A la maison, j'ai un ordinateur connecte avec l'ADSL, et un domaine en
dyndns.org. Depuis le bureau, je me connecte sur cet ordinateur par ssh
sur l'adresse toto.dyndns.org (donc sans regarder quelle est l'IP), ca
marche tres bien.
Mais, comme l'adresse IP de ma machine maison change tous les jours, ssh
me dit tout le temps qu'il ajoute la cle pour la nouvelle IP dans
known_hosts. Ca ne change rien au fonctionnement de la chose, hein, c'est
juste une ligne de plus a chaque connection, je m'en fiche. Le seul
inconvenient que je vois, c'est que mon known_hosts commence a etre plein
de cles, une pour chaque IP.
Par curiosite, je voulais juste savoir si il existait un moyen de dire a
mon ssh que tel nom d'hote correspondait a des IPs variables, et que ca
n'etait pas la peine de s'embeter avec ca a chaque fois. Certaines cles
dans known_hosts sont stockees avec le nom de machine, et non leur IP,
donc je ne vois pas pourquoi la, il stocke toujours l'IP et pas le nom (je
suis peut-etre pas tres clair, la...).
Je concois bien que le warning est la pour m'informer d'un potentiel
probleme de securite, mais en l'occurrence, ce warning (et le fait qu'il
stocke une cle par IP -- et pas par hostname) ne me sert a rien (et meme,
pourrait etre genant : si je me connecte un jour sur une autre machine qui
a, par hasard, une IP que j'ai deja eu moi, je lui ferais automatiquement
confiance).
Je sais pas si mes explications sont comprehensibles...
--
Rémi Moyen
"Malgré les apparences, le temps est très varié à Nancy :
pluie, nuages, neige, brouillard, grêle, ..."
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Remi Moyen
On Wed, 2 Jul 2003, lgmdmdlsr wrote:
Je concois bien que le warning est la pour m'informer d'un potentiel probleme de securite, mais en l'occurrence, ce warning (et le fait qu'il stocke une cle par IP -- et pas par hostname) ne me sert a rien (et meme, pourrait etre genant : si je me connecte un jour sur une autre machine qui a, par hasard, une IP que j'ai deja eu moi, je lui ferais automatiquement confiance).
Non, dans ce cas le redoutable message suivant va apparaître :
" @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Ah oui, c'est vrai. Mais bon, a l'utilisation, ca serait encore plus chiant : je ne crains pas reellement de me faire pirater une connexion ssh, par contre ca me gaverait d'etre oblige d'aller editer mon known_hosts pour retrouver la bonne cle et l'effacer... -- Rémi Moyen "Malgré les apparences, le temps est très varié à Nancy : pluie, nuages, neige, brouillard, grêle, ..."
On Wed, 2 Jul 2003, lgmdmdlsr wrote:
Je concois bien que le warning est la pour m'informer d'un potentiel
probleme de securite, mais en l'occurrence, ce warning (et le fait qu'il
stocke une cle par IP -- et pas par hostname) ne me sert a rien (et meme,
pourrait etre genant : si je me connecte un jour sur une autre machine qui
a, par hasard, une IP que j'ai deja eu moi, je lui ferais automatiquement
confiance).
Non, dans ce cas le redoutable message suivant va apparaître :
"
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Ah oui, c'est vrai. Mais bon, a l'utilisation, ca serait encore plus
chiant : je ne crains pas reellement de me faire pirater une connexion
ssh, par contre ca me gaverait d'etre oblige d'aller editer mon
known_hosts pour retrouver la bonne cle et l'effacer...
--
Rémi Moyen
"Malgré les apparences, le temps est très varié à Nancy :
pluie, nuages, neige, brouillard, grêle, ..."
Je concois bien que le warning est la pour m'informer d'un potentiel probleme de securite, mais en l'occurrence, ce warning (et le fait qu'il stocke une cle par IP -- et pas par hostname) ne me sert a rien (et meme, pourrait etre genant : si je me connecte un jour sur une autre machine qui a, par hasard, une IP que j'ai deja eu moi, je lui ferais automatiquement confiance).
Non, dans ce cas le redoutable message suivant va apparaître :
" @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Ah oui, c'est vrai. Mais bon, a l'utilisation, ca serait encore plus chiant : je ne crains pas reellement de me faire pirater une connexion ssh, par contre ca me gaverait d'etre oblige d'aller editer mon known_hosts pour retrouver la bonne cle et l'effacer... -- Rémi Moyen "Malgré les apparences, le temps est très varié à Nancy : pluie, nuages, neige, brouillard, grêle, ..."
Remi Moyen
On Wed, 2 Jul 2003, DINH [iso-8859-1] Viêt Hoà wrote:
Par curiosite, je voulais juste savoir si il existait un moyen de dire a mon ssh que tel nom d'hote correspondait a des IPs variables, et que ca n'etait pas la peine de s'embeter avec ca a chaque fois. Certaines cles dans known_hosts sont stockees avec le nom de machine, et non leur IP, donc je ne vois pas pourquoi la, il stocke toujours l'IP et pas le nom (je suis peut-etre pas tres clair, la...).
dans ~/.ssh/config :
CheckHostIP no
Voui, c'est exactement ca. Merci, beau cou ! -- Rémi Moyen "Malgré les apparences, le temps est très varié à Nancy : pluie, nuages, neige, brouillard, grêle, ..."
On Wed, 2 Jul 2003, DINH [iso-8859-1] Viêt Hoà wrote:
Par curiosite, je voulais juste savoir si il existait un moyen de dire a
mon ssh que tel nom d'hote correspondait a des IPs variables, et que ca
n'etait pas la peine de s'embeter avec ca a chaque fois. Certaines cles
dans known_hosts sont stockees avec le nom de machine, et non leur IP,
donc je ne vois pas pourquoi la, il stocke toujours l'IP et pas le nom (je
suis peut-etre pas tres clair, la...).
dans ~/.ssh/config :
CheckHostIP no
Voui, c'est exactement ca.
Merci, beau cou !
--
Rémi Moyen
"Malgré les apparences, le temps est très varié à Nancy :
pluie, nuages, neige, brouillard, grêle, ..."
On Wed, 2 Jul 2003, DINH [iso-8859-1] Viêt Hoà wrote:
Par curiosite, je voulais juste savoir si il existait un moyen de dire a mon ssh que tel nom d'hote correspondait a des IPs variables, et que ca n'etait pas la peine de s'embeter avec ca a chaque fois. Certaines cles dans known_hosts sont stockees avec le nom de machine, et non leur IP, donc je ne vois pas pourquoi la, il stocke toujours l'IP et pas le nom (je suis peut-etre pas tres clair, la...).
dans ~/.ssh/config :
CheckHostIP no
Voui, c'est exactement ca. Merci, beau cou ! -- Rémi Moyen "Malgré les apparences, le temps est très varié à Nancy : pluie, nuages, neige, brouillard, grêle, ..."
Christophe Le Gal
Ah oui, c'est vrai. Mais bon, a l'utilisation, ca serait encore plus chiant : je ne crains pas reellement de me faire pirater une connexion ssh, par contre ca me gaverait d'etre oblige d'aller editer mon known_hosts pour retrouver la bonne cle et l'effacer...
Question idiote : pouquoi tu fais tu ssh alors ?
-- Christophe Le Gal
Ah oui, c'est vrai. Mais bon, a l'utilisation, ca serait encore plus
chiant : je ne crains pas reellement de me faire pirater une connexion
ssh, par contre ca me gaverait d'etre oblige d'aller editer mon
known_hosts pour retrouver la bonne cle et l'effacer...
Ah oui, c'est vrai. Mais bon, a l'utilisation, ca serait encore plus chiant : je ne crains pas reellement de me faire pirater une connexion ssh, par contre ca me gaverait d'etre oblige d'aller editer mon known_hosts pour retrouver la bonne cle et l'effacer...
Question idiote : pouquoi tu fais tu ssh alors ?
-- Christophe Le Gal
Remi Moyen
On Thu, 3 Jul 2003, Manu wrote:
Question idiote : pouquoi tu fais tu ssh alors ?
1 seul service d'ouvert et la possibilité de faire du port forwarding, de la compression, de la copie de fichier et enfin pour confidentialité de la chose et la possibilité de s'authentifier par clefs au lieu d'un mot de passe ? C'est quand même pas mal.
Voila. C'est plus pratique, plus developpe, plus facile, et plus securise qu'un telnet/ftp/rsh/... Je ne vois vraiment pas pourquoi je ne l'utiliserais pas, meme si je n'ai pas besoin de toutes les fonctionnalites qu'il offre.
Et, meme si je ne pense pas etre la cible d'un piratage d'un telnet ou ssh un jour, ca ne fait pas de mal de prendre un minimum de precaution (ie., utiliser ssh et pas telnet), non ? L'assurance, ca ne coute cher qu'avant l'accident. Et comme cette assurance-la est gratuite... -- Rémi Moyen "Malgré les apparences, le temps est très varié à Nancy : pluie, nuages, neige, brouillard, grêle, ..."
On Thu, 3 Jul 2003, Manu wrote:
Question idiote : pouquoi tu fais tu ssh alors ?
1 seul service d'ouvert et la possibilité de faire du port forwarding,
de la compression, de la copie de fichier et enfin pour confidentialité
de la chose et la possibilité de s'authentifier par clefs au lieu d'un
mot de passe ?
C'est quand même pas mal.
Voila. C'est plus pratique, plus developpe, plus facile, et plus securise
qu'un telnet/ftp/rsh/... Je ne vois vraiment pas pourquoi je ne
l'utiliserais pas, meme si je n'ai pas besoin de toutes les
fonctionnalites qu'il offre.
Et, meme si je ne pense pas etre la cible d'un piratage d'un telnet ou ssh
un jour, ca ne fait pas de mal de prendre un minimum de precaution (ie.,
utiliser ssh et pas telnet), non ? L'assurance, ca ne coute cher qu'avant
l'accident. Et comme cette assurance-la est gratuite...
--
Rémi Moyen
"Malgré les apparences, le temps est très varié à Nancy :
pluie, nuages, neige, brouillard, grêle, ..."
1 seul service d'ouvert et la possibilité de faire du port forwarding, de la compression, de la copie de fichier et enfin pour confidentialité de la chose et la possibilité de s'authentifier par clefs au lieu d'un mot de passe ? C'est quand même pas mal.
Voila. C'est plus pratique, plus developpe, plus facile, et plus securise qu'un telnet/ftp/rsh/... Je ne vois vraiment pas pourquoi je ne l'utiliserais pas, meme si je n'ai pas besoin de toutes les fonctionnalites qu'il offre.
Et, meme si je ne pense pas etre la cible d'un piratage d'un telnet ou ssh un jour, ca ne fait pas de mal de prendre un minimum de precaution (ie., utiliser ssh et pas telnet), non ? L'assurance, ca ne coute cher qu'avant l'accident. Et comme cette assurance-la est gratuite... -- Rémi Moyen "Malgré les apparences, le temps est très varié à Nancy : pluie, nuages, neige, brouillard, grêle, ..."
Christophe Le Gal
Question idiote : pouquoi tu fais tu ssh alors ?
1 seul service d'ouvert et la possibilité de faire du port forwarding,
ok pour le port forwardig, scp et tout ca. Mais pour la confidentialite non : a partir du moment ou on a decide qu'on ne faisait plus attention a l'identification de la machine distante, n'importe quel proprio de reseau situe entre le client et le serveur (employeur, fournisseur d'acces, ...) peut faire un "proxy ssh".
-- Christophe Le Gal
Question idiote : pouquoi tu fais tu ssh alors ?
1 seul service d'ouvert et la possibilité de faire du port forwarding,
ok pour le port forwardig, scp et tout ca.
Mais pour la confidentialite non : a partir du moment ou on a decide
qu'on ne faisait plus attention a l'identification de la machine
distante, n'importe quel proprio de reseau situe entre le client et le
serveur (employeur, fournisseur d'acces, ...) peut faire un "proxy ssh".
1 seul service d'ouvert et la possibilité de faire du port forwarding,
ok pour le port forwardig, scp et tout ca. Mais pour la confidentialite non : a partir du moment ou on a decide qu'on ne faisait plus attention a l'identification de la machine distante, n'importe quel proprio de reseau situe entre le client et le serveur (employeur, fournisseur d'acces, ...) peut faire un "proxy ssh".
-- Christophe Le Gal
Christophe Le Gal
le serveur (employeur, fournisseur d'acces, ...) peut faire un "proxy ssh".
Oui, mais mettons que de la machine distante, tu repartes pour aller ailleurs, ça t'évite au moins que le mot de passe soit tapé en clair si quelqu'un entre les deux sniffe la connexion.
Doit yavoir un truc que je pige pas la dedans. A <---ssh-sans-identification---> B <---telnet-en-clair---> C
On est d'accord qu'entre B et C, ca passe en clair, meme si tu utilise du crytage quantique entre A et B.
Donc la question est entre A et B. Que ce soit pour repartir ailleurs ou non. Or si tu ne sais pas si tu parles a B ou a un proxy ssh, tu peux quasiment considerer que ca passe en clair la aussi.
Moi aussi j'ai souvent fait du ssh sans identification verifiee de la machine cible. Je ne critique pas hein. Il y a des tas de cas valables pour ca. D'une part les raison deja donnees (tunnel, en particulier pour X, scp, pas besoin de taper de mot de passe, ...)
D'autre part parce que suivant ou c'est des fois la protection "c'est possible de lire mais ca serait chiant me suffit". Par exemple, juste apres avoir appris aux etudiants comment on sniffe un reseau, il serait sans doute imprudent de se connecter par telenet sur la machine des profs. Meme sans intention de nuire qqn qui continue le TP pourra accidentellement voir des petits secrets. Alors que mettre en place des proxy ssh, c'est une autre affaire. Il faut controler le routeur, et il faut etre motive.
Seulement depuis la maison ce qu'on craint c'est en general le fournisseur d'acces. Et eux ils controlent les routeurs, et ils ne se genent pas pour mettre en place des "proxy transparents".
Et puis surtout j'ai eu l'impression que tu pensais qqc du genre "je m'en fous de savoir a qui je parle du moment que je suis sur que personne ne peut entendre". Je voulais donc juste rappeler que c'est le meme probleme.
-- Christophe Le Gal
le serveur (employeur, fournisseur d'acces, ...) peut faire un
"proxy ssh".
Oui, mais mettons que de la machine distante, tu repartes pour
aller ailleurs, ça t'évite au moins que le mot de passe soit tapé
en clair si quelqu'un entre les deux sniffe la connexion.
Doit yavoir un truc que je pige pas la dedans.
A <---ssh-sans-identification---> B <---telnet-en-clair---> C
On est d'accord qu'entre B et C, ca passe en clair, meme si tu utilise
du crytage quantique entre A et B.
Donc la question est entre A et B. Que ce soit pour repartir ailleurs ou
non.
Or si tu ne sais pas si tu parles a B ou a un proxy ssh, tu peux
quasiment considerer que ca passe en clair la aussi.
Moi aussi j'ai souvent fait du ssh sans identification verifiee de la
machine cible. Je ne critique pas hein.
Il y a des tas de cas valables pour ca.
D'une part les raison deja donnees (tunnel, en particulier pour X, scp,
pas besoin de taper de mot de passe, ...)
D'autre part parce que suivant ou c'est des fois la protection "c'est
possible de lire mais ca serait chiant me suffit". Par exemple, juste
apres avoir appris aux etudiants comment on sniffe un reseau, il serait
sans doute imprudent de se connecter par telenet sur la machine des
profs. Meme sans intention de nuire qqn qui continue le TP pourra
accidentellement voir des petits secrets. Alors que mettre en place des
proxy ssh, c'est une autre affaire. Il faut controler le routeur, et il
faut etre motive.
Seulement depuis la maison ce qu'on craint c'est en general le
fournisseur d'acces. Et eux ils controlent les routeurs, et ils ne se
genent pas pour mettre en place des "proxy transparents".
Et puis surtout j'ai eu l'impression que tu pensais qqc du genre "je
m'en fous de savoir a qui je parle du moment que je suis sur que
personne ne peut entendre". Je voulais donc juste rappeler que c'est le
meme probleme.
le serveur (employeur, fournisseur d'acces, ...) peut faire un "proxy ssh".
Oui, mais mettons que de la machine distante, tu repartes pour aller ailleurs, ça t'évite au moins que le mot de passe soit tapé en clair si quelqu'un entre les deux sniffe la connexion.
Doit yavoir un truc que je pige pas la dedans. A <---ssh-sans-identification---> B <---telnet-en-clair---> C
On est d'accord qu'entre B et C, ca passe en clair, meme si tu utilise du crytage quantique entre A et B.
Donc la question est entre A et B. Que ce soit pour repartir ailleurs ou non. Or si tu ne sais pas si tu parles a B ou a un proxy ssh, tu peux quasiment considerer que ca passe en clair la aussi.
Moi aussi j'ai souvent fait du ssh sans identification verifiee de la machine cible. Je ne critique pas hein. Il y a des tas de cas valables pour ca. D'une part les raison deja donnees (tunnel, en particulier pour X, scp, pas besoin de taper de mot de passe, ...)
D'autre part parce que suivant ou c'est des fois la protection "c'est possible de lire mais ca serait chiant me suffit". Par exemple, juste apres avoir appris aux etudiants comment on sniffe un reseau, il serait sans doute imprudent de se connecter par telenet sur la machine des profs. Meme sans intention de nuire qqn qui continue le TP pourra accidentellement voir des petits secrets. Alors que mettre en place des proxy ssh, c'est une autre affaire. Il faut controler le routeur, et il faut etre motive.
Seulement depuis la maison ce qu'on craint c'est en general le fournisseur d'acces. Et eux ils controlent les routeurs, et ils ne se genent pas pour mettre en place des "proxy transparents".
Et puis surtout j'ai eu l'impression que tu pensais qqc du genre "je m'en fous de savoir a qui je parle du moment que je suis sur que personne ne peut entendre". Je voulais donc juste rappeler que c'est le meme probleme.
