Re: Gestion changements de password root multi-serveurs
Le 23/06/15 à 18:11, Guillaume <list-debian@gwilhom.fr> a écrit :
G> Bonjour,
G>
G> Le 23/06/2015 17:52, Sébastien NOBILI a écrit :
G> > Si c'est des accès SSH, tu peux utiliser des clés.
G>
G> et mettre dans le sshd_config:
G> [...]
G> PermitRootLogin without-password
G> [...]
G>
G> Ce qui va autoriser que l'accès par clés pour root.
Euh, non
PermitRootLogin yes
va permettre de se connecter en root directement (sinon faut passer par un autre user qui a des
droits sudo)
Pour désactiver la connexion par mot de passe c'est
PasswordAuthentication no
Faut évidemment accepter les clés avec
PubkeyAuthentication yes
ce qui est le cas si c'est pas précisé.
Et ensuite mettre les clés que l'on accepte dans chaque ~/.ssh/authorized_keys, éventuellement
restreint à certaines ip ou pour certaines commandes uniquement.
Par ex, pour autoriser seulement certaines commandes prédéfinies pour le user foo, dans
son ~/.ssh/authorized_keys on peut mettre
command="/path/to/shell-foo.sh" ...la clé...
et dans /path/to/shell-foo.sh un truc du genre
case "$SSH_ORIGINAL_COMMAND" in
"ping")
echo "pong"
;;
"aliasQcq")
# un enchainement de commandes
;;
*)
echo "Commande '$SSH_ORIGINAL_COMMAND' non autorisée" >&2
exit 1
;;
esac
Avec ça il ne peut pas se connecter à une console mais il peut faire du
ssh foo@bar ping
# ça devrait afficher pong
ssh foo@bar aliasQcq
# le résultat de l'enchainement de commandes prédéfinies
C'est très utiles pour automatiser des tâches venant de users qui ont besoin des droits root
mais pour peu de choses, à qui on ne veut pas donner un shell complet (par ex un user qui fait
du monitoring et veut lire certains fichiers de /proc, mais qui n'a aucune raison de faire
autre chose)
--
Daniel
Dans la vie il faut faire ce que l'on aime.
Ce n'est pas une garantie de réussite, mais au moins,
c'est une garantie de non-frustration.
Willy Rozenbaum
Reply to: