kartnico a écrit 19 commentaires

  • [^] # Re: Sécurité de la ligne de commande

    Posté par  . En réponse à la dépêche WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows. Évalué à 1.

    Effectivement. Si tu utilises la version 1.5. Merci pour ton exemple.

    J'espère sortir rapidement la version 1.6.

    A bientôt.

    Nicolas

  • [^] # Re: Sécurité de la ligne de commande

    Posté par  . En réponse à la dépêche WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows. Évalué à 1.

    Merci pour ta remarque. Je vais essayer d'en tenir compte sur la prochaine version et lors de la réalisation du site web.

    Nico

  • [^] # Re: Adaptation

    Posté par  . En réponse à la dépêche WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows. Évalué à 2.

  • [^] # Re: Sécurité de la ligne de commande

    Posté par  . En réponse à la dépêche WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows. Évalué à 3.

    Plus comme ça :

    winadminpassword --changepassword --user Administrateur --keyfile "/root/firstkey" --length 12 --time --cron
    
  • [^] # Re: ...

    Posté par  . En réponse à la dépêche WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows. Évalué à 1.

    Je pensais que tu parlais d'autre chose.

    Oui effectivement des milliers de méthodes existent, mais avec celle présentée, cela ne t’empêchera pas de stocker les mots de passe générés dans une base, si tu dois un jour t'en resservir.

  • [^] # Re: À propos de mots de passe sûrs…

    Posté par  . En réponse à la dépêche WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows. Évalué à 1.

    Très intéressant. Mais il faut avoir une très bonne mémoire quand on a beaucoup de mots de passe :)

    Par contre il peut être envisageable de créer une option permettant de générer des phrases secrètes, certes incompréhensibles, mais qui pourra augmenter la complexité des mots de passe générés.

  • [^] # Re: ...

    Posté par  . En réponse à la dépêche WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows. Évalué à 2.

    si je me souviens bien, pour windows, le log/pass d'un utilisateur qui s'est connecté une fois est mis en cache sur la machine

    Tu parles des comptes d'un domaine. L'objectif principal de WinAdminPassword est de s'attarder sur les comptes locaux d'administration (Administrateur, Administrator, root, *SECOFR...).

    1 mot de passe bien compliqué pour le compte root ou administrateur en local
    mais une clef SSH pour se connecter à distance

    Tu as tout à fait raison, et j'espère que tout le monde fait cela. Mais l'outil WinAdminPassword va t'aider à déployer des mots de passe uniques et les retrouver sans avoir à les noter.

    ensuite si c'est pour se connecter en local, bah un liveCD permet de passer outre tout ca, donc comme d'hab quand on a accés à la machine, meme le meilleur des mots de passe ne sert à rien.

    Encore faut-il en avoir un sous la main, et savoir l'utiliser. Mais je comprends ta remarque.

    Par ailleurs, un de mes objectifs est d'interfacer WinAdminPassword avec des outils de déploiement de configuration des BIOS (DELL, HP...), et ainsi déployer des mots de passe BIOS différents sur tout un parc.

  • [^] # Re: Sécurité de la ligne de commande

    Posté par  . En réponse à la dépêche WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows. Évalué à 1.

    Ajouté dans la liste :)

    Merci

    Nico

  • [^] # Re: algorithme

    Posté par  . En réponse à la dépêche WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows. Évalué à 1.

    J'ai oublié d'ajouter la commande à lancer par ton Sysprep :

    winadminpassword --changepassword --length 18 --user "local.admin" --key "Your Very Secret Key!"
    

    Cela va générer un mot de passe unique, de 18 caractères, pour chacun de tes comptes locaux d'administration nommés "local.admin".

    Pour répondre à ta remarque suivante :

    Pour la gestion de ce compte admin local, on est aussi partagé entre l'envie de le desactiver et l'envie de le garder actif en cas de besoin. Bref, ce compte est vraiment une plaie a gerer.

    Rien n'empêche de lui appliquer un mot de passe, même s'il est désactivé. Par contre s'il est désactivé, et que tu n'as pas d'autre compte local d'administration, je ne sais pas comment cela fonctionne en cas de démarrage en mode "secours" (recovery mode).

    A bientôt.

    Nico

  • [^] # Re: algorithme

    Posté par  . En réponse à la dépêche WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows. Évalué à 4.

    Petite question : quel est l'algorithme qui permet de passer d'un n° de serie + une clé a un mot de passe complexe et unique ?

    En gros :

    $HASH="$KEY$SERIAL";
    $PASSWORD=SHA1BASE64($HASH);
    

    A noter qu'il est possible de choisir la méthode de génération du hash via le paramètre --algo (ou en modifiant le code source).

    Autre petite question : l'auteur a t il prevu d'integrer son projet d'une facon ou d'une autre (direct ou via plugin) a Keepass par exemple ?
    L'integration dans GLPI est deja tres interessante

    Je n'ai pas prévu d'intégrer cela dans un quelconque outil. Mais en fonction des besoins/pertinences des demandes, je peux m'y aventurer :)

    Petite reflexion : je vois bien ce genre d'outil tres utile pour le compte admin local des PCs d'un parc windows. Je m'explique : quand on deploie des PCs windows, on doit mettre un mot de passe au compte admin local et c'est toujours gonflant de decider si on met un mot de passe generique (avec le risque qu'il soit connu un jour et d'avoir le parc entier corrompu) ou mettre un mot de passe par machine mais entrainer la creation d'une base de mot de passe gigantesque et extremement casse-pieds a maintenir. Pour la gestion de ce compte admin local, on est aussi partagé entre l'envie de le desactiver et l'envie de le garder actif en cas de besoin. Bref, ce compte est vraiment une plaie a gerer.
    Par contre, je vois difficilement l'interet de ce genre de solution pour les comptes utilisateurs ou les "comptes de domaine" (AD, LDAP, NIS, etc), me trompte je ?

    Non non, tu as tout à fait raison ! J'ai créé cet outil dans un but de générer/changer les mots de passe pour les comptes locaux d'administration. Mais il est quand même possible d'utiliser WinAdminPassword comme un simple générateur de mot de passe. Voici un exemple :

    winadminpassword --printpassword --serial "login" --key "My Very Secret Key!" --length 7
    

    Nous allons ainsi générer un mot de passe différents pour tous nos comptes. C'est très pratique dans le cas où ta mise en oeuvre impose à l'utilisateur de changer son mot de passe à la première ouverture de sa session. Ainsi, si l'utilisateur perd son mot de passe avant sa première connexion, l'administrateur pourra le retrouver et lui envoyer très facilement.

    Concernant la mise en oeuvre sur ton parc Microsoft Windows, voici un exemple qui pourra t'aider :

    1 - Installation des machines (Avec WinAdminPassword).
    2 - Lancement de Sysprep (Configurer le fichier de réponses de sorte à lancer WinAdminPassword au premier démarrage) .
    3 - Clonage des machines.
    4 - Ainsi, au premier démarrage des machines, les comptes d'administration se verront attribuer un mot de passe unique, que tu pourras retrouver sans avoir à les sauvegarder dans une base.

  • [^] # Re: Adaptation

    Posté par  . En réponse à la dépêche WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows. Évalué à 2.

    Salut jlpipo,

    Il est effectivement aussi possible de jouer avec les paramètres. Voici un exemple qui permet de générer/retrouver ses mots de passe pour les services web que l'on utilise, sans avoir à les stocker dans un trousseau de clefs :

    winadminpassword --printpassword --serial "linuxfr.org" --key "My Very Secret Key!" --length 8
    winadminpassword --printpassword --serial "ovh.com" --key "My Very Secret Key!" --length 8
    

    -> Cette commande affichera mes mots de passe, d'une taille de 8 caractères, pour les sites "linuxfr.org" et "ovh.com". Ainsi, à partir d'une clef secrète unique, et d'identifiants simples à mémoriser, il me sera possible de générer des mots de passe différents et de les retrouver, pour tous les services web que j'utilise.
    ! Il est simplement important de se souvenir de sa clef secrète et des noms entrés dans le paramètre --serial.

    WinAdminPassword fonctionne avec de multiples variables et paramètres, qui permettent ainsi de choisir sa mise en oeuvre. Il est donc tout à fait possible de créer une interface Web, de récupérer des variables de type GET et de les envoyer en tant que paramètres à WinAdminPassword.

    C'est aussi pour cela que WinAdminPassword est open source. Car pour ceux qui auront l'occasion de lire le code, l'idée ne tient que sur 4 lignes, elle est donc très facilement portable.

  • [^] # Re: ...

    Posté par  . En réponse à la dépêche WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows. Évalué à 2.

    Ton commentaire est cohérent et il montre bien que WinAdminPassword n'est qu'un outil d'aide à l'administration, la gestion et le déploiement de ses propres mot de passe. Concernant tes méthodes plus simples qui existent, peux tu nous les citer ?

    A bientôt.

  • [^] # Re: ...

    Posté par  . En réponse à la dépêche WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows. Évalué à 7.

    Pour les comptes utilisateurs c'est exactement ce que je fais. Pour les comptes d'administration je ne vois pas comment tu fais si ton annuaire n'est plus accessible.

  • [^] # Re: ...

    Posté par  . En réponse à la dépêche WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows. Évalué à 2.

    J'ai oublié de rappeler une chose

    De plus si ça tourne sur un poste utilisateur, dès que l'on sait que ce soft est utilisé, on perd tout l'interet du truc. L'algo est connu et ca revient a mettre le mdp directement.

    Si tu fixes le mot de passe, tu seras obligé de le sauvegarder quelque part. Donc pour X systèmes, tu auras X enregistrements dans ta base de données. Cela devient compliqué à administrer si tu as plus de 100 machines dans ton parc. C'est d'ailleurs pour cela que les grandes entreprises déploient le même mot de passe sur tous les comptes d'administration de leurs systèmes (Troll :p)

    L'avantage de l'outil WinAdminPassword, est qu'à partir d'une ou plusieurs clefs secrètes et d'un identifiant de la machine (Pour cette version il s'agit du numéro de série, mais dans une future version on pourra le choisir : nom d'hôte, adresse mac...), tu peux retrouver très facilement les X mots de passe.

    L'administration du changement des mots de passe de tout un parc est aussi simplifiée :

    Si un jour tu souhaites changer tous tes mots de passe (Clef secrète corrompue ou autre), tu n'auras pas besoin de récupérer ces derniers dans une base, de les changer, puis à nouveau de les noter dans ta base, mais simplement de créer un petit script se connectant sur tous tes systèmes, à partir de l'ancienne clef secrète, puis de les changer, via la nouvelle clef.

  • [^] # Re: ...

    Posté par  . En réponse à la dépêche WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows. Évalué à 7.

    Bonjour Matthieu,

    Je comprends ton retour et il prouve qu'il m'est important de bien documenter cet outil.

    Je vais répondre à tes questions dans l'ordre :

    J'ai du mal a voir l’intérêt du truc. C'est a utiliser dans quel cas d'usage. Server, machine d'utilisateur, ... ?

    Tu peux l'utiliser sur tous les systèmes que tu dois administrer, à distance ou non (Serveurs, Postes clients etc.).

    Parce que c'est bien beau de mettre des mots de passe sur chaque machine, encore faut il que l'admin puisse s'y loguer. Et a moins de le faire a distance il faudra qu'il note le mdp quelque part.

    Dans le cas d'une intervention physique, rien n'empêche à l'administrateur de soit imprimer le mot de passe (Sans faire référence à quoi que ce soit, puis de jeter le papier), soit de s'équiper d'un smartphone avec un accès sur son GLPI ou Interface sur laquelle se trouve WinAdminPassword.

    De plus si ça tourne sur un poste utilisateur, dès que l'on sait que ce soft est utilisé, on perd tout l'interet du truc. L'algo est connu et ca revient a mettre le mdp directement.

    Cela dépend de ta mise en œuvre. Si tu utilises cet outil avec l'option --cron (Tâche planifiée), effectivement l'algorithme utilisé et la clef sont stockés sur le système. En revanche si tu génères et déploies le mot de passe à l'installation de tes systèmes, il sera impossible de savoir quel algorithme et quelle clef secrète tu auras utilisé, si tu désinstalles l'outil après la génération des mots de passe. A noter qu'il existe un paramètre (--algo) te permettant de choisir ton algorithme.

    De plus pourquoi ne pas utiliser les clefs rsa/dsa de ssh si les machines sont destiné à être administrée a distance (server) ?

    De manière générale, dans l'administration des systèmes, c'est ce qu'il est conseillé de faire. Mais sur la plupart des systèmes, les comptes d'administration requiers quand même un mot de passe (Microsoft Windows, Fedora, OS400 etc.).

    En tous cas merci pour tes remarques, cela va me faire travailler sur la documentation de l'outil.

    A bientôt.

  • [^] # Re: Sécurité de la ligne de commande

    Posté par  . En réponse à la dépêche WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows. Évalué à 7.

    Merci pour ce commentaire. Tu as effectivement bien résumé les éventuels moyens d'attaque. Mais il est important de rappeler que WinAdminPassword est un outil d'aide à l'administration et au déploiement des mots de passe. L'administrateur reste responsable de sa mise en oeuvre et de la protection de ses systèmes.

    Chacun choisira sa mise en oeuvre en fonction de ses besoins et notamment en terme de sécurité. En effet, comme tu l'indiques l'option --cron (Tâche plannifiée) n'est pas à déployer sur des systèmes sujets à des attaques. Ces derniers préféreront l'utilisation basique de WinAdminPassword, à savoir la génération et le déploiement des mots de passe lors de leurs installations, ce qui permettra de ne pas diffuser la clef secrète.

    Je vais donc ajouter ces conseils dans ma todo list :)

    • Possibilité de suppression de l'historique de la commande.
    • Possibilité de lecture des clefs secrètes depuis un fichier.
    • Possibilité de demander les clefs secrètes depuis l'entrée standard.

    Encore merci pour ces conseils :)

    A bientôt.

    Nico

  • [^] # Re: A essayer !

    Posté par  . En réponse à la dépêche WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows. Évalué à 2.

    N'hésites pas à m'envoyer tes retours :)

    A bientôt.

  • [^] # Re: conjugaison

    Posté par  . En réponse à la dépêche La solution d'inventaire OCS Inventory NG 1.02 publiée. Évalué à 1.

    Effectivement, j'ai vu cela ce matin !

    Cette faute ne cache pas mon copier/coller :/ . Par contre je ne sais pas comment éditer la dépêche pour modifier cette erreur !?!
  • [^] # Re: Bonjour :)

    Posté par  . En réponse à la dépêche La solution d'inventaire OCS Inventory NG 1.02 publiée. Évalué à 1.

    Exactement !

    Intéressant pour suivre le déplacement d'un poste (changement de sous réseau, domaine DNS, Domaine NT...), en fonction de votre utilisation du TAG bien sur.

    A noter que j'utilise un nom DNS plutôt qu'une adresse IP pour le nommage de mon paquetage NSIS.