[Conseils] gestion clés SSH

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Conseils] gestion clés SSH

esox13

Salut,
J'ai une question concernant la gestion des clés SSH. Cela concerne les bonnes pratiques en matière de génération de clés et de leur stockage.
Doit-on générer un couple de clés distincts pour chaque service/serveur à gérer ou peut-on utiliser le même jeu pour chaque serveur. Où alors une paire de clés doit-elle être associé à l'entité depuis laquelle on se connecte. (une paire de clé par machine cliente).
En fait, j'ai de plus en plus de machines à gérer et cela depuis des endroits différents (boulot, maison, en déplacement) et je me retrouve souvent avec mes clés copiés ici et là (clés USB, station pro, portable perso, etc...) et je me dis que celà est sûrement tout sauf ce qu'il faut faire en matière de secu.
Ce n'est pas que j'ai des trucs ultra confidentiels sur mes boxs, mais bon j'aimerai savoir ce que dis la doctrine en la matière.
Je suis sûr que nombre d'entre vous ont du apprendre ça lors de leurs cours mais pour ma part je suis plutôt une auto-didacte et sur ce coup là j'ai du mal à me faire une idée de ce qui est le mieux...
J'ai vu qu'il existait des trucs genre nitrokey mais ça vaut la peau des kneps, alors, qu'en pensez*vous ?

Aerya

Salut,

Perso c'est une clé par compte SSH et un compte (login) différent sur chaque machine. Notamment pour ne jamais me planter de PC/serveur et faire une boulette (hélas d'expérience...).

Flip

salut,

Personnellement j'utilise une pair de clé par poste client, et j'autorise sur mesure. Mais bon pareil je sais pas si c'est la bonne méthode.

Je te remercie d'avoir posé cette question, je me la suis aussi déja posé 😄

Edit:
Aerya je suis pas sûre d'avoir compris
en gros tu as plusieurs clé sur ta machine cliente, une pour chaque serveur ?

esox13

Oki. Donc rien de figé, chacun fait un peu ce qu'il lui semble le mieux. A part mettre des droits stricts sur ses clés et pas les stocker sur le cloud, pas de trucs genre un gestionnaire de clés type coffre fort ou autre à me conseiller?
Flip : Grave oui ! Dès fois je me dis que c'est un vrai bordel et que j'ai pleins de copies de mes clés un peu partout et que c'est mal. :-1_tone1:

xavier

Salut

pareil que @Aerya une paire par machine et un compte unix ou autres(pam sql etc)) pour chaque machine/service.
c’est mieux au niveaux sécurité et plus facile a géré les services

Flip

j'utilise keepassx pour les emmener avec moi je fais un zip avec le jeu de clé et je joint l'archive a une entrée
picture alt
Le password ne correspont pas ala passphrase hein !!!

xataz

Je suis pas sur qu'il y ai vraiment de règle.
Perso une clé privé par machine cliente, + certains serveurs qui ont une clé spécifique.
Toutes mes clés sauvegarder (chiffrer auparavant bien-sur) sur divers clé/disque.

esox13

Bon bah merci ça va je ne suis pas trop un mauvais élève alors.
Je vais quand même faire un peu le ménage je pense pas que ce soit la peine de multiplier trop les clés.
Par contre il y a un temps j'avais lu une doc super intéressante sur la sécurité de SSH sur le site de l'ANSSI.
Je vous pousse le lien : https://www.ssi.gouv.fr/uploads/2014/01/NT_OpenSSH.pdf