Re: SSH : autoriser root seulement en local
Le dimanche 11 février 2007 20:32, Franck Joncourt a écrit :
> Michel Grentzinger wrote:
> > [...]
> > Réseau domestique...
> > Donc j'interdis le login root mais je requiers une connexion par clé,
> > c'est bien ça ?
> > J'aurais accès au root directement ?
> [...]
> Cela devrait pouvoir te permettre de te logguer avec un mot de passe
> pour les utilisateurs classiques et uniquement par clef publique pour
> l'utilisateur root.
>
> Y aurait-il quelqu'un dans l'assistance avec une telle configuration ?
oui :
PermitRootLogin without-password
et configuration traditionelle pour les clefs publiques/privées.
Cela fonctionne, mais c'est « MAL » pour tous les jours.
Il vaut de loin mieux faire « sudo » ; AMHA en dehors de la question «
sécurité » c'est une question de « bonnes pratiques¹ » (c'est le « IT² » qui
parle).
J'ai utilisé cette configuration comme « fail-safe ».
> [...]
Si vous persistez dans cette voie (et pour éviter de taper un mot de passe
déjà que l'on ne tape plus sudo), il existe libpam-ssh pour charger sa clef
privée dans un agent au login ([gdx]dm par exemple) à l'aide du mot de passe
saisi.
Personnellement, je préfère éviter de taper mon mot de passe 2x³ avec
libpam-ssh et taper « sudo -s » plustôt que l'inverse (taper le mot de passe
root et pas « sudo -s »).
HS: a quand un module PAM pour utiliser l'agent ssh et faire sudo avec clef
publique/privée ?
¹: les effets se font ressentir à long-terme même si on ne comprends pas
toujours pourquoi au début ;-)
²: http://en.wikipedia.org/wiki/It_crowd
³: 1x pour « ssh user@host » et 1x pour « sudo -s »
Cordialement,
--
Eric DÉCORNOD
Ingénieur d'Études
SCICS - Faculté des Sciences
Université Henri Poincaré
Reply to: