Demande #5515
ouvertssh ForwardAgent
0%
Description
Le 30/07/2021 sur #april-chapril :
20:05 < Pilou> À propos de https://admin.chapril.org/doku.php?id=admin:procedures:ajouter-animateur-service#acces_ssh,
est-il recommandé d'utiliser une clef SSH dédiée pour le Chapril étant donné l'utilisation de ForwardAgent ?
20:08 < PoluX__> ha oui perso je fais pas de forward
[…]
22:02 < PoluX__> cpm_screen: si tu fw ton agent, un root sur la machine concernée peut avoir accès à ta clé iirc
22:03 < PoluX__> ForwardAgent
Agent forwarding should be enabled with caution. Users with the ability to bypass file permissions
on the remote host (for the agent's Unix-domain socket) can access the local agent through
22:03 < PoluX__> the forwarded connection. An attacker cannot obtain key material from the agent, however they can
perform operations on the keys that enable them to authenticate using the identities loaded into the agent.
22:04 < PoluX__> man ssh_config
22:05 < PoluX__> donc c'est la dernière partie qui est intéressante :)
Pour rappel, la configuration actuellement suggérée :
Host *.cluster.chapril.org User root ProxyCommand ssh -W %h:22 april@fip.chapril.org -A ForwardAgent yes SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
Actuellement, le « ForwardAgent Yes » est utilisé pour pouvoir pusher sur les dépôts de la forge April.
Techniquement, puisque root alors il est certainement possible de pirater le ForwardAgent d'un autre.
Dans le cas nominal, il n'y a aucun problème car confiance de l'équipe et actions locales au SI Chapril.
Par contre, dans le cas d'une compromission de compte animsys, ça donne potentiellement accès à des machines externes au SI Chapril des autres animsys.
Demande : évaluer la problématique et envisager une solution.
Solutions envisageables :
1) dans la doc admin, mettre un message d'avertissement sur le « ForwardAgent Yes » ;
2) retirer « ForwardAgent Yes » de la doc (implique de faire un git pull chez soi avant de pusher sur la forge April) ;
3) conserver le « ForwardAgent Yes » et rajouter une injonction à utiliser une clé spécifique au Chapril, et donc ajouter dans la documentation comment indiquer la clé spécifique.