Re: SSH : autoriser root seulement en local

["Jean-Yves F. Barbier" <7ukwn@free.fr>]

Le lundi 12 février 2007 15:27, Eric DECORNOD a écrit :
> Le lundi 12 février 2007 13:45, Jean-Yves F. Barbier a écrit :
> > > > > [...]

>
> Absoluement, je préfère de loin le challenge-response au plaintext.
> Je rêve même de la configuration où ta clef privée reste sur clef USB et
> est chargée/déchargée à l'insertion/suppression de cette dernière.

Ca, ça devrait être possible sans trop de PB (montage auto de la clé
à l'insertion + symlink de '/root/.ssh' pointant vers un DIR de la clé)

> .......
> Je m'explique : à se logguer en root on prends de mauvaise habitudes.
> Plus l'habitude court, plus la « faignantise » s'installe et moins on
> fait attention à ce que l'on fait. Et c'est à ce moment là que le doigt
> glisse de la touche * vers entrée (les deux sont côte à côte) et que les
> accidents arrivent.

Oui, et non...

Je m'explique: tant que ça n'est que du $user à modifier, c'est Ok;
par contre, si c'est systématiquement du system, là tu n'as pas le
choix (Ex: les modifs que je fais sur mon firewall ou sur mon serveur
sont *toujours* des modifs system (règle iptables, modifs de samba,
etc...), donc c'est plus rapide de se loger en root.)

Pour conclure, c'est de la responsabilité de l'admin de savoir s'il
prend cette décision... et les précautions qui s'imposent.

Il m'est plus souvent arrivé de faire des conneries en me trompant
de console (console 2 en ssh sur un autre micro où tu crois être,
alors que tu es en console 1, et vice-versa) que de faire des erreurs
parce que j'étais root.

>...
> De plus sudo consigne les actions, ce qui est judicieux dès lors que
> l'administration se fait à plusieurs (<troll>« quel est le x#!@ qui a
> remplacé les flèches par "hjkl sont tes nouveaux amis" »</troll>).

Là, effectivement, je suis d'accord avec toi, pas question de loger
directement en root!

Cordialement,

JY