Il me faut une clé pour les gouverner tous. Pour cela je dois toujours posséder cette clé sur moi et pouvoir la transporter en toute sécurité.
Petite présentation de ce qu'est une yubikey
Une yubikey est une clé usb qui est un jeton (le mot anglais token est plus joli je trouve) cryptographique. Elle permet de générer un one time password (OTP) et plein d'autres choses, mais je ne l'utilise que pour l'OTP donc je ne parlerai pas du reste. Pour plus d'info, il y a eu une présentation à PSES2011 et il y a plein de sites qui en parlent, je vous laisse chercher.
Mon but est de pouvoir me connecter à mon serveur en ssh à partir d'un pc dont je ne suis pas sûr. Donc impossible d'avoir une paire de clé ni de pouvoir s'assurer l'absence de keylogger. Ce qui est intéressant c'est que comme le nom l'indique, un OTP n'est valable qu'une fois : si on essaie de se connecter avec un OTP déjà utilisé, l'authentification est refusée donc rendant un keylogger inutile.
Mise en place sur OpenBSD
Parfois, avant de me lancer dans de l'adminsys, je me dis "oww sur OpenBSD, je vais galéré" et généralement c'est en fait très simple (une des raisons pour laquelle j'apprécie cet OS).
Pour chaque chose, je donne ce que j'ai fait (de mémoire, c'est pas dit que je n'oublie rien) mais lisez les pages man des différents soft/fichiers de conf qui interviennent, vous apprendrez des choses qui vous seront sans doute utiles.
This is a HOWTO for configuring a YubiKey NEO as an OpenPGP smartcard and use as an OpenSSH authentication token. The instructions are written for OS X, but should be nearly identical for Linux and *BSDs. The only dependencies are the YubiKey command-line utilities and GnuPG with native CCID support. If installing GnuPG from source, you'll also need libusb.
I've assembled these instructions from myriad different sources, including my own trial+error experiences. I abstain from citing them here because no particular source was uniquely useful. Rather, for any particular operation it was rather simple to find examples online. But nowhere could I find a document that fit all the pieces together.