Ok, on est d’accord. Je répondais surtout à ça en fait : [quote=« GloP, post:15, topic: 54246 »]Moi je trouve ca moins gallere, on se connecte, rien a taper et pof on est dedans… (comme ta maman).[/quote]
Moi aussi je parlais des certificats ! Je vais la refaire en plus direct : qu’est-ce qui empêche quelqu’un ayant un accès physique à sa machine “client” d’utiliser les certificats de son PC pour aller mettre le bazar sur le serveur? Avec une identification par mot de passe, un accès physique à la machine “client” ne permet pas de se connecter au serveur.
Alors putty agent (ou tout autre ssh agent) permet d’avoir la clef en mémoire vive et chiffrée sur le disque : mdp à rentrer qu’une fois, de plus c’est transitif (ssh dans ssh et ainsi de suite).
Drapeau L est un reflex à avoir dès que l’on lève le cul de sa chaise. Parce que en mdp une fois le ssh ouvert, le pb est le même.
Sinon la meilleure methode reste les certificat sur un dongle/carte à puce associé à la sécurité physique du batiment (et une porte protégé par le dit badge entre les chiottes et le bureau). Avec code pin !
Enfin, ssh uniquement sur un compte sans droit puis sudo pour passer toute commande (avec réclamation du mdp toutes les n minutes) pour les plus paranos.