3 votes

Jim avatar

Y a-t-il un risque de sécurité à créer des clés publiques/privées à la racine et à ajouter la clé publique au répertoire Github ?

Demandé el 3 de Octobre, 2018
Quand la question a-t-elle été
158 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je voudrais faire un contrôle de version sur certains répertoires importants de mon serveur comme /etc/apache. Tous les fichiers et sous-répertoires de ce répertoire sont la propriété de root:root. Serait-il considéré comme un risque de sécurité de créer une paire de clés publique/privée pour mon utilisateur root, d'ajouter cette clé à un repo Github, puis de stocker ce répertoire apache sur Github ? Si c'est un risque pour la sécurité, quelle est la meilleure méthode pour stocker les répertoires système (par opposition aux répertoires personnels) sur Github ?

Demandé el 3 de Octobre, 2018 par Jim

1 votes

Avatar de Michael Hampton

La meilleure pratique est de ne pas le faire. Utilisez plutôt un dépôt git privé.

Commenté el 3 de Octobre, 2018 par Michael Hampton

2 votes

Avatar de tsizmo

Notez que vous pouvez voir les clés publiques SSH de n'importe quel utilisateur de GitHub en allant à l'adresse suivante github.com/USERNAME.keys . Les "clés publiques" sont vraiment publiques.

Commenté el 3 de Octobre, 2018 par tsizmo

Réponses

Trop de publicités?

5voto

potom avatar
potom Points 320

Il ne s'agit pas d'un risque de sécurité en soi - les clés publiques sont publiques.

Cependant, vous pouvez toujours vouloir garder vos fichiers de configuration au moins un peu privés plutôt que de les exposer au monde entier sur github. Que faire si vous avez une mauvaise configuration dans la configuration qui a des implications de sécurité ? Vous ne devez pas nécessairement le montrer à tout le monde.

Jetez un œil aux dépôts privés de GitHub (vous aurez besoin d'un abonnement), ou regardez sur GitLab (les dépôts privés sont gratuits), ou hébergez votre dépôt GIT sur un serveur que vous contrôlez.

Répondu el 3 de Octobre, 2018 par potom (320 Points )

0 votes

Avatar de Jim

Merci. En fait, j'utilise BitBucket, donc le dépôt en question est privé. J'ai simplement utilisé Github dans ma question car il est plus connu que BB mais le principe est le même.

Commenté el 3 de Octobre, 2018 par Jim

0 votes

Avatar de Rusty Weber

Je suis également d'accord avec Potom. Avoir des fichiers de configuration d'apache où n'importe qui peut les lire est un danger. Avez-vous pensé à faire un serveur git local à votre réseau ou à votre machine ?

Commenté el 3 de Octobre, 2018 par Rusty Weber

0 votes

Avatar de Jim

Non, je n'y ai pas pensé. Je pense qu'à l'heure du "cloud computing", ce ne serait pas nécessaire. Je voyage constamment et je n'ai pas de domicile fixe, donc il n'est pas possible de conserver une machine locale. Je suppose que je pourrais créer ma propre VM dans le nuage mais, encore une fois, il devrait y avoir une meilleure solution.

Commenté el 3 de Octobre, 2018 par Jim
Afficher 1 autres commentaires

-1voto

Rusty Weber avatar
Rusty Weber Points 462

OUI.

Si la clé publique est accessible à une personne en qui vous n'avez pas confiance, il s'agit d'un risque de sécurité, à moins qu'une clé d'une longueur suffisante ait été générée. Il faut BEAUCOUP de puissance de calcul et de temps pour extraire tous les nombres premiers utilisés dans la création d'une paire de clés RSA, mais avec suffisamment de temps et d'efforts, la clé peut être cassée. Cependant, par BEAUCOUP Je veux dire beaucoup de temps et d'efforts. Comme, des centaines d'années de calcul. En général, les seules personnes disposant de ce genre de ressources sont les gouvernements et même dans ce cas, ils peuvent avoir des difficultés à casser le cryptage.

CEPENDANT ! Lorsque vous générez une paire de clés ssh RSA, vous pouvez rendre la tâche plus difficile, au point de la rendre pratiquement impossible, pour quiconque souhaite désosser votre clé privée en augmentant la longueur des clés générées. Pour chaque bit supplémentaire, vous augmentez la quantité de travail qu'un ordinateur doit effectuer pour craquer votre code d'un facteur 2 environ. La longueur par défaut des clés RSA dans ssh est de 2048. Voici un exemple de création d'une clé d'une taille de 4096.

ssh-keygen -t rsa -b 4096

Cette clé devrait être nettement plus difficile à craquer et sa taille peut même être augmentée à partir de là. Le hub Git recommande d'utiliser une longueur de bit de 4096 lors de la création de clés RSA.

Répondu el 3 de Octobre, 2018 par Rusty Weber (462 Points )

0 votes

Avatar de Eltariel

"Des années de calcul" est un euphémisme. À moins d'un exploit inconnu ou d'une révolution révolutionnaire dans la façon dont nous calculons les choses, même les gouvernements ont besoin de plus d'un million d'années pour casser une clé SSH de 4096 bits. Les clés publiques sont appelées ainsi parce que vous pouvez les donner au public en toute sécurité.

Commenté el 3 de Octobre, 2018 par Eltariel

0 votes

Avatar de Rusty Weber

D'où la raison pour laquelle j'ai suggéré l'utilisation d'une clé plus longue. Une clé de 1024 bits peut être craquée sur un processus parallélisé utilisant une carte graphique en environ 2-4 heures. Je l'ai vu faire. Une clé de 2048 bits est nettement plus difficile, mais certains États pourraient avoir suffisamment de ressources pour la craquer. 4096 cependant.... cela prendrait des éons de calcul.

Commenté el 3 de Octobre, 2018 par Rusty Weber

1 votes

Avatar de Eltariel

La valeur par défaut de ssh-keygen est de 2048, et Github recommande 4096 dans sa documentation. Je ne pense pas qu'ils vont même accepter une clé de 1024 bits.

Commenté el 3 de Octobre, 2018 par Eltariel
Afficher 7 autres commentaires

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X