Re: securité ssh login root
Le 12409ième jour après Epoch,
ppy62@yahoo.com écrivait:
> Bonjour,
>
> Pouvez-vous m'ouvrir l'esprit? ;o)
Je n'ai pas cette prétention, alors si quelqu'un pouvait me relire et
me corriger, je serais ravi.
> En règle général, le login sous root est déconseillé
> en dehors d'une console locale sous surveillance.
Oui, ça évite d'avoir des droits sur une machine depuis un endroit
différent d'où est le clavier.
> Même pour SSH, j'ai lu qu'il était conseillé de
> désactiver la connexion sous root et d'utiliser 'sudo'
> pour autoriser certaines actions à un utilisateur
> accrédité.
Pas forcément. Tu peux aussi interdire l'accès par mot de passe et
forcer l'échange de clefs.
Dans l'absolu c'est la règle de ma première réponse qui
s'applique. Mais si tu autorises l'accès à un user avec le droit de
faire des 'sudo', alors le vilain craker essayera de faire pareil.
> Si je dois administrer une machine à distance avec
> SSH, quelle amélioration de la sécurité puis-je
> espérer avec ce principe?
>
> Un quidam peut arriver à truander le système, faire
> usage de mon userid et bénéficier des droits que j'ai
> grâce à 'sudo'.
Clair. Dans cette situation, le principe d'obligation de clefs SSH est
à mon avis un bon niveau de sécurité. A condition évidemment que la
machine à partir de laquelle tu fais ça soit protégée.
Tu peux aussi pousser le vice (la parano) jusqu'à stocker la clef SSH
sur une clef USB.
> De même, '/etc' n'est pas protégé en lecture et les
> fichiers de configurations sont lisibles. Il aura donc
> un catalogue des droits qui me sont attribué par
> 'sudo'?
Oui, mais si ces droits sont assez restrictifs, il ne pourra rien
faire. La sécurité par l'obscurantisme n'est pas une bonne sécurité.
--
The good oxymoron, to define it by a self-illustration, must be a
planned inadvertency. -Wilson Follett
Reply to: