|
Taille: 3350
Commentaire: typo
|
Taille: 3847
Commentaire: petite màj
|
| Texte supprimé. | Texte ajouté. |
| Ligne 2: | Ligne 2: |
| Cranspasswords est un petit script à usage des nounous (et à l'avenir au CA et apprentis) permettant d'obtenir les mots de passe de certains services et d'autres informations privées. | Cranspasswords est un petit script à usage des membres actifs (nounous, CA, trésoriers, apprentis etc) permettant de partager ses mots de passe, tout en contrôlant les accès. Il s'appuie intensivement sur [[WikiInformatique/ConnexionSsh|ssh]] et [[doc_gpg_pas_ecrite|gpg]]. |
| Ligne 4: | Ligne 5: |
| Les mots de passe sont stockés sous forme de fichiers chiffrés sur {{{vert}}}. Les fichiers sont chiffrés de sorte que chaque personne autorisée puisse le déchiffrer avec sa clé privée. | Les clients se connectent via une connexion sécurisée (ssh) à un serveur centralisant les mots de passe. Pour éviter que la compromission d'un serveur ne fournisse (rapidement) les mots de passes, ceux-ci sont chiffrés avec la clé publique des propriétaires (par exemple l'ensemble des nounous dans le cas du mot de passe root). Un ensemble de personnes qui doivent accéder aux mêmes mot de passe est appelé "rôle" (par exemple les rôles {{{nounous}}}, {{{apprentis}}}, {{{ca}}}). Le chiffrement d'un mot de passe lisible par un rôle est effectué lors de l'enregistrement (ou mise à jour) de ce mot de passe par un des membres du rôle autorisé en écriture, avant l'envoi au serveur. Ainsi, le serveur ne stocke ni ne voit transiter aucun mot de passe qu'il serait en mesure de déchiffrer. Ce fonctionnement impose également que la personne chiffrant les mots de passe ait une confiance suffisante (au sens PGP) en toutes les personnes du rôle cible. Ce script a maintenant vocation à être utilisé ailleurs qu'au Crans (respos bde, admin federez ?), la page ci-dessous présente un guide rapide pour le configurer dans le cas du Crans uniquement. |
| Ligne 9: | Ligne 12: |
| Premièrement, il vous faut une clé gpg. Si vous n'en avez pas encore, il est facile [[http://www.siteduzero.com/tutoriel-3-33316-la-cryptographie-facile-avec-pgp.html|d'en créer une nouvelle]]. | Premièrement, il vous faut une clé PGP. Si vous n'en avez pas encore, il est facile [[http://www.siteduzero.com/tutoriel-3-33316-la-cryptographie-facile-avec-pgp.html|d'en créer une nouvelle]]. |
| Ligne 13: | Ligne 16: |
| Il est obligatoire d'avoir une phrase de passe sur sa clé gpg. | Il est obligatoire d'avoir une phrase de passe sur sa clé PGP. |
| Ligne 15: | Ligne 18: |
| === Accès à vert === | === Accès au serveur === Au crans, le serveur de stockage est {{{vert}}}. Une copie des données est présente sur le serveur {{{ovh}}}, en lecture seule uniquement (en cas d'urgence). |
| Ligne 19: | Ligne 23: |
| ProxyCommand ssh dstan@vo.crans.org "nc vert.adm.crans.org 22" | ProxyCommand ssh dstan@vo.crans.org -W vert.adm.crans.org:22 |
| Ligne 22: | Ligne 26: |
| (remplacer '''dstan''' par son login crans) | |
| Ligne 23: | Ligne 28: |
| Il est également plus que conseillé de disposer d'une clé ssh afin d'éviter un nombre conséquent de demandes de mots de passe de connexion. Dans le même esprit, il peut être utile d'avoir une connexion ssh maître vers vert ou vo afin de rendre les requêtes un poil plus rapides. | Il n'est normalement pas nécessaire d'indiquer de configuration particulière pour {{{ovh}}}, si ce n'est de corriger le {{{User}}} ssh s'il ne correspond pas à celui de la machine. Il est également conseillé de disposer d'une clé ssh (avec un agent) afin d'éviter un nombre conséquent de demandes de mots de passe de connexion. |
| Ligne 30: | Ligne 37: |
| Copier {{{clientconfig.example.py}}} en {{{clientconfig.py}}} et modifier la variable '''user''' du fichier pour la faire correspondre à votre login crans (facultatif si vous êtes déjà connecté sur votre pc avec votre login crans.) Il faut que ça donne : {{{ 'user' : 'passoire' }}} |
Suivre les instructions du README (partie ''Installation et configuration du client''). |
| Ligne 40: | Ligne 41: |
| ./cranspasswords.py --help | cranspasswords --help |
| Ligne 43: | Ligne 44: |
| Pour pouvoir exécuter {{{cranspasswords}}} de n'importe où dans le système de fichiers, il est possible de le '''mettre dans son PATH'''. Ceci se fait del a manière canonique suivante : * Créer un dossier {{{bin}}} à un endroit bien choisi (typiquement, dans votre home) (vous pouvez choisir un autre nom) * Ajouter la ligne {{{export PATH=$PATH:~/bin}}} dans le fichier de configuration de votre shell ({{{.bashrc}}}, {{{.zshrc}}}, …) Vous pouvez également sourcer le fichier {{{cranspasswords_bash_completion}}} pour avoir la bash-complétion sur cranspasswords. ({{{_cranspasswords}}} fournira l'équivalent aux utilisateurs de zsh) == En cas de panne du réseau/vert == Une copie '''en lecture seule''' est (r)synchronisée sur {{{ovh.crans.org}}}. On peut l'utiliser pour à l'aide de l'option {{{--server}}}: |
== Si vert n'est plus joinable == Une copie '''en lecture seule''' est (r)synchronisée sur {{{ovh.crans.org}}}. On peut l'utiliser pour à l'aide de l'option {{{--server}}} (ou {{{-s}}}): |
| Ligne 52: | Ligne 47: |
| ./cranspasswords.py --server ovh --list | cranspasswords.py --server ovh --list |
| Ligne 58: | Ligne 53: |
| * Faire quelque chose pour que les connexions soient moins lentes, même à travers vert (passer à la main, via script le ssh_config avec tunnelling et ControlMaster) | * Faire un truc plus propre que le rsync sauvage * Remplir notre liste de rôles et fingerprint via ldap, automatiquement * (./) Faire quelque chose pour que les connexions soient moins lentes |
Cranspasswords est un petit script à usage des membres actifs (nounous, CA, trésoriers, apprentis etc) permettant de partager ses mots de passe, tout en contrôlant les accès. Il s'appuie intensivement sur ssh et gpg.
Les clients se connectent via une connexion sécurisée (ssh) à un serveur centralisant les mots de passe. Pour éviter que la compromission d'un serveur ne fournisse (rapidement) les mots de passes, ceux-ci sont chiffrés avec la clé publique des propriétaires (par exemple l'ensemble des nounous dans le cas du mot de passe root). Un ensemble de personnes qui doivent accéder aux mêmes mot de passe est appelé "rôle" (par exemple les rôles nounous, apprentis, ca). Le chiffrement d'un mot de passe lisible par un rôle est effectué lors de l'enregistrement (ou mise à jour) de ce mot de passe par un des membres du rôle autorisé en écriture, avant l'envoi au serveur. Ainsi, le serveur ne stocke ni ne voit transiter aucun mot de passe qu'il serait en mesure de déchiffrer. Ce fonctionnement impose également que la personne chiffrant les mots de passe ait une confiance suffisante (au sens PGP) en toutes les personnes du rôle cible.
Ce script a maintenant vocation à être utilisé ailleurs qu'au Crans (respos bde, admin federez ?), la page ci-dessous présente un guide rapide pour le configurer dans le cas du Crans uniquement.
Getting Started
PGP
Premièrement, il vous faut une clé PGP. Si vous n'en avez pas encore, il est facile d'en créer une nouvelle.
Vous devrez alors communiquer l'empreinte (fingerprint) de votre clé à votre RTC préféré puis lui demander de signer votre clé et de rechiffrer les fichiers que vous avez le droit de lire.
Il est obligatoire d'avoir une phrase de passe sur sa clé PGP.
Accès au serveur
Au crans, le serveur de stockage est vert. Une copie des données est présente sur le serveur ovh, en lecture seule uniquement (en cas d'urgence). vert (aka ldap) est une machine du réseau adm, on ne peut donc y accéder directement. Il faut donc modifier son fichier .ssh/config afin de permettre un accès depuis un serveur intermédiaire (ici vo):
Host vert.adm.crans.org
User dstan
ProxyCommand ssh dstan@vo.crans.org -W vert.adm.crans.org:22
ForwardX11 no(remplacer dstan par son login crans)
Il n'est normalement pas nécessaire d'indiquer de configuration particulière pour ovh, si ce n'est de corriger le User ssh s'il ne correspond pas à celui de la machine.
Il est également conseillé de disposer d'une clé ssh (avec un agent) afin d'éviter un nombre conséquent de demandes de mots de passe de connexion.
Plus d'informations dans WikiInformatique/AstucesSsh.
Installation
Cloner le dépôt git sur votre ordinateur.
Suivre les instructions du README (partie Installation et configuration du client).
Utilisation
cranspasswords --help
Si vert n'est plus joinable
Une copie en lecture seule est (r)synchronisée sur ovh.crans.org. On peut l'utiliser pour à l'aide de l'option --server (ou -s):
cranspasswords.py --server ovh --list
Todo
- Faire le ménage dans les fichiers
- Mieux attribuer les droits (rôles)
- Faire un truc plus propre que le rsync sauvage
- Remplir notre liste de rôles et fingerprint via ldap, automatiquement
Faire quelque chose pour que les connexions soient moins lentes - Logguer les modifications