1 votes

Alexander avatar

Sécurité de sshpass et SFTP vers un hôte dynamique

Demandé el 23 de Octobre, 2014
Quand la question a-t-elle été
943 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai un serveur avec une adresse IP dédiée A et un serveur avec une adresse IP dynamique B (routage via no-ip.org). A télécharge une sauvegarde vers B via sshpass :

export SSHPASS=***
sshpass -e sftp **@** << !
    [..]
    put [..]
    bye
!

Chaque fois que maintenant sur (A) ce qui suit se produit :

Avertissement : Ajout définitif de la clé hôte ECDSA pour l'adresse IP '[...]' à la liste des hôtes connus.

J'ai l'impression que ce n'est pas une méthode sûre pour transférer les données de sauvegarde (fichier tar). Est-il possible que quelqu'un intercepte la sauvegarde ?

De plus, ne devrais-je pas retirer l'IP de la liste des hôtes connus par la suite ? La sauvegarde est exécutée tous les jours. On dirait une longue liste d'hôtes connus qui ne sont que dynamiques !

Demandé el 23 de Octobre, 2014 par Alexander

3 votes

Avatar de Janne Pikkarainen

Pourquoi n'utilisez-vous pas les clés ssh ?

Commenté el 23 de Octobre, 2014 par Janne Pikkarainen

0 votes

Avatar de Alexander

Cela ne changerait rien à l'avertissement, n'est-ce pas ?

Commenté el 25 de Octobre, 2014 par Alexander

Réponses

Trop de publicités?

0voto

martin avatar
martin Points 49

Ce message d'avertissement n'indique pas un risque de sécurité, car il a déjà vérifié que la clé d'hôte envoyée par le serveur correspond à la clé d'hôte connue pour le nom d'hôte auquel vous vous connectez. (En fait, je dirais que le mot Warning aurait dû être laissée de côté dans ce message particulier).

Vous pourriez nettoyer ces paires IP + clé d'hôte ajoutées dynamiquement de la liste des hôtes connus. Mais elles ne sont pas vraiment nuisibles, et si jamais vous avez besoin de vous connecter à l'hôte par l'adresse IP plutôt que par le nom d'hôte, il est pratique d'avoir l'entrée déjà dans le fichier des hôtes connus.

Si vous vous connectez à plusieurs hôtes différents avec une IP dynamique, vous pouvez éventuellement rencontrer le cas où un hôte reçoit une adresse IP pour laquelle ssh a précédemment enregistré une clé d'hôte différente. Dans ce cas, vous obtiendrez une erreur, et vous devrez supprimer la paire IP + clé d'hôte obsolète. (La paire à supprimer devient un peu plus difficile à identifier, si vous hachurez les lignes du fichier des hôtes connus).

Une chose que vous pouvez faire pour améliorer la sécurité est d'utiliser l'authentification par clé au lieu de l'authentification par mot de passe. Non seulement une clé est plus difficile à deviner qu'un mot de passe, mais il est également plus difficile d'effectuer une attaque mitm, car la clé est utilisée pour signer un identifiant de session qui est garanti de ne pas correspondre en cas d'attaque mitm.

Répondu el 23 de Octobre, 2014 par martin (49 Points )

0voto

Martin Prikryl avatar
Martin Prikryl Points 7129

L'"avertissement" indique seulement que l'adresse IP de l'hôte a changé, ce à quoi vous vous attendez.

Le client OpenSSH vérifie le changement d'IP pour vous donner un "indice d'usurpation de DNS" lorsque la clé hôte change. Comme dans votre cas la clé hôte est correcte, l'avertissement est inutile comme l'explique @kasperd.

En fait, comme vous attendez le changement d'IP, vous pouvez désactiver CheckHostIP pour éviter l'avertissement :

sftp -o "CheckHostIP no" **@**

Si la clé d'hôte avait changé, vous auriez néanmoins reçu un avertissement.

Répondu el 23 de Octobre, 2014 par Martin Prikryl (7129 Points )

0 votes

Avatar de Alexander

Il doit s'agir de "CheckHostIP no".

Commenté el 7 de Juillet, 2015 par Alexander

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X