Re: [HS] mauvaise configuration de ssh?
Remi Suinot, mardi 13 mai 2008, 15:05:22 CEST bonjour à tous; ’jour, Je viens de me rendre compte que je peux utiliser sftp avec firefox! Avec konqueror (et d’autres sûrement) aussi… Jusque là, vous allez me dire: mais, c'est pas grave! , sauf que par hasard, j'au tester sur mon serveur perso, et là, j'ai fait trois infarctus d'un coup! tout est lisible, sans clef ni mot de passe!! j'ai acces à tous les répertoires. Je vais refaire ma configuration, la dessus, cela me semble évident. Mais je me pose LA question: comment cela est il possible? Quelqu'un a t il un réponse? ou un lien? une piste? Minute. Est-ce que tu as juste fait sftp://localhost ? Parce que, si c’est le cas, c’est normal : 'sft localhost' en ligne de commande est tout aussi libéral. Si tu l’as fait depuis un autre poste, c’est plus grave mais ça m’étonnerait… -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [HS] mauvaise configuration de ssh?
Remi Suinot a écrit : bonjour à tous; Je viens de me rendre compte que je peux utiliser sftp avec firefox! Jusque là, vous allez me dire: mais, c'est pas grave! , sauf que par hasard, j'au tester sur mon serveur perso, et là, j'ai fait trois infarctus d'un coup! tout est lisible, sans clef ni mot de passe!! j'ai acces à tous les répertoires. Je vais refaire ma configuration, la dessus, cela me semble évident. Mais je me pose LA question: comment cela est il possible? Quelqu'un a t il un réponse? ou un lien? une piste? Si vous avez un accès ssh autorisé avec votre code utilisateur, sftp utilisera la même technique. -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [HS] mauvaise configuration de ssh?
Le 13-05-2008, à 15:31:58 +0200, DUFRESNE, Mathias (STERIA) ([EMAIL PROTECTED]) a écrit : [snip] Si un utilisateur lambda pouvait se connecter en root au travers de sftp simplement parce qu'il est connecté à un shell du système, ce serait inquiétant... non ? Oui ;-) -- Steve -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [HS] mauvaise configuration de ssh?
DUFRESNE, Mathias \(STERIA\), mardi 13 mai 2008, 15:31:58 CEST Salut, ’lut, [je remets dans l’ordre] From: Sylvain Sauvage [mailto:[EMAIL PROTECTED] Minute. Est-ce que tu as juste fait sftp://localhost ? Parce que, si c'est le cas, c'est normal : 'sft localhost' en ligne de commande est tout aussi libéral. Je viens de tester sur plusieurs système, aucun n'a permis de connexion sans mot de passe avec sftp localhost, ce sur une Etch avec la conf par défaut (j'ai pas touché à ssh ni à pam ici) et sur une Gentoo (conf par défaut de sshd et pam interrogeant l'annuaire ldap, mais ça m'étonnerait que ça change :) Oui, j’avais oublié que j’ai autorisé les clefs pour localhost (pour des 'ssh -X [EMAIL PROTECTED]'). Donc, et c’est normal, localhost est dans le même cas que tous les autres. J'ai aussi testé à distance sur mon routeur (toujours en Etch) qui ne permet que les connexions initiées à l'aide d'une paire de clefs, et là encore ça refuse si la clef est invalide... Et c'est tant mieux ! Ben oui, sftp, c’est « juste » du ssh, donc même sécurité. Je viens de lire la réponse de Daniel Huhardeaux, Pas encore arrivée ici… et sa réponse me rassure, elle correspond non seulement à mes tests, mais aussi à mes attentes... Si un utilisateur lambda pouvait se connecter en root au travers de sftp simplement parce qu'il est connecté à un shell du système, ce serait inquiétant... non ? Si. -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: [HS] mauvaise configuration de ssh?
Salut, Je viens de tester sur plusieurs système, aucun n'a permis de connexion sans mot de passe avec sftp localhost, ce sur une Etch avec la conf par défaut (j'ai pas touché à ssh ni à pam ici) et sur une Gentoo (conf par défaut de sshd et pam interrogeant l'annuaire ldap, mais ça m'étonnerait que ça change :) J'ai aussi testé à distance sur mon routeur (toujours en Etch) qui ne permet que les connexions initiées à l'aide d'une paire de clefs, et là encore ça refuse si la clef est invalide... Et c'est tant mieux ! Je viens de lire la réponse de Daniel Huhardeaux, et sa réponse me rassure, elle correspond non seulement à mes tests, mais aussi à mes attentes... Si un utilisateur lambda pouvait se connecter en root au travers de sftp simplement parce qu'il est connecté à un shell du système, ce serait inquiétant... non ? Cordialement, mat -Original Message- From: Sylvain Sauvage [mailto:[EMAIL PROTECTED] Sent: mardi 13 mai 2008 15:16 To: debian-user-french@lists.debian.org Subject: Re: [HS] mauvaise configuration de ssh? Remi Suinot, mardi 13 mai 2008, 15:05:22 CEST bonjour à tous; 'jour, Je viens de me rendre compte que je peux utiliser sftp avec firefox! Avec konqueror (et d'autres sûrement) aussi... Jusque là, vous allez me dire: mais, c'est pas grave! , sauf que par hasard, j'au tester sur mon serveur perso, et là, j'ai fait trois infarctus d'un coup! tout est lisible, sans clef ni mot de passe!! j'ai acces à tous les répertoires. Je vais refaire ma configuration, la dessus, cela me semble évident. Mais je me pose LA question: comment cela est il possible? Quelqu'un a t il un réponse? ou un lien? une piste? Minute. Est-ce que tu as juste fait sftp://localhost ? Parce que, si c'est le cas, c'est normal : 'sft localhost' en ligne de commande est tout aussi libéral. Si tu l'as fait depuis un autre poste, c'est plus grave mais ça m'étonnerait... -- Sylvain Sauvage -- Désolé pour ce qui suit... The information in this e-mail is confidential. The contents may not be disclosed or used by anyone other then the addressee. Access to this e-mail by anyone else is unauthorised. If you are not the intended recipient, please notify Airbus immediately and delete this e-mail. Airbus cannot accept any responsibility for the accuracy or completeness of this e-mail as it has been sent over public networks. If you have any concerns over the content of this message or its Accuracy or Integrity, please contact Airbus immediately. All outgoing e-mails from Airbus are checked using regularly updated virus scanning software but you should take whatever measures you deem to be appropriate to ensure that this message and any attachments are virus free. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [HS] mauvaise configuration de ssh?
En ce Tue, 13 May 2008 15:15:44 +0200, le sermon de Sylvain Sauvage [EMAIL PROTECTED] contenait: .../... Jusque là, vous allez me dire: mais, c'est pas grave! , sauf que par hasard, j'au tester sur mon serveur perso, et là, j'ai fait trois infarctus d'un coup! tout est lisible, sans clef ni mot de passe!! j'ai acces à tous les répertoires. Je vais refaire ma configuration, la dessus, cela me semble évident. Mais je me pose LA question: comment cela est il possible? Quelqu'un a t il un réponse? ou un lien? une piste? Minute. Est-ce que tu as juste fait sftp://localhost ? Parce que, si c’est le cas, c’est normal : 'sft localhost' en ligne de commande est tout aussi libéral. Voilà comment cela c'est passé: depuis mon portable (192.168.3.10) vers mon serveur (192.168.3.1): sftp://192.168.3.1 et là, badaboum, toute la racine du serveur apparrait! Si tu l’as fait depuis un autre poste, c’est plus grave mais ça m’étonnerait… Et donc là, oui, c'est grave! J'ai effectivement des clefs pour me connecter, mais même en les supprimants cela fonctionnait encore (quoi que, j'y pense, j'ai pas vidé le cache du navigateur...) J'ai cherché un peu, et je me demande si ce n'est pas dans ma configuration de sshd pour laquelle je me connectais avec un couple clef privée/publique uniquement. Là, j'ai reconfigurer ssh pour qu'il n'y ai plus d'acces sauf en local. Rémi. -- Merci de m'avoir lu jusqu'ici, longue Vie et Prosperite. http://www.suinot.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]