Re: SSH : autoriser root seulement en local
Le dimanche 11 février 2007 20:32, Franck Joncourt a écrit : Michel Grentzinger wrote: [...] Réseau domestique... Donc j'interdis le login root mais je requiers une connexion par clé, c'est bien ça ? J'aurais accès au root directement ? [...] Cela devrait pouvoir te permettre de te logguer avec un mot de passe pour les utilisateurs classiques et uniquement par clef publique pour l'utilisateur root. Y aurait-il quelqu'un dans l'assistance avec une telle configuration ? oui : PermitRootLogin without-password et configuration traditionelle pour les clefs publiques/privées. Cela fonctionne, mais c'est « MAL » pour tous les jours. Il vaut de loin mieux faire « sudo » ; AMHA en dehors de la question « sécurité » c'est une question de « bonnes pratiques¹ » (c'est le « IT² » qui parle). J'ai utilisé cette configuration comme « fail-safe ». [...] Si vous persistez dans cette voie (et pour éviter de taper un mot de passe déjà que l'on ne tape plus sudo), il existe libpam-ssh pour charger sa clef privée dans un agent au login ([gdx]dm par exemple) à l'aide du mot de passe saisi. Personnellement, je préfère éviter de taper mon mot de passe 2x³ avec libpam-ssh et taper « sudo -s » plustôt que l'inverse (taper le mot de passe root et pas « sudo -s »). HS: a quand un module PAM pour utiliser l'agent ssh et faire sudo avec clef publique/privée ? ¹: les effets se font ressentir à long-terme même si on ne comprends pas toujours pourquoi au début ;-) ²: http://en.wikipedia.org/wiki/It_crowd ³: 1x pour « ssh [EMAIL PROTECTED] » et 1x pour « sudo -s » Cordialement, -- Eric DÉCORNOD Ingénieur d'Études SCICS - Faculté des Sciences Université Henri Poincaré
Re: SSH : autoriser root seulement en local
Le lundi 12 février 2007 11:15, Eric DECORNOD a écrit : Le dimanche 11 février 2007 20:32, Franck Joncourt a écrit : Michel Grentzinger wrote: [...] oui : PermitRootLogin without-password et configuration traditionelle pour les clefs publiques/privées. Cela fonctionne, mais c'est « MAL » pour tous les jours. mode baby Troll Pourquoi C'est au contraire bien plus sécurisé qu'un password, du fait que même les clés ne sont pas échangées, mais seulement leurs représentations. Par ailleurs les spécialistes sécurité estiment, pour une majorité, que si un attaquant a déjà réussi à subtiliser un login pour un user normal, il-y-a énormément de chances pour qu'il finisse par se loger en root Mais évidemment, si tu laisses sans surveillance une station logée sous root /mode baby Troll JY
Re: SSH : autoriser root seulement en local
Le lundi 12 février 2007 13:45, Jean-Yves F. Barbier a écrit : [...] oui : PermitRootLogin without-password et configuration traditionelle pour les clefs publiques/privées. Cela fonctionne, mais c'est « MAL » pour tous les jours. mode baby Troll s/baby//g Pourquoi C'est au contraire bien plus sécurisé qu'un password, du fait que même les clés ne sont pas échangées, mais seulement leurs représentations. Absoluement, je préfère de loin le challenge-response au plaintext. Je rêve même de la configuration où ta clef privée reste sur clef USB et est chargée/déchargée à l'insertion/suppression de cette dernière. Par ailleurs les spécialistes sécurité estiment, pour une majorité, que si un attaquant a déjà réussi à subtiliser un login pour un user normal, il-y-a énormément de chances pour qu'il finisse par se loger en root Et à fortiori si le user en question est sudoer... Mais évidemment, si tu laisses sans surveillance une station logée sous root C'est bien là la teneur de mes propos : Je soutiens que c'est « MAL » non pas pour des raison techniques ou sécuritaires, mais pour des questions d'« usage » (de la même façon que manger au dessus de son clavier c'est MAL ;-) ). Je m'explique : à se logguer en root on prends de mauvaise habitudes. Plus l'habitude court, plus la « faignantise » s'installe et moins on fait attention à ce que l'on fait. Et c'est à ce moment là que le doigt glisse de la touche * vers entrée (les deux sont côte à côte) et que les accidents arrivent. En utilisant « sudo » on fait bien la distinction ente ce qui requiert les droits root et le reste. De plus sudo consigne les actions, ce qui est judicieux dès lors que l'administration se fait à plusieurs (troll« quel est le x#!@ qui a remplacé les flèches par hjkl sont tes nouveaux amis »/troll). /mode baby Troll JY Cordialement, -- Eric DÉCORNOD Ingénieur d'Études SCICS - Faculté des Sciences Université Henri Poincaré
Re: SSH : autoriser root seulement en local
Le lundi 12 février 2007 15:27, Eric DECORNOD a écrit : Le lundi 12 février 2007 13:45, Jean-Yves F. Barbier a écrit : [...] Absoluement, je préfère de loin le challenge-response au plaintext. Je rêve même de la configuration où ta clef privée reste sur clef USB et est chargée/déchargée à l'insertion/suppression de cette dernière. Ca, ça devrait être possible sans trop de PB (montage auto de la clé à l'insertion + symlink de '/root/.ssh' pointant vers un DIR de la clé) ... Je m'explique : à se logguer en root on prends de mauvaise habitudes. Plus l'habitude court, plus la « faignantise » s'installe et moins on fait attention à ce que l'on fait. Et c'est à ce moment là que le doigt glisse de la touche * vers entrée (les deux sont côte à côte) et que les accidents arrivent. Oui, et non... Je m'explique: tant que ça n'est que du $user à modifier, c'est Ok; par contre, si c'est systématiquement du system, là tu n'as pas le choix (Ex: les modifs que je fais sur mon firewall ou sur mon serveur sont *toujours* des modifs system (règle iptables, modifs de samba, etc...), donc c'est plus rapide de se loger en root.) Pour conclure, c'est de la responsabilité de l'admin de savoir s'il prend cette décision... et les précautions qui s'imposent. Il m'est plus souvent arrivé de faire des conneries en me trompant de console (console 2 en ssh sur un autre micro où tu crois être, alors que tu es en console 1, et vice-versa) que de faire des erreurs parce que j'étais root. ... De plus sudo consigne les actions, ce qui est judicieux dès lors que l'administration se fait à plusieurs (troll« quel est le x#!@ qui a remplacé les flèches par hjkl sont tes nouveaux amis »/troll). Là, effectivement, je suis d'accord avec toi, pas question de loger directement en root! Cordialement, JY
Re: [HS] be root or not ? (was : SSH autoriser root seulement en local)
Le lundi 12 février 2007 15:40, Jean-Yves F. Barbier a écrit : [...] Je m'explique : à se logguer en root on prends de mauvaise habitudes. Plus l'habitude court, plus la « faignantise » s'installe et moins on fait attention à ce que l'on fait. Et c'est à ce moment là que le doigt glisse de la touche * vers entrée (les deux sont côte à côte) et que les accidents arrivent. Oui, et non... Je m'explique: tant que ça n'est que du $user à modifier, c'est Ok; par contre, si c'est systématiquement du system, là tu n'as pas le choix (Ex: les modifs que je fais sur mon firewall ou sur mon serveur sont *toujours* des modifs system (règle iptables, modifs de samba, etc...), donc c'est plus rapide de se loger en root.) Je le concède, je suis le premier à me loguer en root dans ce cas (il m'est arrivé de ne créer aucun compte utilisateur). Pour conclure, c'est de la responsabilité de l'admin de savoir s'il prend cette décision... et les précautions qui s'imposent. Je reconnais que j'y vais un peu fort en disant « c'est MAL », mais c'est pour moi une façon de me rappeler justement ces fameuses « précautions qui s'imposent » (flagellationtout comme sudo qui me fait [EMAIL PROTECTED] à chaque fois qu'il me demande mon mot de passe de 25 caractères/flagellation). Il y a d'autres méthodes comme se dire que « chaque fois qu'on se logue en root pour rien, dieu tue un chat, pensez aux chats ». Il m'est plus souvent arrivé de faire des conneries en me trompant de console (console 2 en ssh sur un autre micro où tu crois être, alors que tu es en console 1, et vice-versa) que de faire des erreurs parce que j'étais root. # reboot...(attente trop longue) connection closed blabla... « eh merde » C'est du vécu aussi ça... ... De plus sudo consigne les actions, ce qui est judicieux dès lors que l'administration se fait à plusieurs (troll« quel est le x#!@ qui a remplacé les flèches par hjkl sont tes nouveaux amis »/troll). Là, effectivement, je suis d'accord avec toi, pas question de loger directement en root! Et pourtant on le fait si souvent... En fait il faudrait assigner un shell qui consigne dans les journaux pour les ssh [EMAIL PROTECTED] par défaut ; je crois que c'est possible avec les options du .ssh/authorized_keys mais je n'ai jamais testé. Cordialement, JY Cordialement, -- Eric DÉCORNOD Ingénieur d'Études SCICS - Faculté des Sciences Université Henri Poincaré
Re: [HS] be root or not ? (was : SSH autoriser root seulement en local)
Le lundi 12 février 2007 16:39, Eric DECORNOD a écrit : Le lundi 12 février 2007 15:40, Jean-Yves F. Barbier a écrit : [...] Je le concède, je suis le premier à me loguer en root dans ce cas (il m'est arrivé de ne créer aucun compte utilisateur). Alors CA, CA c'est TT mal !!! Mon fils, vous direz 50 je vous salut init et 30 'l'ext2 est mon berger. Pour conclure, c'est de la responsabilité de l'admin de savoir s'il prend cette décision... et les précautions qui s'imposent. Je reconnais que j'y vais un peu fort en disant « c'est MAL », mais c'est pour moi une façon de me rappeler justement ces fameuses « précautions qui s'imposent » (flagellationtout comme sudo qui me fait [EMAIL PROTECTED] à chaque fois qu'il me demande mon mot de passe de 25 caractères/flagellation). pas suffisant: flagellation au sumac vénéneux + barbelés rouillés Il y a d'autres méthodes comme se dire que « chaque fois qu'on se logue en root pour rien, dieu tue un chat, pensez aux chats ». dommage qu'il ne tue pas un con, je n'aurais plus que des comptes root (quoiqu'on soit toujours le con de quelqu'un :) ... De plus sudo consigne les actions, ce qui est judicieux dès lors que l'administration se fait à plusieurs (troll« quel est le x#!@ qui a remplacé les flèches par hjkl sont tes nouveaux amis »/troll). Là, effectivement, je suis d'accord avec toi, pas question de loger directement en root! Et pourtant on le fait si souvent... En fait il faudrait assigner un shell qui consigne dans les journaux pour les ssh [EMAIL PROTECTED] par défaut ; je crois que c'est possible avec les options du .ssh/authorized_keys mais je n'ai jamais testé. C'est une idée à creuser, et je vais regarder ça de près. Cordialement , JY
Re: SSH : autoriser root seulement en local
Jean-Yves F. Barbier wrote: mode baby Troll Pourquoi C'est au contraire bien plus sécurisé qu'un password, du fait que même les clés ne sont pas échangées, mais seulement leurs représentations. Par ailleurs les spécialistes sécurité estiment, pour une majorité, que si un attaquant a déjà réussi à subtiliser un login pour un user normal, il-y-a énormément de chances pour qu'il finisse par se loger en root Faut plus lancer Apache alors? (ni rien d'autre, à part vi :). le principe de bon sens retenu en général est la defense in depth, et une de ses conséquences: minimiser les privilèges donnés à quoi/qui que ce soit. D'accord, ça ne suffit pas à rendre un système sécurisé, mais ça aide un peu. D'autre part, laisser l'accès à root pose le problème de la machine client: du coup, on a besoin de la rendre plus sûre qu'on n'en a envie (surtout avec un windows ou un virus peut choper les mots de passe. bien sur, un keylogger peut aussi recuperer toutes les infos, mais c'est plus dur car il doit prévoir quand tu fais su... etc). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SSH : autoriser root seulement en local
Bonjour Interdire le root login mais autoriser une connection par clefs Guy Michel Grentzinger a écrit : Le samedi 10 février 2007 19:41, mouss a écrit : Je cherche à limiter les connexions en root seulement depuis le réseau local (homeg.lan). J'ai essayé ceci sans succès : PermitRootLogin yes AllowUsers [EMAIL PROTECTED] Est-ce possible ? Je n'ai pas trouvé de docs la-dessus. pas à ma connaissance. Cela dit, il n'y a aucune raison d'autoriser l'accès à root. ca empêche tout audit. il vaut mieux que chaque utilisateur utilise son propre compte, et si necessaire fait 'su' (ou sudo). Oui mais pour gérer mon serveur, c'est beaucoup plus pratique d'aller directement dans le compte root ! -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SSH : autoriser root seulement en local
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 De Leeuw Guy wrote: Bonjour Interdire le root login mais autoriser une connection par clefs Guy Je pense que autoriser le login root est beaucoup trop dangereux, meme avec une clef publique. Avec quelqu'un de mal intentionne sur le resau local, on est pas a l'abris d'une replay attack. Mais bon,tout depend du contexte dans lequel on se place. - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFz1AWxJBTTnXAif4RAuLuAJ9e4Dxpp+4y3sA3G0Pz/WzQ4nTO8ACdGamU imsVmmtlL/p7CE/7b/HS+dc= =Bgfz -END PGP SIGNATURE- ___ All New Yahoo! Mail � Tired of [EMAIL PROTECTED]@! come-ons? Let our SpamGuard protect you. http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SSH : autoriser root seulement en local
Le dimanche 11 février 2007 18:19, Franck Joncourt a écrit : Interdire le root login mais autoriser une connection par clefs Guy Je pense que autoriser le login root est beaucoup trop dangereux, meme avec une clef publique. Avec quelqu'un de mal intentionne sur le resau local, on est pas a l'abris d'une replay attack. Mais bon,tout depend du contexte dans lequel on se place. Réseau domestique... Donc j'interdis le login root mais je requiers une connexion par clé, c'est bien ça ? J'aurais accès au root directement ? -- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
Re: SSH : autoriser root seulement en local
Le dimanche 11 février 2007 18:19, Franck Joncourt a écrit : De Leeuw Guy wrote: Bonjour Interdire le root login mais autoriser une connection par clefs Guy Je pense que autoriser le login root est beaucoup trop dangereux, meme avec une clef publique. Avec quelqu'un de mal intentionne sur le resau local, on est pas a l'abris d'une replay attack. Faux, sinon la politique Debian n'aurait pas précédemment changée PermitRootLogin de no vers yes. JY
Re: SSH : autoriser root seulement en local
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Michel Grentzinger wrote: Le dimanche 11 février 2007 18:19, Franck Joncourt a écrit : Interdire le root login mais autoriser une connection par clefs Guy Je pense que autoriser le login root est beaucoup trop dangereux, meme avec une clef publique. Avec quelqu'un de mal intentionne sur le resau local, on est pas a l'abris d'une replay attack. Mais bon,tout depend du contexte dans lequel on se place. Réseau domestique... Donc j'interdis le login root mais je requiers une connexion par clé, c'est bien ça ? J'aurais accès au root directement ? J'ai jamais effectue de connexion root en ssh! J'ai la directive ''PermitRootLogin'' a no. Je me connecte en ssh via un utilisateur classique et je me loggue ensuite en root. Pour te donner la bonne configuration je ne suis donc pas le mieux place :) Mais, moi j'essayerais : PermitRootLogin forced-commands-only PubkeyAuthentication yes PasswordAuthentication yes Cela devrait pouvoir te permettre de te logguer avec un mot de passe pour les utilisateurs classiques et uniquement par clef publique pour l'utilisateur root. Y aurait-il quelqu'un dans l'assistance avec une telle configuration ? - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFz29MxJBTTnXAif4RAuNbAJoD6iVzut+XSf1+TrtQO7dvor2g0wCePhxI HvWT+yv3it1CmGuNyYxRXyo= =+QYb -END PGP SIGNATURE- ___ Try the all-new Yahoo! Mail. The New Version is radically easier to use � The Wall Street Journal http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SSH : autoriser root seulement en local
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Jean-Yves F. Barbier wrote: Le dimanche 11 février 2007 18:19, Franck Joncourt a écrit : De Leeuw Guy wrote: Bonjour Interdire le root login mais autoriser une connection par clefs Guy Je pense que autoriser le login root est beaucoup trop dangereux, meme avec une clef publique. Avec quelqu'un de mal intentionne sur le resau local, on est pas a l'abris d'une replay attack. Faux, sinon la politique Debian n'aurait pas précédemment changée PermitRootLogin de no vers yes. JY Qu'est ce qui est considere comme faux ? 1/ le fait de se logguer en root avec mot de passe 2/ le fait de se logguer en root avec une clef publique 3/ 1 2 n'est pas sure. Moi, c'etait mon avis, mais je suis preneur si quelqu'un peut m'expliquer pourquoi. - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFz3GpxJBTTnXAif4RAo7yAJ0Yux2GwX4HWr0LiHAUUUzYIN0L8QCg0tiL 3Wk0geakiHbdoi/iu00YV2o= =+NOv -END PGP SIGNATURE- ___ All new Yahoo! Mail The new Interface is stunning in its simplicity and ease of use. - PC Magazine http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SSH : autoriser root seulement en local
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Franck Joncourt wrote: Jean-Yves F. Barbier wrote: Le dimanche 11 février 2007 18:19, Franck Joncourt a écrit : De Leeuw Guy wrote: Bonjour Interdire le root login mais autoriser une connection par clefs Guy Je pense que autoriser le login root est beaucoup trop dangereux, meme avec une clef publique. Avec quelqu'un de mal intentionne sur le resau local, on est pas a l'abris d'une replay attack. Faux, sinon la politique Debian n'aurait pas précédemment changée PermitRootLogin de no vers yes. JY Et bien j'ai fait quelques recherches et j'en deduis que j'avais tord. L'authentification par clef publique semble tout a fait fiable (a l'exception d'une vulnerabilite face aux attaques de types MITM - http://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu). Desole pour le bruit mais on apprend tous les jours :) - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFz41PxJBTTnXAif4RAr4zAJ9ikWO0bu6gSAV4pDRwHoYdRqQNQACgh8sT nITU8tMU/hqhEJ01j7QWW+8= =J+Ug -END PGP SIGNATURE- ___ All new Yahoo! Mail The new Interface is stunning in its simplicity and ease of use. - PC Magazine http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
SSH : autoriser root seulement en local
Bonjour, Je cherche à limiter les connexions en root seulement depuis le réseau local (homeg.lan). J'ai essayé ceci sans succès : PermitRootLogin yes AllowUsers [EMAIL PROTECTED] Est-ce possible ? Je n'ai pas trouvé de docs la-dessus. -- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
Re: SSH : autoriser root seulement en local
Michel Grentzinger wrote: Bonjour, Je cherche à limiter les connexions en root seulement depuis le réseau local (homeg.lan). J'ai essayé ceci sans succès : PermitRootLogin yes AllowUsers [EMAIL PROTECTED] Est-ce possible ? Je n'ai pas trouvé de docs la-dessus. pas à ma connaissance. Cela dit, il n'y a aucune raison d'autoriser l'accès à root. ca empêche tout audit. il vaut mieux que chaque utilisateur utilise son propre compte, et si necessaire fait 'su' (ou sudo). maintenant, tu peux aussi lancer deux ssh: un pour le réseau local et un pour le public. il faut dupliquer la configuration bien entendu (y compris /etc/pam.d/ssh). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SSH : autoriser root seulement en local
Le samedi 10 février 2007 19:41, mouss a écrit : Je cherche à limiter les connexions en root seulement depuis le réseau local (homeg.lan). J'ai essayé ceci sans succès : PermitRootLogin yes AllowUsers [EMAIL PROTECTED] Est-ce possible ? Je n'ai pas trouvé de docs la-dessus. pas à ma connaissance. Cela dit, il n'y a aucune raison d'autoriser l'accès à root. ca empêche tout audit. il vaut mieux que chaque utilisateur utilise son propre compte, et si necessaire fait 'su' (ou sudo). Oui mais pour gérer mon serveur, c'est beaucoup plus pratique d'aller directement dans le compte root ! -- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
Re: SSH : autoriser root seulement en local
Michel Grentzinger wrote: Le samedi 10 février 2007 19:41, mouss a écrit : Je cherche à limiter les connexions en root seulement depuis le réseau local (homeg.lan). J'ai essayé ceci sans succès : PermitRootLogin yes AllowUsers [EMAIL PROTECTED] Est-ce possible ? Je n'ai pas trouvé de docs la-dessus. pas à ma connaissance. Cela dit, il n'y a aucune raison d'autoriser l'accès à root. ca empêche tout audit. il vaut mieux que chaque utilisateur utilise son propre compte, et si necessaire fait 'su' (ou sudo). Oui mais pour gérer mon serveur, c'est beaucoup plus pratique d'aller directement dans le compte root ! tu lances une instance ssh juste pour ça. cette instance écoutera sur un port à choisir, autorisera uniquement les connexions à partir du réseau local, et uniquement pour des comptes à choisir. pour cela, il faut faire une copie des fichiers ssh. attention au fichier de pid dans /etc/init.d/ssh (sinon, tu risque d'arrêter le mauvais ssh...). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SSH : autoriser root seulement en local
Michel Grentzinger a écrit : [...] Cela dit, il n'y a aucune raison d'autoriser l'accès à root. ca empêche tout audit. il vaut mieux que chaque utilisateur utilise son propre compte, et si necessaire fait 'su' (ou sudo). Oui mais pour gérer mon serveur, c'est beaucoup plus pratique d'aller directement dans le compte root ! Pratique pour quoi? gérer un serveur demande de l' attention de la part de l' administrateur: un accès en user suivi d' un sudo comme cela a été proposé est la meilleure solution en matière de sécurité. A vous de voir si le pratique doit prendre le pas sur la sécurité. Quant au beaucoup, j' en doute ;-)! -- Daniel Huhardeaux _ _ _ _ enum+48 32 285 5276 (_ __) _ ) _ (_ __) _ _(_) iaxtel 1-700-849-6983 / / / // / // / / / / /_/ / / sip/iax:callto [EMAIL PROTECTED]/_/ ( ___( ___/ /_/ (_/ (_/_/.netFWD# 422493 -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
