24 Avr
2018
24 Avr
'18
00:14
Hello, je réagis avec du retard sur la partie sécu. dites-moi si jamais
je réponds à côté.
le tl;dr : la conf ssh c'est important et 2Factor pour re2o
c'est pas déconnant si tu arrive à identifier 2 systèmes distincts. dans
votre cas, je crois bien que tout est interconnecté, donc je suis bien
d'accord avec toi ;)
on distingue l'accès aux
serveurs (clef ssh) et l'élévation de
privilèges (mot de passe) : c'est très sain comme manière de faire.
utiliser le même mot de passe pour se connecter en ssh et pour
l'élévation de privilèges c'est parfait pour un attaquant.
Le combo idéal en sécu est ssh par clef chiffrée par mot de passe et mot
de passe sudo, les 2 de 20 caractères aléatoires stockés dans un keepass
sur ton pc, qui est chiffré. le risque de compromission est
laaaaargement maitrisé.
Comme d'habitude, ce n'est pas la technique qui va créer l'incident de
sécurité, c'est le vieux legacy dans un coin ou une action humaine.
je
propose le 2FA, ça ressemble pas mal. genre "pour pouvoir être admin,
vous devez configurer le 2FA".
Enfin, on a
débattu un peu sur la sécurité. Dans re2o, il n’y a
qu’un seul login/mdp pour
tout.
Avantages :
- plus simple pour les users à comprendre et à retenir comme système
- permet d’éviter la fraude, en effet, il est moins facile de filer
son mdp de
son compte crans en entier à un « ami »
Inconvénient : - le mdp est le même partout, cela peut poser un
problème de sécu
en particulier pour les admin.
On identifie les fonctions sensibles : il s’agit de l’accès web
re2o, et des
accès serveurs (sudo en particulier).
L’autre problème concerne la phase transitoire, il va falloir gérer
les mdp
legacy des machines, mais il « suffira » de tweaker un peu
auth.py au moins temporairement pour ça.
Plusieurs solutions possibles :
Avoir un second compte; on est tous d’accord pour dire que les gens
ne s’y
tiendront pas, cette solution semble trop pénible.
> Pour les admin
ou pour les gens qui le souhaitent, on pourrait
mettre en place un second mot de
passe pour tout ce qui n’est pas le
wifi. Ce n’est pas satisfaisant d’après Charlie, cela n’augmente pas
la sécurité, en effet c’est toujours le même mot de passe entre
l’accès serveur, l’accès gitlab ou l’accès mail, mais surtout les
accès serveurs sudo qui sont la pièce critique, comme actuellement au
CRANS.
On peut forcer l’authentification par clef ssh pour les admin, comme
ça si un mot
de passe est compromis, les accès serveurs ne le sont
pas. Problème : cela ne résout pas le problème de l’accès re2o-web qui
serait toujours le même mot de passe.
Moi forcer l'auth ssh ça me gêne pour plusieures raisons mais vous
avez peut être des solutions :
1) si tu veux faire un sudo..., tu le fais comment sans rentrer ton
mdp ? Tu peux configurer sudo pour être basé sur ta clé ssh ? Parce
que si tu dois taper ton mdp, ça pert de son intérêt. 2) si t'as ssh sur un serveur X et tu veux ssh sur
un serveur
Y(exemple de j'accède aux serveurs depuis l'extérieur donc en passant
par un serveur), tu fais comment ? Tu laisses une clé privé dans ton
home ? Je suis pas fan de laisser n'importe qui qui est sudo la
possibilité de se connecter avec mon compte (même si c'est vrai tu
peux chiffrer ta clé, permettre de la voir, c'est un premier pas vers
l'insécurité. Et si tu chiffres, tu met un mot de passe, et en
pratique ce sera le même que re2o je pense)
Ma solution :
- ssh mot de passe c'est mal
- clef ssh et ProxyCommand (super pratique) ou Agent Forwarding
(attention à bien le configurer) pour aller de serveur en serveur
- Authentification 2 facteurs pour les admins de re2o qui veulent s'y
connecter, avec un token d'authent classique, ça fait une fonctionnalité
à intégrer à re2o, avec un machin déjà existant bien entendu.
- les mots de passe de clef ssh c'est 20 caractères aléatoires, stocké
dans un keypass.
On peut allier les 2 solutions; forcer l’auth par SSH + second mot
de passe pour
les admin permettant de récupérer leurs droits sur
re2o-web, ce qui permet de couvrir à peu près tout. Le débat reste ouvert.
Sachez que vous ne pourrez pas forcer l'auth ssh partout. Je sais que
chez nous, par experience, c'est mort pour que tous le monde ait une
clé ssh.
c'est assez simple en fait : "file moi ta clef ssh je
l'ajoute dans le
ldap" -> et boum ça marche.
Et je pense aussi pour que les gens s'emmerdent
avec deux mots de
passe (même les admins). Ça va plus fermer les portes aux curieux qui
veulent découvrir le rézo qu'etre bénéfique je pense (pour rennes en
tout cas).
Donc même si je suis d'accord avec vous sur le principe, en pratique,
ce serait cool de laisser la possibilité de continuer comme c'est
actuellement