Full Circle Magazine FR

Outils pour utilisateurs

Outils du site

Piste :
issue100:site_web_from_scratch

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
issue100:site_web_from_scratch [2015/09/14 19:11] auntieeissue100:site_web_from_scratch [2015/09/15 11:14] (Version actuelle) auntiee
Ligne 279: Ligne 279:
 Avant de poursuivre, parlons un peu de la sécurité du mot de passe de la clé privée. Avant de poursuivre, parlons un peu de la sécurité du mot de passe de la clé privée.
  
-En règle générale, les systèmes modernes de chiffrage sont plutôt robustes. Cependant, parfois des libertés sont prises et on pourra plus facilement faire tomber les défenses de tout le système. +En règle générale, les systèmes modernes de chiffrage sont plutôt robustes. Cependant, parfois des libertés sont prises et on pourrait plus facilement faire tomber les défenses de tout le système. 
  
 **If you are familiar with the Enigma encryption system used by Germans during World War 2 – that was a really robust encryption system. For whatever (good?) reason, the creators decided that a character could not be encrypted as itself. Well, this feature inserted a weakness because it reduced the number of combinations the cypher could produce. It's obviously not the only reason why the code was broken – my point is that a small decision (by sloppiness or not) lowered the encryption strength of a well thought system. **If you are familiar with the Enigma encryption system used by Germans during World War 2 – that was a really robust encryption system. For whatever (good?) reason, the creators decided that a character could not be encrypted as itself. Well, this feature inserted a weakness because it reduced the number of combinations the cypher could produce. It's obviously not the only reason why the code was broken – my point is that a small decision (by sloppiness or not) lowered the encryption strength of a well thought system.
Ligne 308: Ligne 308:
 [NOTE: the above is all one line]** [NOTE: the above is all one line]**
  
-Si vous connaissez le système de chiffrage Enigma utilisé par les Allemands pendant la Seconde Guerre mondiale, c'était un système de chiffrage vraiment robuste. Pour quelque (bonne ?) raison, les créateurs avaient décidé qu'un caractère ne pouvait pas s'encoder lui-même. Eh bien, cette fonctionnalité a introduit une faiblesse parce qu'elle réduisait le nombre de combinaisons que le codeur pouvait produire. Ce n'est pas l'unique raison pour laquelle le code fut à cassé mais il me semble que cette décision mineure (par négligence ou non) a réduit la force de chiffrage de tout le système.+Si vous connaissez le système de chiffrage Enigma utilisé par les Allemands pendant la Seconde Guerre mondiale, c'était un système de chiffrage vraiment robuste. Pour quelque (bonne ?) raison, les créateurs avaient décidé qu'un caractère ne pouvait pas s'encoder lui-même. Eh bien, cette fonctionnalité a introduit une faiblesse parce qu'elle réduisait le nombre de combinaisons que le codeur pouvait produire. Ce n'est pas l'unique raison pour laquelle le code fut cassé mais il me semble que cette décision mineure (par négligence ou non) a réduit la force de chiffrage de tout le système.
  
-C'est pareil pour SSH : les clés privées peuvent être protégées par mot de passe (rappel : 12345 dans notre exemple), cependant, le chiffrage n'est pas aussi fort que vous pourriez le penser. Grâce à l'Open Source, quelqu'un a remarqué la faiblesse et il est facilement possible d'augmenter sérieusement le chiffrage de la clé privée. Si vous êtes intéressé pour le faire - juste pour le plaisir, en fait - je vous recommande de lire cet excellent blog : http://martin.kleppmann.com/2013/05/24/improving-security-of-ssh-private-keys.html.+C'est pareil pour SSH : les clés privées peuvent être protégées par mot de passe (rappel : 12345 dans notre exemple), cependant, le chiffrage n'est pas aussi fort que vous pourriez le penser. Grâce à l'Open Source, quelqu'un a remarqué la faiblesse et il est facilement possible d'augmenter sérieusement le chiffrage de la clé privée. Si vous le faire vous intéresse - juste pour le plaisir, en fait - je vous recommande de lire cet excellent blog : http://martin.kleppmann.com/2013/05/24/improving-security-of-ssh-private-keys.html.
  
 En résumé : En résumé :
 • Faites une copie de votre clé privée, • Faites une copie de votre clé privée,
-• créez 2 fichiers - file1.txt avec le mot de passe d'origine et file2.txt avec le nouveau mot de passe. Les deux fichiers peuvent avoir le même mot de passe (12345 pour nous) mais vous devez créer les deux fichiers,+• créez 2 fichiers - file1.txt avec le mot de passe d'origine et file2.txt avec le nouveau mot de passe. Les deux fichiers peuvent avoir le même mot de passe (12345 pour nous)mais vous devez créer les deux fichiers,
 • modifiez le chiffrage. • modifiez le chiffrage.
  
Ligne 333: Ligne 333:
 openssl pkcs8 -topk8 -v2 des3 -in /home/tux/.ssh/id_rsa_iceberg.bak -out /home/tux/.ssh/id_rsa_iceberg -passin file:file1.txt -passout file:file2.txt openssl pkcs8 -topk8 -v2 des3 -in /home/tux/.ssh/id_rsa_iceberg.bak -out /home/tux/.ssh/id_rsa_iceberg -passin file:file1.txt -passout file:file2.txt
  
-[NOTE : Ci-dessus, il s'agit d'une seule ligne !)+[NOTE : Ci-dessus, il ne s'agit que d'une seule ligne !)
  
 **Now the private key will be protected with the password included in file2.txt, and properly encrypted! **Now the private key will be protected with the password included in file2.txt, and properly encrypted!
Ligne 363: Ligne 363:
 (this is read-only and expected by ssh).** (this is read-only and expected by ssh).**
  
-À partir de maintenant, la clé privée sera protégée par le mot de passe inclus dans file2.txt, et proprement chiffrée !+À partir de maintenant, la clé privée sera protégée par le mot de passe inclus dans file2.txt, et chiffrée comme il faut !
  
-De façon à se connecter à iceberg, nous avons besoin d'une copie de la clé privée id_rsa_iceberg sur notre ordinateur. On peut le faire de différentes façons (scp par exemple, ou une copie sécurisée) ; cependant, pourquoi pas un simple copier/coller ?+Pour pouvoir se connecter à iceberg, nous avons besoin d'une copie de la clé privée id_rsa_iceberg sur notre ordinateur. On peut le faire de différentes façons (scp par exemple, ou une copie sécurisée) ; cependant, pourquoi pas un simple copier/coller ?
  
 Faisons-le : Faisons-le :
Ligne 389: Ligne 389:
 chmod 400 id_rsa_iceberg chmod 400 id_rsa_iceberg
  
-(il est en lecture seule, sauf pour ssh).+(il est en lecture seule et ssh s'y attend).
  
 **We should now try to connect to iceberg using our ssh key. **We should now try to connect to iceberg using our ssh key.
Ligne 425: Ligne 425:
 Vous devriez avoir une demande de mot de passe pour la clé privée (c'est 12345) et vous devriez ensuite être connecté à iceberg. Vous devriez avoir une demande de mot de passe pour la clé privée (c'est 12345) et vous devriez ensuite être connecté à iceberg.
  
-Réglage final de la sécurité : nous allons maintenant interdire toutes les connexions à iceberg.+Réglage final de la sécurité : nous allons maintenant interdire toutes les connexions par mot de passe à iceberg.
  
 Revenez au fichier /etc/ssh/sshd_config et faites quelques modifications : Revenez au fichier /etc/ssh/sshd_config et faites quelques modifications :
Ligne 435: Ligne 435:
 • Changez LoginGraceTime de 120 à 20 (ceci autorise 20 connexions simultanées – c'est largement assez). • Changez LoginGraceTime de 120 à 20 (ceci autorise 20 connexions simultanées – c'est largement assez).
  
-Sauvegardez et redémarrez le service ssh (service ssh restart).+Enregistrez, quittez et redémarrez le service ssh (service ssh restart).
  
 Essayez ssh tux@104.236.124.121 Essayez ssh tux@104.236.124.121
  
-Vous devriez recevoir Permission denied (publickey) -permission refusée (clé publique). Cela signifie que l'authentification du mot de passe n'est pas autorisée.+Vous devriez recevoir Permission denied (publickey) - permission refusée (clé publique). Cela signifie que l'authentification du mot de passe n'est pas autorisée.
  
 Maintenant, nous sommes complètement sécurisés. Maintenant, nous sommes complètement sécurisés.
Ligne 461: Ligne 461:
 En résumé : En résumé :
 • root ne peut pas se connecter. • root ne peut pas se connecter.
-• Seules les clés RSA sont autorisées pour l'authentification.+• seules les clés RSA sont autorisées pour l'authentification.
  
 La prochaine fois, nous sécuriserons le serveur en utilisant les règles du pare-feu (le serveur est grand ouvert, mais quand même assez sécurisé pour aujourd'hui). La prochaine fois, nous sécuriserons le serveur en utilisant les règles du pare-feu (le serveur est grand ouvert, mais quand même assez sécurisé pour aujourd'hui).
Ligne 473: Ligne 473:
 Avec l'instantané, la VM peut être recréée dans le même état qu'au moment où il a été pris. Avec l'instantané, la VM peut être recréée dans le même état qu'au moment où il a été pris.
  
-Si vous utilisez un autre fournisseur de Nuage, vérifiez leur documentation pour ne pas payer quand la VM n'est pas en cours d'utilisation.+Si vous utilisez un autre fournisseur de Nuage, vérifiez leur documentation pour vous assurer de ne pas payer quand la VM n'est pas en cours d'utilisation.
issue100/site_web_from_scratch.1442250700.txt.gz · Dernière modification : 2015/09/14 19:11 de auntiee