Re: securité ssh login root
Patrick wrote:
Bonjour,
Pouvez-vous m'ouvrir l'esprit? ;o)
En règle général, le login sous root est déconseillé
en dehors d'une console locale sous surveillance.
Même pour SSH, j'ai lu qu'il était conseillé de
désactiver la connexion sous root et d'utiliser 'sudo'
pour autoriser certaines actions à un utilisateur
accrédité.
Si je dois administrer une machine à distance avec
SSH, quelle amélioration de la sécurité puis-je
espérer avec ce principe?
Et bien il faudra deja que le quidam casse 2 mots de passes: celui du
user, ensuite celui de root.
Un quidam peut arriver à truander le système, faire
usage de mon userid et bénéficier des droits que j'ai
grâce à 'sudo'.
Non, s'il n'a pas le mot de passe.
De même, '/etc' n'est pas protégé en lecture et les
fichiers de configurations sont lisibles. Il aura donc
un catalogue des droits qui me sont attribué par
'sudo'?
Admettons qu'il ai reussi a obtenir le mot de passe root. Crois tu
vraiment que c'est *que* pour lire /etc ;-)?
Merci à vous et joyeuses fêtes à tous.
Donc ce que je fais:
1) tres peu de comptes user sur une machine sensible
2) pas d'acces root par ssh
3) les mots de passe user sont changes *tous* les mois
4) les mots de passe font minimum 8 caracteres, melangent chiffres et
lettres, majuscules et minuscules
5) pour ceux qui se connectent par ssh, installation de leur cle
publique sur le serveur. Donc plus de saisie de mot de passe user donc
s'il y a un sniffer ... perdu ;-)
6) si le user a ses mails sur la machine, rediriger les mails user
console vers ceux de user/mail accede avec un _autre_ mot de passe. Ca
ne sert a rien de fermer toutes les portes au niveau console s'il suffit
de sniffer pop3 pour voir circuler le mot de passe en clair!
Bonnes fetes a toi aussi.
--
: ______ ______ ______ ______ ______ __ daniel.huhardeaux@tootai.com
: /_____// __ // __ //_____// __ // / phone.: +48 32 285 5276
: / / / /_/ // /_/ / / / / /_/ // / fax....: +48 32 285 5276
: /_/ /_____//_____/ /_/ /_/ /_//_/ mobile..: +48 602 284 546
Reply to: