377
edits
User:Rominet: Difference between revisions
Jump to navigation
Jump to search
Precision
(Use --git-clone-site-params followed by a space rather than "--git-clone-site-params=", because it's equivalent and easier to read/understand) |
(Precision) |
||
| Line 117: | Line 117: | ||
Votre client SSH vous prévient qu'il ne peut pas garantir que le serveur en face (ici, se présentant comme git.code.sf.net) est bien celui que vous voulez. Il se pourrait qu'un attaquant bien placé ait répondu à sa place et se fasse passer pour le « vrai » git.code.sf.net. Bon. Heureusement, on peut s'en sortir sans passer par la prière. Ouvrez dans votre navigateur préféré la [https://sourceforge.net/p/forge/documentation/SSH%20Key%20Fingerprints/#fingerprint-listing page chez SourceForge qui donne les empreintes numériques des machines accessibles au public], vérifiez que le cadenas indique bien une connexion sécurisée et que l'empreinte ''(fingerprint)'' de la clé mentionnée dans le message ci-dessus est bien celle d'un serveur de SourceForge ayant un nom DNS suivant le motif <tt>*.code.sf.net</tt>. En clair, avec le message ci-dessus, il faut vérifier que la page indiquée liste bien un hash de type SHA-256 égal à <tt>FeVkoYYBjuQzb5QVAgm3BkmeN5TTgL2qfmqz9tCPRL4</tt> pour <tt>*.code.sf.net</tt>. Si c'est le cas, tout va bien, répondez <tt>yes</tt>. Sinon, répondez <tt>no</tt> et lisez le paragraphe [https://sourceforge.net/p/forge/documentation/SSH%20Key%20Fingerprints/#ssh-host-key-verification ''SSH Host Key Verification''] de la même page. | Votre client SSH vous prévient qu'il ne peut pas garantir que le serveur en face (ici, se présentant comme git.code.sf.net) est bien celui que vous voulez. Il se pourrait qu'un attaquant bien placé ait répondu à sa place et se fasse passer pour le « vrai » git.code.sf.net. Bon. Heureusement, on peut s'en sortir sans passer par la prière. Ouvrez dans votre navigateur préféré la [https://sourceforge.net/p/forge/documentation/SSH%20Key%20Fingerprints/#fingerprint-listing page chez SourceForge qui donne les empreintes numériques des machines accessibles au public], vérifiez que le cadenas indique bien une connexion sécurisée et que l'empreinte ''(fingerprint)'' de la clé mentionnée dans le message ci-dessus est bien celle d'un serveur de SourceForge ayant un nom DNS suivant le motif <tt>*.code.sf.net</tt>. En clair, avec le message ci-dessus, il faut vérifier que la page indiquée liste bien un hash de type SHA-256 égal à <tt>FeVkoYYBjuQzb5QVAgm3BkmeN5TTgL2qfmqz9tCPRL4</tt> pour <tt>*.code.sf.net</tt>. Si c'est le cas, tout va bien, répondez <tt>yes</tt>. Sinon, répondez <tt>no</tt> et lisez le paragraphe [https://sourceforge.net/p/forge/documentation/SSH%20Key%20Fingerprints/#ssh-host-key-verification ''SSH Host Key Verification''] de la même page. | ||
Dans la suite, nous supposerons qu'il n'y a pas eu de problème et que vous avez donc répondu <tt>yes</tt>. Ceci implique que SSH va mémoriser l'empreinte du serveur dans le fichier <tt>~/.ssh/known_hosts</tt>. La question précedente ne vous sera donc plus posée tant que le même serveur renverra la même clé pour se présenter. Mais si un jour vous vous reconnectez au même serveur SSH et que celui-ci s'annonce avec une empreinte différente, SSH va vous prévenir qu'il y a danger à poursuivre la connexion. En effet, un tel évènement pourrait signifier que quelqu'un essaie de se faire passer pour le serveur auquel vous souhaitez vous connecter, mais n'en possède pas la clé privée. SSH et la cryptographie asymétrique fournissent donc une protection efficace contre ce type d'attaque. En pareil cas, on peut se reporter à la [https://sourceforge.net/p/forge/documentation/SSH%20Key%20Fingerprints/#fingerprint-listing page déjà mentionnée]... en espérant qu'elle n'a pas été piratée. Bref, la situation, si elle se produit, doit appeler à une grande vigilance. | Dans la suite, nous supposerons qu'il n'y a pas eu de problème et que vous avez donc répondu <tt>yes</tt>. Ceci implique que SSH va mémoriser l'empreinte du serveur dans le fichier <tt>~/.ssh/known_hosts</tt>. La question précedente ne vous sera donc plus posée tant que le même serveur renverra la même clé pour se présenter. Mais si un jour vous vous reconnectez au même serveur SSH et que celui-ci s'annonce avec une empreinte différente, SSH va vous prévenir qu'il y a danger à poursuivre la connexion. En effet, un tel évènement pourrait signifier que quelqu'un essaie de se faire passer pour le serveur auquel vous souhaitez vous connecter, mais n'en possède pas la clé privée. SSH et la cryptographie asymétrique fournissent donc une protection efficace contre ce type d'attaque. En pareil cas, on peut se reporter à la [https://sourceforge.net/p/forge/documentation/SSH%20Key%20Fingerprints/#fingerprint-listing page déjà mentionnée]... en espérant qu'elle n'a pas été piratée. Bref, la situation, si elle se produit, doit appeler à une grande vigilance (rassurez-vous, il est quasi impossible de se retrouver dans cette situation et de ne pas s'en rendre compte : le message affiché par <tt>ssh</tt> en pareil cas est très visible et explicite !). | ||
</li> | </li> | ||
<li>Si vous avez été rapide à valider l'empreinte du serveur à l'étape e), vous devez avoir un clone de [https://sourceforge.net/p/flightgear/fgmeta/ci/next/tree/ fgmeta] tout neuf dans <tt>/tmp</tt>. Sinon, il suffit de relancer la commande</p> | <li>Si vous avez été rapide à valider l'empreinte du serveur à l'étape e), vous devez avoir un clone de [https://sourceforge.net/p/flightgear/fgmeta/ci/next/tree/ fgmeta] tout neuf dans <tt>/tmp</tt>. Sinon, il suffit de relancer la commande</p> | ||