Un certificat EV, tu le payes cher, mais tu en as pour ton argent. Les vérifications sont tellement strictes que personne ne peut obtenir un certificat en ton nom
Vendredi j'ai acheté un certificat EV en wildcard de 3 ans pour une grosse ville française. Ca a été acheté chez ssl247 auprès de GlobalSign. Et effectivement, la vérification à été très stricte: Un coup de téléphone de la part de ssl247 au prestataire d'infogérance de cette ville (donc moi même, absolument pas salarié de cette ville et habitant à plus de 300km) et ça a duré pas loin de 2 minutes…
Rassurez-moi, vous pensiez quand même pas que cette vérification était réellement crédible, si?
J'aime juste pas les gens qui parlent sans lire.
Ouais, t'as raison, je me la pete de bosser dans un ministere. J'ai ecris ca juste pour t'en mettre plein les yeux parceque c'est les meilleurs.
Tu sais, comme je dis dans la derniere phrase de mon premier post que t'as toujours pas lu au bout du 2eme commentaire:
(ils sont un peu en retard et pas super ouvert à la discution le service sécu chez nous….)
Je te remercie d'essayer de contredire ce que je dis en disant exactement la meme chose que moi…
Mais sache que ca m'en secoue pas une, trop gros trop sec comme troll, apprends a lire et tes trolls prendrons mieux.
Un troll, meme un vieu des montagne, faut savoir le nourrir, sinon ca creve de faim comme tout le reste;)
Allez bisoux, tu peux répondre sans lire si ca t'amuse, je lirais plus non plus tes posts; Sinon, y'a qu'a moinser, ca te defoulera. Va elever un autre troll ailleurs, j'en veut pas du tiens, il mange pas assez!
sslh? oui, mais comme annoncé, je ne PEUX PAS déplacer sshd, il doit etre sur le 22.
De plus, c'est du boitier F5-network en frontal, je l'installe comment le sslh?
Et en cadeau, c'est pas mon service qui "joue" avec les frontaux.
Concernant le joli cadeau "AuthorizedKeysCommand", je cite un extrait de la page que tu donnes:
"AuthorizedKeysCommand est une fonctionnalité excellente, mais elle demande évidemment que l'utilisateur UNIX soit au minimum déclaré dans le fichier /etc/passwd" (ca peut etre mis en ldap aussi).
Mais je te cites aussi une de mes contraintes annoncées que t'as du rater:
"Apres, si quelqu'un m'explique comment faire du sftp sans creer de compte local (ou dans mon ldap)"
Pour le shell limité, ca reste un shell qui se connecte, ce qui est interdit.
Et quand c'est interdit, c'est pas "un peu interdit" et "un peu authorisé" même si c'est limité, c'est simplement "interdit" tout court.
Pour info, on ne bosse pas tous sur une infra où l'on possède tous les droits. Et pas de bol, je bosse sur une grosse infra où sur bien 95% des choses j'ai ni la main, ni mon mot a dire. C'est le ministère qui choisi sa politique de secu, les équipes techniques elles ne font que s'y conformer.
Au risque d'etre moinsé, je rappelle que répondre à quelq'un sans lire ce qu'il dit, c'est aussi utile que pisser dans un violon. Ca défoule peut-etre, mais ca fait pas bien avancer la musique…
C'est dommage.
Parceque le sftp il faut des comptes systeme linux existant, et pas des comptes virtuels comme sut ftps ?
Parceque je ne peux pas (et ne veux pas) mettre les comptes des "externes" qui viennent sur mon ftps dans mon ldap.
Je veux pas non plus creer des comptes locaux sur les dizaines de servers que j'ai (redondance).
Parceque les externes qui viennent ont leur port sortant 20 et 21 d'ouvert, mais pas le 22. (non, je peux pas déplacer le sshd ailleurs vers le 443 ou le 80, ni meme le 21, question d'obligation chez nous, le ssh doit etre en 22tcp).
Par elimination, il ne me reste donc plus que la possibilité du ftps.
Apres, si quelqu'un m'explique comment faire du sftp sans creer de compte local (ou dans mon ldap) sur les machines et utiliser a la place des comptes virtuels tout en laissant une conf standard de sshd j'arrette mes serveurs ftps et je remplace par du sftp.
Attention hein, faut pas non plus qu'ils puissent se logguer en ssh ces comptes (question d'obligation du service sécu de chez moi) ET que la conf sshd reste standrad que ca fasse pas tilter les outils d'audit de secu (ils sont un peu en retard et pas super ouvert à la discution le service sécu chez nous….)
[^] # Re: Let's Encrypt
Posté par mytemp . En réponse au journal À propos des certificats. Évalué à 4.
Vendredi j'ai acheté un certificat EV en wildcard de 3 ans pour une grosse ville française. Ca a été acheté chez ssl247 auprès de GlobalSign. Et effectivement, la vérification à été très stricte: Un coup de téléphone de la part de ssl247 au prestataire d'infogérance de cette ville (donc moi même, absolument pas salarié de cette ville et habitant à plus de 300km) et ça a duré pas loin de 2 minutes…
Rassurez-moi, vous pensiez quand même pas que cette vérification était réellement crédible, si?
[^] # Re: Gemalto n'est pas la France
Posté par mytemp . En réponse au journal J'ai écrit à mon ministre des affaires étrangères. Évalué à 4.
gemalto, c'est une entreprise americaine.
Ne pas confondre avec gemplus qui etait francais, puis s'est fait racheté par les americains, et renomé depuis en "gemalto".
[^] # Re: pourquoi c'est encore du ftps
Posté par mytemp . En réponse au journal Pourquoi cette ordure d'FTPS reste si populaire ?!. Évalué à -1.
J'aime juste pas les gens qui parlent sans lire.
Ouais, t'as raison, je me la pete de bosser dans un ministere. J'ai ecris ca juste pour t'en mettre plein les yeux parceque c'est les meilleurs.
Tu sais, comme je dis dans la derniere phrase de mon premier post que t'as toujours pas lu au bout du 2eme commentaire:
(ils sont un peu en retard et pas super ouvert à la discution le service sécu chez nous….)
Je te remercie d'essayer de contredire ce que je dis en disant exactement la meme chose que moi…
Mais sache que ca m'en secoue pas une, trop gros trop sec comme troll, apprends a lire et tes trolls prendrons mieux.
Un troll, meme un vieu des montagne, faut savoir le nourrir, sinon ca creve de faim comme tout le reste;)
Allez bisoux, tu peux répondre sans lire si ca t'amuse, je lirais plus non plus tes posts; Sinon, y'a qu'a moinser, ca te defoulera. Va elever un autre troll ailleurs, j'en veut pas du tiens, il mange pas assez!
[^] # Re: pourquoi c'est encore du ftps
Posté par mytemp . En réponse au journal Pourquoi cette ordure d'FTPS reste si populaire ?!. Évalué à 3.
sslh? oui, mais comme annoncé, je ne PEUX PAS déplacer sshd, il doit etre sur le 22.
De plus, c'est du boitier F5-network en frontal, je l'installe comment le sslh?
Et en cadeau, c'est pas mon service qui "joue" avec les frontaux.
Concernant le joli cadeau "AuthorizedKeysCommand", je cite un extrait de la page que tu donnes:
"AuthorizedKeysCommand est une fonctionnalité excellente, mais elle demande évidemment que l'utilisateur UNIX soit au minimum déclaré dans le fichier /etc/passwd" (ca peut etre mis en ldap aussi).
Mais je te cites aussi une de mes contraintes annoncées que t'as du rater:
"Apres, si quelqu'un m'explique comment faire du sftp sans creer de compte local (ou dans mon ldap)"
Pour le shell limité, ca reste un shell qui se connecte, ce qui est interdit.
Et quand c'est interdit, c'est pas "un peu interdit" et "un peu authorisé" même si c'est limité, c'est simplement "interdit" tout court.
Pour info, on ne bosse pas tous sur une infra où l'on possède tous les droits. Et pas de bol, je bosse sur une grosse infra où sur bien 95% des choses j'ai ni la main, ni mon mot a dire. C'est le ministère qui choisi sa politique de secu, les équipes techniques elles ne font que s'y conformer.
Au risque d'etre moinsé, je rappelle que répondre à quelq'un sans lire ce qu'il dit, c'est aussi utile que pisser dans un violon. Ca défoule peut-etre, mais ca fait pas bien avancer la musique…
C'est dommage.
[^] # Re: pourquoi c'est encore du ftps
Posté par mytemp . En réponse au journal Pourquoi cette ordure d'FTPS reste si populaire ?!. Évalué à 0.
Tiens, je vais potasser ce weekend, je teste lundi, merci!
# pourquoi c'est encore du ftps
Posté par mytemp . En réponse au journal Pourquoi cette ordure d'FTPS reste si populaire ?!. Évalué à 4.
Parceque le sftp il faut des comptes systeme linux existant, et pas des comptes virtuels comme sut ftps ?
Parceque je ne peux pas (et ne veux pas) mettre les comptes des "externes" qui viennent sur mon ftps dans mon ldap.
Je veux pas non plus creer des comptes locaux sur les dizaines de servers que j'ai (redondance).
Parceque les externes qui viennent ont leur port sortant 20 et 21 d'ouvert, mais pas le 22. (non, je peux pas déplacer le sshd ailleurs vers le 443 ou le 80, ni meme le 21, question d'obligation chez nous, le ssh doit etre en 22tcp).
Par elimination, il ne me reste donc plus que la possibilité du ftps.
Apres, si quelqu'un m'explique comment faire du sftp sans creer de compte local (ou dans mon ldap) sur les machines et utiliser a la place des comptes virtuels tout en laissant une conf standard de sshd j'arrette mes serveurs ftps et je remplace par du sftp.
Attention hein, faut pas non plus qu'ils puissent se logguer en ssh ces comptes (question d'obligation du service sécu de chez moi) ET que la conf sshd reste standrad que ca fasse pas tilter les outils d'audit de secu (ils sont un peu en retard et pas super ouvert à la discution le service sécu chez nous….)