[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: iptable + export display

Le ven, 30/04/2004 à 07:54 +0200, Erwan David a écrit :

> > Décidément... Il y en a eu des réponses complètement loufoques.
> > La plus simple réside dans l'usage de couple de clés privées/publiques.
> > En effet, il est facile d'autoriser la connexion en root avec sshd si et
> > seulement si on en possède une clé autorisée.
> > Ainsi, il devient aisé d'utiliser l'option -X de SSH.
> 
> C'est possible, mais c'est dangereux. Très dangereux même. Sur les
> machines que j'administre *personne* ne se loggue directement en
> root. Que ce soit sur la console ou à distance.

Si tu n'as pas confiance en ssh, ne l'active même pas. Parce que
honnêtement, avec les derniers trous de sécurité locaux qu'il y a eu,
que "su" soit suid ou pas ne va pas changer grand chose à ta sécurité.
Maintenant: oui, ssh a également eu sa part de failles mais j'aurais
plus confiance dans une identification forte à l'aide de clés RSA/DSA.
Moins tu as de mots de passe à retenir, mieux c'est, surtout si tu
partages la tâche administrative avec d'autres collaborateurs: ça évite
que certains ne soient tentés de noter ces mots de passe quelque part
pour s'en rappeler.

-- 
Raphaël 'SurcouF' Bordet
surcouf@choranche.grotte.org
Reply to: