Re: Connexion SSH : capter l'IP du connecté

To: Nicolas Bercher <nbercher@yahoo.fr>
Cc: debian-user-french <debian-user-french@lists.debian.org>
Subject: Re: Connexion SSH : capter l'IP du connecté
From: Olivier Lange <olange81@gmail.com>
Date: Thu, 12 Jan 2012 15:54:49 +0100
Message-id: <[🔎] CABGC0bscfLvW0c4S9DMYXBS0RZ_BqqjbzqJHFsHj3sSocmVM+Q@mail.gmail.com>
In-reply-to: <[🔎] 4F0EF32C.6010003@yahoo.fr>
References: <[🔎] 4F0D6214.4000907@nativobject.net> <[🔎] 1326297251.530.21@new-host-2.home> <[🔎] 1326327342.5355.1.camel@jisui.aranha.ici> <[🔎] 1326374589.4f0edebd99799@imp.free.fr> <[🔎] 4F0EE3E8.8050701@yahoo.fr> <[🔎] CABGC0bs1Hk1bNuqqn6YVeFHhAdSJX4ubXz55pyWMargHOt1yBA@mail.gmail.com> <[🔎] 4F0EF32C.6010003@yahoo.fr>

Le 12 janvier 2012 15:50, Nicolas Bercher <nbercher@yahoo.fr> a écrit :
> On 12/01/2012 14:47, Olivier Lange wrote:
>>
>> Le 12 janvier 2012 14:45, Nicolas Bercher<nbercher@yahoo.fr>  a écrit :
>>>
>>> On 12/01/2012 14:23, ajh.valmer@free.fr wrote:
>>>>
>>>> Le fichier "auth.log" donne des indications mais n'indique pas le numéro
>>>> IP du connecté et si la personne est "root" elle peut effacer des lignes
>>>> de ce fichier.
>>>
>>>
>>> Évidemment, si un autre user est root, il peut faire tout et n'importe
>>> quoi
>>> sous *nix.
>>> A priori, une personne qui a un accès root est une personne de confiance,
>>> donc pas besoin
>>> de la fliquer, sinon, autant lui enlever les droits root (changer le mot
>>> de
>>> passe donc).
>>
>>
>> Pas d'accord avec toi. Faire confiance ne veut pas dire être con ;).
>> Une erreur est si vite arrivée en root, sur un serveur, qu'il faut
>> parfois savoir qui s'est connecté et quand. Ca ne veut pas dire que tu
>> n'a pas confiance en lui. C'est juste "au cas ou".
>
>
> Bien entendu, mais là, il était question de supprimer des lignes dans
> auth.log,
> ce qui clairement n'est pas le fruit d'une mauvaise manipulation, mais
> plutôt de
> choses faites en douce.

On est d'accord. C'est aussi pour cette raisons que dans ce cas, il
faut externaliser les logs. Soit par l'envois des infos par email
(comme je l'ai mentionné), soit en logguant sur un serveur externe,
dont personne n'a accès (syslgo-ng le fait aisément).

>
>
>
>> Et l'idéla étant de lui révoquer son certificat, plutot que de changer
>> son mot de passe ;)
>
>
> Je ne connais pas cette manière de faire.  Comment segmenter l'accès à un
> même compte
> entre plusieurs personnes physiques?

Dans ce cas de figure, j'utilise les sudoers. Ca évite de donner a
tout le monde le mot de passe route. Je crée 1 user pour chaque
personne devant se connecter, avec le certif qui va avec. Si un
collaborateur quitte l'entreprise, ou autre, je révoque son certificat
sur les serveurs. Bien plus simple et sécure que devoir modifier le
mot de passe root + le redonner.

Reply to:

Follow-Ups:
- Re: Connexion SSH : capter l'IP du connecté
  - From: Nicolas Bercher <nbercher@yahoo.fr>

References:
- Partage entre 2 utilisateurs de la même machine
  - From: Mourad Jaber <ml@nativobject.net>
- Re : Partage entre 2 utilisateurs de la même machine
  - From: nicolas.patrois@gmail.com
- Re: Partage entre 2 utilisateurs de la même machine
  - From: Jérôme <jerome@aranha.fr>
- Connexion SSH : capter l'IP du connecté
  - From: ajh.valmer@free.fr
- Re: Connexion SSH : capter l'IP du connecté
  - From: Nicolas Bercher <nbercher@yahoo.fr>
- Re: Connexion SSH : capter l'IP du connecté
  - From: Olivier Lange <olange81@gmail.com>
- Re: Connexion SSH : capter l'IP du connecté
  - From: Nicolas Bercher <nbercher@yahoo.fr>

Prev by Date: Re: Connexion SSH : capter l'IP du connecté
Next by Date: Re: Connexion SSH : capter l'IP du connecté
Previous by thread: Re: Connexion SSH : capter l'IP du connecté
Next by thread: Re: Connexion SSH : capter l'IP du connecté
Index(es):
- Date
- Thread