Re: Sécuriser un serveur ssh
Bien vu.
J'ai modifié le fichier adduser.conf afin que les homes soient en 700.
Ca a l'air nikel maintenant.
Pour ce qui est des fichiers du système, est-il nécessaire de jouer du
chmod et des groupes pour empêcher les utilisateurs de ce balader ou
est-ce déjà sécurisé par défaut ? J'aimerais quelques détails ici si
vous pouvez m'aiguiller sur ce que je dois faire. A priori, avec les
utilisateurs qui existent déjà, je peux pas lire certains fichiers du
système.
On 3/17/07, Heyberger Ludovic <heyber.l@gmail.com> wrote:
On 3/17/07, Nikö <debian@zepulp.com> wrote:
> Je souhaiterai savoir quelles sont les mesures à mettre en place pour
> sécuriser un serveur SSH.
La seule mesure que je vois a appliquer au niveau du "serveur SSH" bien que
ca n'en depende pas du tout, c'est une bonne politique de mots de passe.
Ensuite si t'es utilisateurs sont pret a changer un peu leurs habitudes, tu
peux deployer un systeme de clees publiques / privees (et interdire l'acces
par mot de passe uniquement). Ainsi les personnes souhaitant se connecter
devront posseder a la fois la bonne clee, ainsi que la bonne pass-phrase
(mot de passe de la clee).
> Je pense notamment au fait qu'un utilisateur
> qui se connecte en SSH puisse aller dans les home des autres
> utilisateurs. Comment empêcher cela ?
C'est au niveau des droits de ton que tu dois agir. Il faut que tu joue sur
l'appartenance aux groupes et 'chmod' les homes des users avec les bons
droits.
> Y-a-t-il des mesures du même type à prendre pour empêcher les
> utilisateurs d'atteindre les fichiers du système ?
Idem. C'est une question de droits.
--
105 116 039 115 032 110 111 116 032 097
032 098 117 103 044 032 105 116 039 115
032 097 032 102 101 097 116 117 114 101
--
Nicolas Landier
Maître d'oeuvre - SEPEFREI - Junior-Entreprise
33, rue Victor Hugo - 94800 Villejuif
Mobile : 06 79 58 47 09
Tel : 01 46 77 32 56 (Permanence TLJ de 14h à 15h)
Fax : 01 70 24 72 86
E-mail : sepefrei@efrei.fr, nicolas.landier@gmail.com
Reply to: