Oct 192019
Il y eut un temps où je voulais avoir toujour un accès ssh par password (en plus de la clé RSA)
Mais on a avantage à ne pas faire comme ça.
- Comme le password root n’est plus utilisé couremment, le password root peut être randomisé à un truc du genre ohju9aejaey6vohha3ai et est donc vraiment dur et aussi unique (c’est à dire sur aucune autre machine)
- Le password root n’est communiqué à personne, ce qui réduit considérablement les risques de fuite.
- Le password root est stocké sur papier en lieu sûr pour les cas de dépanage uniquement et sur la console locale.
- Ca évite le bruteforce
- Les clés RSA étant nominatives, ont peut en révoquer une sans changer le password root.
- Changer le password root n’est plus une maintenance compliquée qui nécessite de communiquer le nouveau à toute la liste des usagers.
- Les clés RSA étant nominatives, avec un peu de tuning ont peut savoir qui a executé telle ou telle commande en tant que root. On a donc une meilleure tracabilité des accès.
Sorry, the comment form is closed at this time.