Le 19/07/2023 à 11:26, RogerT a écrit :
Merci beaucoup pour tes pointeurs. Je vais étudier ça. Le HSM gérera la clef ; ou plutôt il gérera la passphrase de protection beaucoup plus courte que la clef elle-même 2048 bits. En pratique, sais-tu si pour utiliser un HSM on DOIT s’interfacer avec le système via PAM ? (Je me dis que oui, car je crois savoir que l’authentification par LDAP passe par PAM). Qui a de l’expérience sur utiliser un HSM via ou sans PAM ? Merci.
rappel d'avertissement: je suis une tanche en réseau et sécurité, donc ne te fie surtout pas à mes suppositions sans te référer à des personnes dont tu estimes qu'elles ont une expertise valable et sans étudier avec esprit critique les solutions possibles.
J'ai l'*impression* (je suis une tanche) que les bonnes pratiques actuellement recommandent l'emploi de PAM au sein d'un groupe de solutions lorsqu'il s'agit d'un contexte réseau global (exemple: réseau d'une grosse entreprise, par opposition à un réseau d'un particulier offrant un unique service quelconque sans que les conséquences soient catastrophiques si il y a intrusion dans le réseau) ayant des impératifs de sécurité.
Mais j'ai l'*impression* qu'il est possible, même pour un administrateur réseau consciencieux et prudent, d'avoir laissé des trous dans sa config PAM qui permettent le contournement de PAM.
Donc j'ai l'*impression* aussi qu'il doit être possible de volontairement court-circuiter PAM pour employer un HSM, probablement dans un but de simplification
Mais j'ai aussi l'*impression* que ce serait potentiellement contre-productif puisque le but de PAM me semblant plus ou moins de border la sécurité d'accès en général et l'emploi d'un HSM représentant un cas d'emploi, ce serait alors potentiellement bizarre de vouloir contourner PAM par facilité.
Tu noteras que ça fait beaucoup d'impressions et qu'il ne serait pas sage de s'appuyer trop fort là-dessus ;-)
Si tu me permets une suggestion (amicale et d'un ignare du sujet), la réponse que t'a faite Michel Verdier par ailleurs pourrait laisser penser que comme moi, il s'interroge sur la clarté de tes objectifs (qu'est-ce que tu veux faire exactement?), et peut-être pourrais-tu essayer de débroussailler le but à atteindre sans dans un premier temps envisager les moyens à mettre en oeuvre (ici un HSM) car ça influe sur la réflexion
:-)