On Thu, Apr 29, 2004 at 10:30:14AM +0200, Pierre Keller - BCU Lausanne wrote:
> Il y a dans /etc/ssh/sshd_config le param�tre PermitRootLogin.
> Par d�faut, il est � yes.
Il y a une documentation qui explique pourquoi (chez Debian)
les auteurs ont pr�f�r� de faire ainsi.
/usr/share/doc/ssh/README.Debian.gz
Mon point de vue est le suivant:
- c'est fondamentalement mauvais, mais pour d'autres raisons que l'on
donne souvent: pour moi c'est un probl�me d'auditing (qui a fait
quoi, beaucoup plus facile � assurer si tout acc�s � root se fait
via su). On parle bien s�r d'auditing pour des actions non
malintentionn�es (car sinon l'attaquant efface les logs).
- cela simplifie certaines op�rations (p.ex. sauvegarde via rsync
correcte) sans n�cessiter de wrapper
- on peut mitiger ce probl�me en bloquant les adresses distantes
via PAM (login root seulement depuis certaines adresses IP, p.ex.
r�seau interne, avec anti-spoofing sur le firewall).
> D'un point de vue s�curitaire: est-ce une bonne chose ? en d'autres
> termes, peut-on consid�rer SSH comme suffisamment s�r pour qu'on
> puisse se connecter � un serveur comme root via ce canal ?
En fait, aujourd'hui, c'est plus le probl�me au niveau du client. Je
pense qu'un virus/worm Windows qui analyserait les connexions SSH effectu�es
vers des serveurs (UNIX, GU/Linux, etc) et qui effectuerait un
rm -rf /
automatiquement dessus n'est pas si �loign�.
Ma solution est alors:
- jamais de login sur un compte non captif depuis tout poste non
s�curis� (== tout poste Windows, tout poste non sous mon contr�le,
etc)
- sur une machine non contr�l�e on peut d�marrer knoppix -- une
version � jour bien s�r.
- on peut aussi utiliser mon package `simple-otp' qui permet de cr�er
un utilisateur sp�cial qui n'autorise la connexion qu'apr�s
introduction d'un mot de passe unique (style liste � biffer Yellownet).
Depuis cet utilisateur on peut ensuite se connecter � tout
utilisateur via mot de passe, utilisateur *dont l'acc�s depuis
l'ext�rieur est impossible.*
Pour r�sumer, quand je suis chez un client et que je veux me connecter
chez moi, je branche mon laptop et je fais tout via SSH. Si je ne peux
pas brancher mon laptop, je me connecte � [EMAIL PROTECTED], j'entre
le mot de passe suivant de la liste et je fais su - et j'entre le
mot de passe de root. Ensuite je fais su - USER pour chaque utilisateur
(sans taper le mot de passe). Comme root est configur� pour ne pas
autoriser de connexions externes, c'est assez s�r.
> Parano�aquement v�tre,
_______________________________________________
gull mailing list
[EMAIL PROTECTED]
http://lists.alphanet.ch/mailman/listinfo/gull
