Ça me rappelle une histoire de compromission du réseau des neufbox, voir http://bluetouff.com/2010/09/24/deep-packet-inspection-analyse-de-la-compromission-d-un-fai/
Ceci dit, le même problème peut concerner n’importe quel serveur de distribution (kernel, Debian…) qui serait compromis.
C’est exact à la différence près que je ne pense pas que les serveurs de la fonera soient aussi surveillés que ceux de debian (qui s’occupe des majs de son routeur WIFI?). Par ailleurs, je ne fais pas de mise à jour automatique de mes serveurs. Amusant ton histoire, il y a peut être un truc à faire avec ce compte plus clef mais j’imagine que si puppet est un mécanisme connu, c’est relativement blindé.
[quote=“fran.b”]Je me doutais d’un truc de ce genre. L’étonnant est que la clef ssh utilisée telle que demande une passphrase, utilisée sur le routeur, pas de passphrase. La passphrase serait dans le client ssh??
J’ai désactivé ce système. Sur des routeurs je trouve ça très dangereux, vue le nombre de fonera, si la machine download.fon.com est compromise, on a affaire immédiatement à un bootnet de 7 miilions de machines, ça fait beaucoup.[/quote]
Lorsque tu veux gérer une machine par Puppet, tu dois l’enregistrer et il y a échange de certificat entre le serveur et le client.
Il y a peut être une option d’enregistrement automatique pour simplifier la gestion de toutes les Fonera.
[quote=“yap22”]Lorsque tu veux gérer une machine par Puppet, tu dois l’enregistrer et il y a échange de certificat entre le serveur et le client.
Il y a peut être une option d’enregistrement automatique pour simplifier la gestion de toutes les Fonera.[/quote]
Là tu parle de l’utilisation de SSL en mode 2 Way (les deux parties échangent leur certificats). L’utilisation des certificats repose sur l’utilisation d’une clef privée pour créer une signature (pour que personne ne puisse ce servir de ton certificat à part toi). Les clefs privées peuvent demander ou non un mot de passe (si elle n’en demande pas gare à où tu la met). Là François explique que c’est une clef qui a besoin d’un mot de passe mais que le puppet de la fonrea ne semble pas en avoir besoin.
@François > La clef n’est elle pas dans un ssh-agent ou quelque chose d’analogue, au démarrage elle ne demande pas de mot de passe (la fonrea) ?
Non, je ne pense pas. Peu de programmes tournent et le script fait un simple