11 Jan
2018
11 Jan
'18
3 p.m.
Bonjour tout le monde,
Nous avons quelques serveurs (~15) sur lesquels nous nous connectons en
root via SSH avec un mot de passe commun à tous nos serveurs (y'a de
l'iptables devant ssh quand même).
Comme root est le seul utilisateur, tout le monde peut tout y faire sans
que l'on ne sache précisément qui a fait quelle commande.
C'est clairement limite limite.
Du coup, je me penchais sur les solutions AAA (Authentication,
Authorization, Accounting) centralisées mais je nage un peu.
Notre but final est d'avoir un serveur unique (centralisé) qui gère les
comptes, les droits de ces comptes et log les commandes que chaque
compte fait. Le tout uniquement pour les connexions SSH vers nos
serveurs et avec du 2FA (les petites Yubikeys me font de l'oeil :)).
Entre Radius, LDAP et Kerberos, j'avoue ne pas savoir quoi choisir.
Idem pour le 2FA, entre U2F, OTP et tous les autres.
Et le tout en open-source bien sur.
Avez-vous des retours d'expérience sur ce genre de chose ? Des conseils,
articles ou documentations qui peuvent m'aider ?
Merci beaucoup
Alexis
11 Jan
11 Jan
3:07 p.m.
New subject: [FRsAG] Serveur AAA centralisé avec 2FA pour serveurs Linux
Le 11 janvier 2018 à 16:00, Alexis Prodhomme <ap(a)gen-ip.fr> a écrit :
Bonjour tout le monde,
Nous avons quelques serveurs (~15) sur lesquels nous nous connectons en root
via SSH avec un mot de passe commun à tous nos serveurs (y'a de l'iptables
devant ssh quand même).
Comme root est le seul utilisateur, tout le monde peut tout y faire sans que
l'on ne sache précisément qui a fait quelle commande.
C'est clairement limite limite.
Du coup, je me penchais sur les solutions AAA (Authentication,
Authorization, Accounting) centralisées mais je nage un peu.
Notre but final est d'avoir un serveur unique (centralisé) qui gère les
comptes, les droits de ces comptes et log les commandes que chaque compte
fait. Le tout uniquement pour les connexions SSH vers nos serveurs et avec
du 2FA (les petites Yubikeys me font de l'oeil :)).
Entre Radius, LDAP et Kerberos, j'avoue ne pas savoir quoi choisir.
Idem pour le 2FA, entre U2F, OTP et tous les autres.
Et le tout en open-source bien sur.
Avez-vous des retours d'expérience sur ce genre de chose ? Des conseils,
articles ou documentations qui peuvent m'aider ?
Merci beaucoup
Alexis
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
Bonjour Alexis,
Tu devrais éventuellement pouvoir trouver ton bonheur avec FreeIPA.
-Thomas
3:26 p.m.
Merci beaucoup pour vos suggestions.
Que ce soit FreeIPA, FusionDirectory ou Keybox, je m'en vais creuser ces
outils de suite :)
Le 11/01/2018 à 15:07, Thomas Schweizer-Bolzonello a écrit :
Le 11 janvier 2018 à 16:00, Alexis Prodhomme
<ap(a)gen-ip.fr> a écrit :
Bonjour tout le monde,
Nous avons quelques serveurs (~15) sur lesquels nous nous connectons en root
via SSH avec un mot de passe commun à tous nos serveurs (y'a de l'iptables
devant ssh quand même).
Comme root est le seul utilisateur, tout le monde peut tout y faire sans que
l'on ne sache précisément qui a fait quelle commande.
C'est clairement limite limite.
Du coup, je me penchais sur les solutions AAA (Authentication,
Authorization, Accounting) centralisées mais je nage un peu.
Notre but final est d'avoir un serveur unique (centralisé) qui gère les
comptes, les droits de ces comptes et log les commandes que chaque compte
fait. Le tout uniquement pour les connexions SSH vers nos serveurs et avec
du 2FA (les petites Yubikeys me font de l'oeil :)).
Entre Radius, LDAP et Kerberos, j'avoue ne pas savoir quoi choisir.
Idem pour le 2FA, entre U2F, OTP et tous les autres.
Et le tout en open-source bien sur.
Avez-vous des retours d'expérience sur ce genre de chose ? Des conseils,
articles ou documentations qui peuvent m'aider ?
Merci beaucoup
Alexis
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
Bonjour Alexis,
Tu devrais éventuellement pouvoir trouver ton bonheur avec FreeIPA.
-Thomas 
3:29 p.m.
Hello,
De notre côté on utilise Teleport : https://github.com/gravitational/teleport
Ça gère le 2FA, ça peut se mapper sur du SAML / LDAP en version enterprise, y’a du RBAC et
du recording de session.
Ce n’est pas le top of the pop out of the box mais après un peu de tuning cela nous
convient tout à fait !
Le 11/01/2018 15:26, « FRsAG au nom de Alexis Prodhomme » <frsag-bounces(a)frsag.org au
nom de ap(a)gen-ip.fr> a écrit :
Merci beaucoup pour vos suggestions.
Que ce soit FreeIPA, FusionDirectory ou Keybox, je m'en vais creuser ces
outils de suite :)
Le 11/01/2018 à 15:07, Thomas Schweizer-Bolzonello a écrit :
Le 11 janvier 2018 à 16:00, Alexis Prodhomme
<ap(a)gen-ip.fr> a écrit :
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
Bonjour tout le monde,
Nous avons quelques serveurs (~15) sur lesquels nous nous connectons en root
via SSH avec un mot de passe commun à tous nos serveurs (y'a de l'iptables
devant ssh quand même).
Comme root est le seul utilisateur, tout le monde peut tout y faire sans que
l'on ne sache précisément qui a fait quelle commande.
C'est clairement limite limite.
Du coup, je me penchais sur les solutions AAA (Authentication,
Authorization, Accounting) centralisées mais je nage un peu.
Notre but final est d'avoir un serveur unique (centralisé) qui gère les
comptes, les droits de ces comptes et log les commandes que chaque compte
fait. Le tout uniquement pour les connexions SSH vers nos serveurs et avec
du 2FA (les petites Yubikeys me font de l'oeil :)).
Entre Radius, LDAP et Kerberos, j'avoue ne pas savoir quoi choisir.
Idem pour le 2FA, entre U2F, OTP et tous les autres.
Et le tout en open-source bien sur.
Avez-vous des retours d'expérience sur ce genre de chose ? Des conseils,
articles ou documentations qui peuvent m'aider ?
Merci beaucoup
Alexis
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
Bonjour Alexis,
Tu devrais éventuellement pouvoir trouver ton bonheur avec FreeIPA.
-Thomas
3:13 p.m.
Le 11/01/2018 à 15:00, Alexis Prodhomme a écrit :
Bonjour tout le monde,
Nous avons quelques serveurs (~15) sur lesquels nous nous connectons en
root via SSH avec un mot de passe commun à tous nos serveurs (y'a de
l'iptables devant ssh quand même).
Comme root est le seul utilisateur, tout le monde peut tout y faire sans
que l'on ne sache précisément qui a fait quelle commande.
C'est clairement limite limite.
Du coup, je me penchais sur les solutions AAA (Authentication,
Authorization, Accounting) centralisées mais je nage un peu.
Notre but final est d'avoir un serveur unique (centralisé) qui gère les
comptes, les droits de ces comptes et log les commandes que chaque
compte fait. Le tout uniquement pour les connexions SSH vers nos
serveurs et avec du 2FA (les petites Yubikeys me font de l'oeil :)).
Entre Radius, LDAP et Kerberos, j'avoue ne pas savoir quoi choisir.
Idem pour le 2FA, entre U2F, OTP et tous les autres.
Et le tout en open-source bien sur.
Avez-vous des retours d'expérience sur ce genre de chose ? Des conseils,
articles ou documentations qui peuvent m'aider ?
FusionDirectory https://www.fusiondirectory.org/ va te permettre de
faire ça.
- Gestion utilisateur avec tout ce qui est nécessaire posix, ssh etc ...
- Gestion des machines avec restrictions d’accès via pam
- Modèle utilisateurs si nécessaire pour creer tout les utilisateurs trs
exactement les memes
et plein d’autres choses si nécessaire, le logiciel est compose d'une
base avec beaucoup de plugins suivants tes besoins
n’hésite pas a venir discuter sur irc #freenode fusiondirectory
Bonne après-midi
--
Benoit Mortier
CEO
OpenSides "logiciels libres pour entreprises" : http://www.opensides.eu/
Promouvoir et défendre le Logiciel Libre http://www.april.org/
Main developer in FusionDirectory : http://www.fusiondirectory.org/
Official French representative for OPSI : http://opsi.org/
3:16 p.m.
Est-ce que ces solutions sont utiles si le type fait sudo su - ?
Si non, je ne vois guère l'intérêt
On 01/11/2018 03:13 PM, Benoit Mortier wrote:
Le 11/01/2018 à 15:00, Alexis Prodhomme a écrit :
Bonjour tout le monde,
Nous avons quelques serveurs (~15) sur lesquels nous nous connectons en
root via SSH avec un mot de passe commun à tous nos serveurs (y'a de
l'iptables devant ssh quand même).
Comme root est le seul utilisateur, tout le monde peut tout y faire sans
que l'on ne sache précisément qui a fait quelle commande.
C'est clairement limite limite.
Du coup, je me penchais sur les solutions AAA (Authentication,
Authorization, Accounting) centralisées mais je nage un peu.
Notre but final est d'avoir un serveur unique (centralisé) qui gère les
comptes, les droits de ces comptes et log les commandes que chaque
compte fait. Le tout uniquement pour les connexions SSH vers nos
serveurs et avec du 2FA (les petites Yubikeys me font de l'oeil :)).
Entre Radius, LDAP et Kerberos, j'avoue ne pas savoir quoi choisir.
Idem pour le 2FA, entre U2F, OTP et tous les autres.
Et le tout en open-source bien sur.
Avez-vous des retours d'expérience sur ce genre de chose ? Des conseils,
articles ou documentations qui peuvent m'aider ?
FusionDirectory https://www.fusiondirectory.org/ va te permettre de
faire ça.
- Gestion utilisateur avec tout ce qui est nécessaire posix, ssh etc ...
- Gestion des machines avec restrictions d’accès via pam
- Modèle utilisateurs si nécessaire pour creer tout les utilisateurs trs
exactement les memes
et plein d’autres choses si nécessaire, le logiciel est compose d'une
base avec beaucoup de plugins suivants tes besoins
n’hésite pas a venir discuter sur irc #freenode fusiondirectory
Bonne après-midi
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
4:57 p.m.
On 11/01/2018 15:16, frsag(a)jack.fr.eu.org wrote:
Est-ce que ces solutions sont utiles si le type fait
sudo su - ?
+1. Le mieux reste de configurer correctement sudo pour ne donner accès
qu'aux commandes souhaitées (avec périmètre voulu), comme ça, ça sera au
moins dans leur historique...
Sinon pour FreeIPA, si tu veux tester rapidement :
https://github.com/freeipa/freeipa-container (pas testé)
docker run --name ipa -d --privileged -h ipa.toto.com -p 443:443 -p
389 --network ipa freeipa/freeipa-server -U --realm TOTO.COM
--ds-password=toto123 --admin-password=toto123
PS pour monter 2 LDAP synchro avec syncrepl (sans ldaps par contre) :
http://gitlab.mbb.univ-montp2.fr/remy/ldap_synchro
Je prend les forks/issues.
A+
Si non, je ne vois guère l'intérêt
On 01/11/2018 03:13 PM, Benoit Mortier wrote:
--
Rémy Dernat
Ingénieur d'Etudes
MBB/ISE-M
Le 11/01/2018 à 15:00, Alexis Prodhomme a
écrit :
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/ Bonjour tout le monde,
Nous avons quelques serveurs (~15) sur lesquels nous nous connectons en
root via SSH avec un mot de passe commun à tous nos serveurs (y'a de
l'iptables devant ssh quand même).
Comme root est le seul utilisateur, tout le monde peut tout y faire
sans
que l'on ne sache précisément qui a fait quelle commande.
C'est clairement limite limite.
Du coup, je me penchais sur les solutions AAA (Authentication,
Authorization, Accounting) centralisées mais je nage un peu.
Notre but final est d'avoir un serveur unique (centralisé) qui gère les
comptes, les droits de ces comptes et log les commandes que chaque
compte fait. Le tout uniquement pour les connexions SSH vers nos
serveurs et avec du 2FA (les petites Yubikeys me font de l'oeil :)).
Entre Radius, LDAP et Kerberos, j'avoue ne pas savoir quoi choisir.
Idem pour le 2FA, entre U2F, OTP et tous les autres.
Et le tout en open-source bien sur.
Avez-vous des retours d'expérience sur ce genre de chose ? Des
conseils,
articles ou documentations qui peuvent m'aider ?
FusionDirectory https://www.fusiondirectory.org/ va te permettre de
faire ça.
- Gestion utilisateur avec tout ce qui est nécessaire posix, ssh etc ...
- Gestion des machines avec restrictions d’accès via pam
- Modèle utilisateurs si nécessaire pour creer tout les utilisateurs trs
exactement les memes
et plein d’autres choses si nécessaire, le logiciel est compose d'une
base avec beaucoup de plugins suivants tes besoins
n’hésite pas a venir discuter sur irc #freenode fusiondirectory
Bonne après-midi
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
3:14 p.m.
'jour.
Notre but final est d'avoir un serveur unique
(centralisé) qui gère les
comptes, les droits de ces comptes et log les commandes que chaque
compte fait. Le tout uniquement pour les connexions SSH vers nos
serveurs et avec du 2FA (les petites Yubikeys me font de l'oeil :)).
Entre Radius, LDAP et Kerberos, j'avoue ne pas savoir quoi choisir.
Idem pour le 2FA, entre U2F, OTP et tous les autres.
Et le tout en open-source bien sur.
J'ai déployé KeyBox chez plusieurs clients, en bastion host.
https://www.sshkeybox.com
Ca ne fait pas exactement ce que tu veux (ssh direct vers tous tes hosts et gestion
centrale des accès si j'ai bien compris).
Mais ça fait le 2FA (OTP), la gestion centrale des accès et plein d'autres choses (log
du contenu des sessions, etc).
David
4:59 p.m.
+1
Nicolas Girardi.
Le 11 janv. 2018 à 15:14, David Touitou
<david(a)network-studio.com> a écrit :
'jour.
Notre but final est d'avoir un serveur unique
(centralisé) qui gère les
comptes, les droits de ces comptes et log les commandes que chaque
compte fait. Le tout uniquement pour les connexions SSH vers nos
serveurs et avec du 2FA (les petites Yubikeys me font de l'oeil :)).
Entre Radius, LDAP et Kerberos, j'avoue ne pas savoir quoi choisir.
Idem pour le 2FA, entre U2F, OTP et tous les autres.
Et le tout en open-source bien sur.
J'ai déployé KeyBox chez plusieurs clients, en bastion host.
https://www.sshkeybox.com
Ca ne fait pas exactement ce que tu veux (ssh direct vers tous tes hosts et gestion
centrale des accès si j'ai bien compris).
Mais ça fait le 2FA (OTP), la gestion centrale des accès et plein d'autres choses
(log du contenu des sessions, etc).
David
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
1973
days inactive
1973
days old
8 comments
8 participants
participants (8)
-
Alexis Prodhomme -
Benoit Mortier -
David Touitou -
frsag@jack.fr.eu.org -
Hugo CLARIA -
Nicolas Girardi -
Remy Dernat -
Thomas Schweizer-Bolzonello