[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] SFTP, port knocking et client graphique.


From Patrick Lamaizière <patgul+gul at davenulle dot org>
Subject Re: [gulliver] SFTP, port knocking et client graphique.
Date Tue, 23 Dec 2008 00:59:23 +0100

Le Tue, 23 Dec 2008 00:08:50 +0100,
"Yohann Lepage" <yohannlepage at gmail dot com> a écrit :

> > Pourquoi as tu peur d'ouvrir un port 24h/24 ?
> Peur n'est pas le mot approprié ! Je dirais plutôt juste une mesure de
> "sécurité" par l'obscurité...
> C'est juste histoire d'éviter des logs trop longs pour des tentatives
> de connexions échouées... Je pourrais juste changer de port mais il
> sera toujours visible.

J'ai zieuté un peu, en pesant les avantages et les inconvénients je me
demande si c'est pas mieux sans. Ça a l'air sujet à pas mal d'attaque
de DOS, nécessite un démon root qui snif tous les paquets... 

Et si ça nécessite le berkeley packet filter (BPF) ce n'est pas sans
impact sur la sécu générale de l'hôte.

Bof, tout ça pour pas grand chose ama.

J'ai aussi zieuté les sources de knockd et j'en voudrais pas sur ma
machine (faire des malloc et des printf dans un gestionnaire de signal
ça craint...)

> > Avec l'affaire debian, les paires de clefs sont moins sécurisées
> > que les mot de passe.
> Je suppose que tu parles de la faille concernant l'entropie des clés.
> Tu considères que malgré la correction de cette faille, un système
> reposant sur des clés est toujours moins sur ? Sources ?

Si la clef est faible oui, c'est la clef qui est en cause.