Re: Gestion changements de password root multi-serveurs
On Tuesday 23 June 2015 23:36:16 Daniel Caillibaud wrote:
> Le 23/06/15 à 22:13, andre_debian@numericable.fr a écrit :
> Je me suis un peu trompé, on peut ne pas mettre de mot de passe,
> via le fichier "/etc/shadow", mais c'est prendre un risque...
> Lequel ? :
Si on efface le mot de passe dans "/etc/shadow" et que ssh est en rade,
ou mal configuré, il est facile de prendre possession du serveur,
par exemple, via une console KVM, sinon en face physiquement
du serveur.
> Je parlais bien de ne pas mettre de mot de passe (option
> --disabled-password de adduser), pas de mettre un mot de passe vide.
> Ça interdit la connexion par mot de passe, je vois pas en quoi ça pourrait
> représenter un risque :
...risque si on efface le mot de passe root dans /etc/shadow (cf. au dessus).
> Pour désactiver la connexion par mot de passe c'est :
> PasswordAuthentication no
> Faut évidemment accepter les clés avec
> PubkeyAuthentication yes
"PasswordAuthentication no" va interdire le mot de passe à tout le monde,
ce qui peut-être gênant.
Oui, à coupler avec "PubkeyAuthentication yes".
* Faire très attention * car en cas d'erreur plus de connexion via ssh ! ! !
Ce qui m'est arrivé hier, connexion ssh out.
Solution :
avoir une console KVM (type Idrac) sur son serveur, indispensable,
si le serveur est distant, sinon on est bon à se déplacer dans le data center,
(prévoir doudoune sibérienne, bonnet et oreillettes anti-bruit).
En plus, pas sûr que les data-center acceptent un dépannage sur place.
Et misère si le serveur est très loin de chez soi.
Il faut refuser les contrats d'hébergeurs de serveurs qui n'ont pas de console
KVM (souvent ceux à "petits prix").
André
Reply to: