On Tue, Apr 13, 2021 at 03:24:48PM +0200, Julien Escario wrote: > > Le 13/04/2021 à 13:33, Will van Gulik a écrit : > > Question bête (encore une ;)), est-ce qu'avoir ssh 8.2 pour le support > > u2f sur le bastion (uniquement) pourrait fonctionner si les serveurs > > derrnière n'ont pas encore de ssh 8.2 ? Je suis dans un cas similaire, > > j'aimerai faire du 2FA, probablement fido/u2f, mais je peux pas passer > > tout mes hosts en ssh 8.2 . (vieux cisco, mikrotik, et autre variantes > > mignonnes) . > > > > [...] > > J'aurais tendance à dire que oui tant que tu ne cherches pas à faire de > l'agent-forwarding (c'est à dire que ton client SSH sur le bastion a la > capacité de se connecter à l'agent sur ton poste au travers de la > session que tu as avec le bastion, c'est assez dangereux quand tu ne > maîtrises pas le serveur intermédiaire). Note : gpg-agent ne semble pas > supporter l'agent-forwarding (ou j'ai loupé un truc). > > Dans ce cas, tu as bien du 2FA entre ton poste et le bastion mais plus > entre le bastion et les hôtes finaux/finals. > > Je n'ai jamais joué avec les bastions, préférant me concentrer sur les > clés et le 2FA mais j'imagine que l'idée c'est que tu te connectes à une > machine qui stocke les clés utilisées pour se connecter sur les autres > serveurs ? (en verrouillant l'IP source de connexion à celle du bastion > uniquement).
De ce que j'ai lu dans le man et en re-regardant ma conf, j'utilise le forwarding-agent dans ma config, et je me connecte à un host (final) via un bastion. Dans ce cas, j'ai une clef pour mon bastion, et des clefs/une clef pour mes serveurs derrière, et je ne stocke pas de clef sur le bastion, en toute logique. Dans mon fichier ssh j'utilise les paramèẗres ProxyCommand et ForwardAgent . Je ferai le test dès que j'arrive a me fabriquer un bastion en 8.2, et un client en 8.2 . (Ralala, encore une raison de passer a FB13 ;) ) > > Ceci dit, si c'est le cas, si ton bastion se fait pourrir, l'ensemble de > ton processus sécu est pawned non ? > A moitié, parcque pas de clef sur le bastion. Mais on peut supposer que si je me suis fait pwn le bastion, j'aurais probablement la même vuln' sur mes hosts derrières. > Et Mikrotik, avec leur R&D soft de bulot, ne supporte toujours pas ni > les autorités SSH, ni les clés ECC (nist p384, ed25519). C'est moche > mais ils l'ont promis pour Ros7 (avec l'auto-génération d'éléphants roses). > Right, autant prévoir une teuf officiel dans une salle fermée la semaine prochaine. ;) > Julien > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
