Une importante faille de sécurité a été découverte dans la distribution DEBIAN il y a quelques jours sur un composant essentiel de GNU/Linux.
Cette faille affecte la génération aléatoire de paires de clef SSH, ...
lire la suite
<< Source Linuxfr.org >>
Laissez vos commentaires...
Il y a actuellement 234 visiteurs
Lundi 25 Novembre 2024
       |
[Publié] Faille de sécurité chez GNU/Linux Debian
8 messages
• Page 1 sur 1
le 18 Mai 2008 19:40
Pour information, certaines applications Linux se servent d'une paire de clefs SSH fixe et par défaut dans leur installation de base. C'est le cas de NXSERVEUR de NOMACHINE.
Suite à l'introduction d'une liste de blacklistage de clefs, il arrive donc hélas que la paire de clef NX en configuration par défaut ne peut plus fonctionner. C'est bien entendu détournable, mais assez pénalisant pour l'administration puisqu'il faut générer une paire de clefs perso et écraser les clefs SSH par défaut du serveur NX et des clients.
A faire :
=> sur le serveur :
1 - générer une paire de clef dsa (id_dsa et id_dsa.pub) et les copier dans /var/lib/nxserver/home/.ssh
2 - remplacer le contenu du fichier /var/lib/nxserver/home/.ssh/authorized_keys2 par celui de id_dsa.pub (clef publique)
3 - remplacer le contenu du fichier /var/lib/nxserver/home/.ssh/client.id_dsa.key par celui de id_dsa (clef privée)
4 - éditer le fichier de clef publique (authorized_keys2) et rajouter juste avant le bloc "ssh-dss..." les mentions : no-port-forwarding,no-X11-forwarding,no-agent-forwarding,command="/usr/lib/nx/nxserver"
(pour obtenir donc no-port-forwarding,no-X11-forwarding,no-agent-forwarding,command="/usr/lib/nx/nxserver" ssh-dss...)
=> sur le client, dans la configuration de nxclient :
1 - lancez nxclient et allez dans configuration
2 - éditer le fichier KEY, supprimez la clef NOMACHINE (commençant par MIIBuwIBAA...) et mettez à la place le contenu de clef privée fichier "client.id_dsa.key")
Il faut hélas changer la clef privée sur tous les clients NXCLIENT. C'est pénalisant mais on positivera en disant que ça renforce la sécurité puisque ce n'est plus une clef NOMACHINE par défaut.
Suite à l'introduction d'une liste de blacklistage de clefs, il arrive donc hélas que la paire de clef NX en configuration par défaut ne peut plus fonctionner. C'est bien entendu détournable, mais assez pénalisant pour l'administration puisqu'il faut générer une paire de clefs perso et écraser les clefs SSH par défaut du serveur NX et des clients.
A faire :
=> sur le serveur :
1 - générer une paire de clef dsa (id_dsa et id_dsa.pub) et les copier dans /var/lib/nxserver/home/.ssh
2 - remplacer le contenu du fichier /var/lib/nxserver/home/.ssh/authorized_keys2 par celui de id_dsa.pub (clef publique)
3 - remplacer le contenu du fichier /var/lib/nxserver/home/.ssh/client.id_dsa.key par celui de id_dsa (clef privée)
4 - éditer le fichier de clef publique (authorized_keys2) et rajouter juste avant le bloc "ssh-dss..." les mentions : no-port-forwarding,no-X11-forwarding,no-agent-forwarding,command="/usr/lib/nx/nxserver"
(pour obtenir donc no-port-forwarding,no-X11-forwarding,no-agent-forwarding,command="/usr/lib/nx/nxserver" ssh-dss...)
=> sur le client, dans la configuration de nxclient :
1 - lancez nxclient et allez dans configuration
2 - éditer le fichier KEY, supprimez la clef NOMACHINE (commençant par MIIBuwIBAA...) et mettez à la place le contenu de clef privée fichier "client.id_dsa.key")
Il faut hélas changer la clef privée sur tous les clients NXCLIENT. C'est pénalisant mais on positivera en disant que ça renforce la sécurité puisque ce n'est plus une clef NOMACHINE par défaut.
-
CaSa - PC-Infopraticien
- Messages: 9048
- Inscription: 13 Mai 2003 16:32
- Localisation: Sisteron... et jamais loin d'une Debian
le 18 Mai 2008 19:46
es-ce que Unbuntu en fait partie?
-
etienne2000 - PC-Infopraticien
- Messages: 2162
- Inscription: 14 Avr 2006 18:39
- Localisation: 4E 65 75 63 68 E2 74 65 6C 2F 53 75 69 73 73 65
le 18 Mai 2008 20:10
Oui, Ubuntu est une dérivée de Debian et se base sur le développement de la branche Debian.
Debian, (XK)Ubuntu, Xandros, Knoppix, Kaella, Mepis, etc...
=> http://fr.wikipedia.org/wiki/Cat%C3%A9g ... _de_Debian
Debian, (XK)Ubuntu, Xandros, Knoppix, Kaella, Mepis, etc...
=> http://fr.wikipedia.org/wiki/Cat%C3%A9g ... _de_Debian
-
CaSa - PC-Infopraticien
- Messages: 9048
- Inscription: 13 Mai 2003 16:32
- Localisation: Sisteron... et jamais loin d'une Debian
le 18 Mai 2008 22:59
@etienne2000 : regarde la branche Debian :
http://upload.wikimedia.org/wikipedia/c ... ne-7.5.svg
@CaSa : Ca aurait pu poser problème sur les transactions bancaires par exemple ?
http://upload.wikimedia.org/wikipedia/c ... ne-7.5.svg
@CaSa : Ca aurait pu poser problème sur les transactions bancaires par exemple ?
-
Skynet - Moderateur
- Messages: 14807
- Inscription: 19 Juil 2007 21:12
le 19 Mai 2008 10:54
Skynet a écrit:@CaSa : Ca aurait pu poser problème sur les transactions bancaires par exemple ?
Je ne sais pas, ça dépendait du système employé c'est vraiment spécifique à Debian et à l'utilisation de la bibliothèque OpenSSL. Cela dit si tu parles des transactions bancaires ponctuelles, les paires de clefs ne sont générées que pour servir provisoirement, je ne pense pas qu'on puisse détourner une connexion dans ce laps de temps très court.
Il y a des systèmes qui ne se servent pas de OpenSSL pour la gnéération de paires de clefs et qui n'ont donc pas été touchés par le bug. C'est le cas de GPG et des générations de clefs de chiffrage/signatures mail ou des signatures de paquets programmes.
Heureusement d'ailleurs, la galère mondiale s'il avait fallu également regénérer les clefs mails.
-
CaSa - PC-Infopraticien
- Messages: 9048
- Inscription: 13 Mai 2003 16:32
- Localisation: Sisteron... et jamais loin d'une Debian
le 19 Mai 2008 14:57
Ah ok. de toute façon je n'utilise pas Ubuntu pour les transactions bancaires donc a ce niveau la c'est bon 
-
etienne2000 - PC-Infopraticien
- Messages: 2162
- Inscription: 14 Avr 2006 18:39
- Localisation: 4E 65 75 63 68 E2 74 65 6C 2F 53 75 69 73 73 65
le 19 Mai 2008 18:40
Ok,
donc au final, et vu que c'est corrigé, personne n'a recensé de problème
suite à cette faille apparemment...
C'était simplement de la curiosité pour ma question, puisque mes paiements
ont été faits sur d'autres distributions d'une branche différente.
Mais bon, vu que j'aime bien Bubuntu, SymphonyOS, Linux Mint et PureOS, je note l'info.
Les utilisateurs des EeePC ont intérêt à faire leur mise à jour aussi.
C'est sans oublier la célèbre distribution : Damn Small Linux
donc au final, et vu que c'est corrigé, personne n'a recensé de problème
suite à cette faille apparemment...
C'était simplement de la curiosité pour ma question, puisque mes paiements
ont été faits sur d'autres distributions d'une branche différente.
Mais bon, vu que j'aime bien Bubuntu, SymphonyOS, Linux Mint et PureOS, je note l'info.
Les utilisateurs des EeePC ont intérêt à faire leur mise à jour aussi.
C'est sans oublier la célèbre distribution : Damn Small Linux
-
Skynet - Moderateur
- Messages: 14807
- Inscription: 19 Juil 2007 21:12
8 messages
• Page 1 sur 1
Sujets similaires
Installé linux mint sur un pc portableBonsoir Je voudrais offrir un pc portable d'occasion à ma fille pour noël, celui-là ⇒ https://www.leboncoin.fr/ordinateurs/2412594059.htmElle utilise souvent mon pc et elle aime bien mint, alors est-ce que je vais pouvoir installer Linux sur ce pc, sans trop de souci ? Merci
Réponses: 65
Il y a t-il un antivirus compatible avec LInux ?Salut, je suis sur Kali Linux, je cherche un anitivrus compatible avec Linux, mais les antivrus connu comme Norton, AVG, Avast ou Bitdefender ne sont pas compatible avec Linux, et il semble que McAfee est cessé sa compatibilité avec Linux en Septembre 2023.Je ne fais pas confiance aux antivirus grat ...
Réponses: 5
[Réglé] Il y a-t-il une appli bloc-note sur Kali Linux ?Salut, j'ai essayé d'installer le logiciel simple note sur Kali Linux, même après avoir résolut le problème des dépendances, ça ne marche pas, je voudrais savoir si il existe sur Kali Linux une application pré-installé qui fait office de bloc-note numérique ?Si oui, quelle est sont nom ?Quelqu'un pe ...
Réponses: 2
[Réglé] Problème de dépendance manquantes sur Kali LinuxSalut, j'ai essayé d'installer un logiciel (Free download manager) sur Kali Linux Mais quand j'ai essayé de l'installer, ça a affiché qu'il y a des dépendance manquantesQuelqu'un peut-il m'aider à résoudre ce problème s'il vous plaît ?
Réponses: 1
Sécurité des sites webBonjour à tous,Je suis en train de me pencher sur les meilleures pratiques pour vérifier la sécurité des sites web. Avec la multiplication des cyberattaques, quelles sont les méthodes que vous utilisez pour évaluer la fiabilité d'un site avant d'y entrer des informations sensibles ? Utilisez-vous de ...
Réponses: 2
Comment installer des logiciels sur Kali LinuxSalut, j'ai installé Kali Linux en dual boot sur mon PC, il fonctionne très bien, mais quand je télécharger des logiciels et quand je double clique sur le fichier du logiciel, ça n'affiche pas la procédure d'installation comme sur Windows.Quelqu'un peut-il m'aider à résoudre ce problème, s'il vous p ...
Réponses: 3
Problème d'installation Kali Linux Dual bootBonjour, j'ai crée une nouvelle partition pour l'installation de Kali Linux, après j'ai démarrer l'installation de Kali Linux en dual boot via clé USB, j'ai suivi les instructions, mais quand je clique sur terminer le partitionnement et appliquer les changements, ça affiche "Aucun système de fi ...
Réponses: 1
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 7 invités
|
.: Nous contacter :: Flux RSS :: Données personnelles :. |