Re: Authentification ssh et PAM

To: debian-user-french@lists.debian.org
Subject: Re: Authentification ssh et PAM
From: RogerT <roger.tarani@free.fr>
Date: Wed, 19 Jul 2023 11:14:12 +0200
Message-id: <[🔎] B3F123D9-A9BC-49C4-BA6B-51295FE10022@free.fr>
In-reply-to: <[🔎] 87bkg875yz.fsf@free.fr>
References: <[🔎] 87bkg875yz.fsf@free.fr>


> Le 19 juil. 2023 à 09:05, Michel Verdier <mv524@free.fr> a écrit :
> Le 18 juillet 2023 roger tarani a écrit :
> 
>> Quel est le mécanisme détaillé conduisant à l'authentification de l'utilisateur par l'hôte distant ? 
>> (la clef privée reste sur l'hôte local ; comment la clef publique et la clef privée sont-elles liées ? par la création d'un jeton ? ou autre ? )
> 
> La clef publique est indiquée au serveur lors de la demande de connexion.
> Le serveur s'en sert ensuite pour décrypter une phrase cryptée par le
> client avec sa clef privée.

Je ne comprends pas. 
Pour chiffrer une phrase il suffit de la clef publique. 
Pour déchiffrer une phrase il faut la clef privée. 
Le serveur a seulement la clef publique.  
Le client a les deux clefs. 
Seul le client peut déchiffrer une phrase chiffrée. 
Comment fait le serveur ssh pour savoir que c’est bien le détenteur de la clef privée qui frappe à la porte ?
Je ne vois que ça : le serveur chiffre une phrase et l’envoie au client qui lui retourne déchiffrée. Il compare et constate si le client a su déchiffrer. C’est ça ?

>> Stocker la clef privée localement avec pour seule protection des droits 600 me semble léger même si c'est habituel.
> 
> L'idée c'est quand même d'y mettre un mot de passe pour avoir les 2
> facteurs d'authentification.
Ça enlève l’intérêt d’une authentification rapide.
Ou alors il faut un gestionnaire de pwd pour stocker la phrase de passe…

> 
>> Si je décide de stocker la clef privée en dehors de l'hôte local, soit sur une
>> clef flash déconnectée du réseau (avec ou sans chiffrement), soit carrément
>> sur un HSM, comment dois-je procéder pour qu'elle soit utilisée par le système
> 
> sur le client il faut utiliser le paramètre -i pour utiliser le clef adhoc
> ou l'indiquer dans ~/.ssh/config du client. Donc il faut monter ta clef
> pour qu'elle soit accessible par le client.
Entendu.
Modulo le nom du dev /dev/sdb …
Sauf à utiliser un UUID pour le device (ça se fait, je crois). 

> 
>> En cherchant, j'ai lu des choses sur PAM que je n'ai jamais pratiqué. 
>> https://linux.goffinet.org/administration/securite-locale/pluggable-authentication-modules-pam/ 
>> 
>> Puis-je utiliser ce qui existe (biblio PAM) pour faire communiquer l'hôte local et le HSM afin de réaliser une authentification ssh ? 
>> Comment faut-il faire ?
> 
> Je ne comprend pas ce que tu cherches à faire ? Tu veux qu'une
> authentification PAM passe par ssh et pas par le login habituel ?
Je me dis que pour que le HSM se substitue à moi dans la gestion des clefs, et aller au-delà d’indiquer le chemin de la clef (avec ssh -i) il faut sans doute utiliser PAM (d’ailleurs, qui sert aussi à interfacer une authentification LDAP).

Reply to:

Follow-Ups:
- Re: Authentification ssh et PAM
  - From: Michel Verdier <mv524@free.fr>

References:
- Re: Authentification ssh et PAM
  - From: Michel Verdier <mv524@free.fr>

Prev by Date: Re: [Résolu] configurer client mail par défaut
Next by Date: Re: Authentification ssh et PAM
Previous by thread: Re: Authentification ssh et PAM
Next by thread: Re: Authentification ssh et PAM
Index(es):
- Date
- Thread