mot de passe "lechiendelavoisine@15estVERT", Il est plus facile de brute forcer ton serveur SSH surtout si il est visible sur le web


C’est plus facile que "lechiendelavoisine@15estVERT?" et moins facile que "lechiendelavoisine15estVERT". Pas très solide comme argument.

infothema a écrit :


4) Ton hébergeur pro te conseillera toujours l'usage des clés en SSH sur ton serveur


J’espère que tu as un accès physique chez ton hébergeur PRO, parce-que si ta clef est corrompue sur le serveur, ou si celle du serveur change , alors tu ne pourras plus y accéder.

infothema a écrit :


Pour résumer, la sécurité se résume à l'usage du protocole SSH avec des clés hautement sécurisées (génération)


Je peux aussi utiliser un mot de passe super long et complexe.

infothema a écrit :


Si tu n'es toujours pas convaincu, je t'invite à visiter ces liens :

https://www.supinfo.com/articles/single … orce-ligne de l'école Supinfo

https://www.securiteinfo.com/attaques/h … ydra.shtml



Pas convaincu.
Ces outils cassent des mots de passe. Ils ne cassent pas SSH.
SSH est un protocole de connexion visant à sécuriser les échanges sur un réseau. Évidemment il est important de protéger le client et le serveur. Ce dernier nécessite à minima une bonne configuration du pare-feu (connexion SSH réservée à des IP/domaine clients connus et l’usage de l’application fail2ban rendent très difficile l’attaque par force brute) et une surveillance des alerte de tentative de connexion.


Chaque siècle fera son œuvre, aujourd’hui civique, demain humaine. Aujourd’hui la question du droit, demain la question du salaire. Salaire et droit, au fond c’est le même mot. L’homme ne vit pas pour n’être point payé ; Dieu en donnant la vie contracte une dette ; le droit, c’est le salaire inné ; le salaire, c’est le droit acquis.
             Quatrevingt-treize
             Victor Hugo.

Hors ligne

Pied de page des forums