Logs du chan #afpy pour le

01:11 <misc> je pige pas, utiliser la yubikey ?
01:11 <misc> (parce que les yubikeys ont plusieurs fonctions, genre u2f, otp, ssh ?)
04:47 <HS-157> misc: Je crois que oui (mais j'utilise pas et je devrais)
08:05 <asyd> misc: oui les yubikey ont plein de fonctions différentes
08:06 <Mindiell> matin
10:15 <misc> asyd: ouais, enfin ma question, 'est plus ce que les gens veulent dire par "utiliser la yubikey"
10:16 <misc> (parce que je sais bien que les yubikeys ont pleins de fonctions, j'en ai ~6 ou 7 chez moi)
10:16 <asyd> ah oui ok
10:18 <asyd> le jour ou le U2F pourra marcher sous linux déjà
10:30 <misc> mhh, ça marche, non ?
10:30 <misc> (avec firefox et github, ça passe)
10:30 <misc> (et y a vaguement un truc qui utilise u2f sur les openssh recents)
10:31 <misc> (et y a un pam-u2f aussi sur les distros recentes, genre sur une Fedora)
10:31 <asyd> oui oui
10:32 <asyd> mais pas en rfid
10:32 <misc> aaaahhhh
10:32 <misc> mais faut un lecteur rfid aussi ?
10:33 <asyd> oui enfin ça c'est pas vraiment leproblème. c'est toute la stack linux/browser etc
10:34 <misc> du coup, tu veux utiliser une clé qui fait u2f en rfid ?
10:34 <asyd> euh a la base c'était le concept du u2f oui
10:35 <misc> ouais, mais en pratique, l'usb suffit pas ?
10:36 <asyd> je trouve ça beaucoup plus pénible en UX. Mais je suis curieux de savoir comment mdk l'utilise
10:37 <misc> ouais, c'est relou si tu as pas la clé en permanence (genre les nanos de yubikey ou autre truc sur le marché)
10:37 <misc> (maintenant, j'ai pas de lecteur rfid sur mes pcs portables...)
10:38 <asyd> et après de manière purement sécuritaire, j'ai du mal a avoir l'intérêt par rapport a un bete OTP classique (par exemple avec 1password je peux avoir mes OTP via un script)
10:38 <asyd> parce que si c'es tpour avoir une clé physique branchée en permanence..
10:39 <misc> y a moins de souci de gens qui collent l'otp par erreur sur irc :p
10:40 <misc> et l'avantage d'avoir la clé par rapport à une solution purement logiciel, c'est qu'on peut pas faire de copie de la clé "facilement"
10:41 <misc> genre la clé s'égare pas dans les backups, et une compromission logicielle du pc compromet pas la clé
10:49 <mdk> Je parlais de la yubikey comme agent SSH (applet PIV via PKCS#11), vu qu'on parlait de push git avant
10:51 <mdk> Je l'utilise avec un "toucher" obligatoire, n'étant pas le seul root sur la plus part des serveurs que j'utilise (afpy compris), et affectionnant particulièrement le ssh-agent-forwarding, c'est pour moi le bon compromis
10:51 <asyd> ah pour la signature ?
10:51 <mdk> La signature a la connexion ssh, pour établir la connexion
10:52 <mdk> asyd: mon ssh-agent transfère le challenge a ma clef, qui le résoud (le signe peut être)
10:52 <asyd> oui mais c'est juste pour l'établissement ssh donc. Pas la signature du git commit
10:52 <mdk> asyd: a l'utilisation, je tape "git push", je touche ma clef, et ça part
10:53 <asyd> mdk: mais je pige pas, si tu utilises l'agent pourquoi tu as besoin de toucehr a chaque fois ?
10:53 <mdk> asyd: je pourrais l'utiliser pour signer le commit mais je ne le fait pas, flemme de configurer tout ca proprement (j'entend : générer une clef privée sur du hardware offline)
10:54 <mdk> asyd: car je l'ai configuré pour devoir la toucher a chaque fois, c'est tout.
10:54 <asyd> ah oui ok
10:54 <mdk> Je l'ai configurée comme ca parce que je fais du ssh-agent-forearding a tout va
10:55 <mdk> Si je me ssh sur deb.afpy.org et que tu t'y ssh en root, tu pourrais utiliser mon agent pour te ssh sur mdk.fr par exemple
10:55 <asyd> ah ben ça
10:55 <mdk> Si tu le fais, ma clef va clignoter, au lieu de te laisser y aller
10:55 <mdk> Et je vais la regarder de travers... Et ne pas la toucher j'espère
10:55 <misc> mhh, pourquoi tu forwardes l'agent ?
10:56 <mdk> misc: j'ai plusieurs endroits où je doit rebondir sur des gates pour accéder a des machines
10:56 <misc> mdk: proxyjump fait pas l'affaire ?
10:56 <mdk> misc: le ssh agent forwarding + une bonne conf ssh me permet de taper ces machines facilement
10:57 <mdk> misc: bonne question
10:57 <misc> (parce que les seuls cas ou je fait du forwarding, c'est si je doit faire du scp depuis un serveur distant, ou un git clone ssh)
10:58 <misc> mais sinon, j'ai le même cas que toi, et j'ai juste tellement mis de proxyjump dans ma conf que mon .ssh/config ressemble à une FAQ détaillé sur le premier niveau de supermario
10:58 <mdk> misc: car j'ai du proxyjump aussi (btw c'est assez récent ProxyJump, et je fais ca depuis assez longtemps, ca se trouve c'est plus nécessaire maintenant, j'ai migré a ProxyJump sans me poser la question)
10:59 <misc> proxyjump, openssh 7.3
11:00 <misc> 2016
11:00 <mdk> Hahaha, j'avoue que mon .ssh/config pique aussi, j'ai des machines que je ne peux toucher qu'en 3 rebonds dont un par un "ssh -R" (donc en localhost:grosporc) sur une des machines du chemin :p (oui c'est un peu une backdoor vers mon desktop de $DAYJOB)
11:01 <mdk> 2016 c'est récent surtout quand on ne met pas a jour ses serveurs tous les jours (on est souvent en oldstable a $DAYJOB)
11:01 <misc> ouais
11:01 <mdk> (Récent pour moi)
11:01 <misc> c'est juste que j'ai ça sur une RHEL 7 et bon, le pc date de 2014
11:01 <asyd> oldstable ! :)
11:01 <mdk> Sinon je fais beaucoup de fido U2F (github, pypi, ..) ca marche très bien sur linux asyd
11:02 <asyd> mdk: oui, par USB :)
11:02 <asyd> t'a jamais niqué de port USB / clé yubi encore ?
11:02 <misc> mais visiblement un collége a fait un rebase du paquet
11:02 <mdk> asyd: non
11:02 <mdk> asyd: mais j'ai 2 clefs, au cas où
11:02 <mdk> (Et donc je pose deux clefs publiques partout...)
11:03 <misc> pareil :p
11:03 <misc> avec github ou gitlab qui te retire les clés pour inactivité :/
11:04 <asyd> mdk: euhh fido u2f, dans firefox ? donc pareil tu appuies sur le bouton ?
11:05 <mdk> asyd: oui
11:05 <mdk> asyd: dans firefox
11:05 <asyd> tiens je pensais qu'on pouvait associé qu'une fonction sur le bouton (ou deux avec appuie long/court)
11:06 <mdk> asyd: ca marche sur bc de services et c'est plus pratique qu'écrire un TOTP a la main
11:07 <mdk> asyd: je pense qu'on peut associer des fonctions oui mais je n'y ai pas touché
11:07 <mdk> asyd: dans les deux cas (U2F et SSH) la clef clignotte pour me dire "on me demande de résoudre un challenge, je le fais ou pas ?"
11:07 <mdk> asyd: et il suffit de toucher pour dire "oui"
11:14 <debnet> Bonjour !
11:34 <mdk> debnet: o/
16:36 <debnet> J'ai enfin réussi le jour 20 @mdk. x)
16:36 <mdk> GG
16:36 <mdk> J'ai pas essayé
16:36 <mdk> Je suis avec mes filles :p
16:37 <debnet> En fait j'ai galéré comme un connard car j'avais pas lu une règle.
17:02 <mdk> Ha. Ha. :(