[fedora-fr-doc] SSH_:_Authentification_par_clé ajout des permissions ?

Kévin Raymond shaiton at fedoraproject.org
Mer 28 Mar 18:17:07 CEST 2012


Bon, je viens de faire quelques modifs :
http://doc.fedora-fr.org/wiki/SSH_:_Authentification_par_cl%C3%A9
Comme je suis un mauvais élève je ne sais pas s'il faut que j'ajoute
une catégorie relecture ou autre…



> Bon, une brève explication quand même : il y a peu de chances que les
> contextes SELinux après la génération d'une nouvelle clés soient foireux
> ; ça arrivera plus probablement après un "mv" (ou un "cp" avec les «
> bonnes » options).

Oui, mais puisque par défaut c'est unconfined_u, je n'en ai pas parlé.
Pour les droits il y avait déjà un paragraphe… que je n'avais jamais vu ;)

>> (troubleshooting c'est le foutoire je trouve, en plus c'est anglais…)
Traduis.
En fait ce qui n'allais pas c'est que les sections étaient en puce, et
du coup on ne savait pas où on était.


>
> Autre remarque : on fait générer une clé DSA dans l'article ; or, il me
> semble que ce type de clé pose soucis parfois (notamment pour les
> comptes fp.o si je ne dis pas de bêtises).
> Du coup, je propose de virer le type spécifié à la création de la clé ;
> en précisant par la suite que le nom fichier sera "rsa" par défaut
> (puisque c'est le cas sous Fedora), sauf si un autre type a été sélectionné.
>
> Dans la même optique, je propose soit de shooter la taille spécifiée
> dans le tuto, soit carrément de la passer à 4096 (tant qu'à forcer une
> valeur, ...).
>

J'ai supprimé les paramètres, c'est par défaut. Ça vous va ?

> Autre chose, la section paramétrage contient la désactivation de la
> connexion via root ; ce serait pas mal de faire une partie
> "sécurisation" qui contiendrait ça, et ferait mention de la possibilité
> de limiter les utilisateurs (par nom et/ou hôte, etc) ; bref, deux-trois
> « bonnes pratiques » d'un point de vue sécurité (à mon humble avis).

> Quid d'une bafouille sur le ~/.ssh/config ; dont il ne me semble pas
> qu'il soit fait mention dans l'article (c'est pourtant bien pratique
> dans pas mal de cas :p) ?

Done.
J'avoue que j'étais en manque d'inspiration, l'exemple sur le
*.gitorious.org n'est pas forcément des plus utiles.

> My 2 cents,
>
> PS: peut être envisager de virer les "[drpixel at sidewinder ~]" ; on se
> contente habituellement du simple prompt bash ;)

J'ai faillis le faire mais ça permet de savoir sur quelle machine il
exécute telle commande, non ?
Enfin ce n'est pas clair, je suis aussi d'avis d'améliorer ça
(@machine1, @machine2 par exemple).

> --
> Johan
>


-- 
Kévin Raymond
(shaiton)
GPG-Key: A5BCB3A2


Plus d'informations sur la liste de diffusion fedora-fr-doc