Re: Conseils sur la sécurisation de ses accès par SSH
Hello,
On 11/04/2016 17:09, Olivier wrote:
> Si on suppose qu'en tant qu'administrateur, les opérations à effectuer à
> distance sur une machine demandent très souvent les privilèges de root,
> selon cette méthode, il faut se connecter par clé en tant qu'un utilisateur
> lamda, puis escalader en tant que root.
C'est ça ou lancer des commandes avec sudo. Chez nous, l'accès root via ssh
n'est pas possible... avec un mot de passe (de toute façon celui-ci fait dans
les 30 caractères environ).
Au passage, je m'étais planté dans mon message précédent, ce n'est pas
"PermitRootLogin false" qu'on a mais "PermitRootLogin without-password" ce
qui veut donc dire que :
a) une connexion "ssh root" est impossible via son mot de passe;
b) une connexion "ssh root" est possible via une clé ssh.
Ceci étant, le cas b) n'est pas utilisé chez nous car nous ne déployons pas
(en vérité on l'a fait mais on le fait plus désormais) de clé publique ssh
dans /root/.ssh/authorized_keys.
Donc oui, en effet, on se connecte en ssh avec notre compte perso (qui
possède un mot de passe qu'on ne saisit jamais car on utilise notre clé ssh)
et ce compte est en effet « sudo » (pour les admins).
> Pour cette escalade, dois-tu saisir le mot de passe de root (commande su)
> ou utilises-tu de préférence sudo ?
On utilise sudo et on a configuré sudo (via notre gestionnaire de conf) pour
qu'on (les admins) puisse lancer "sudo cmd" sans demande de mot de passe _sauf_
dans le cas où la commande est "su" elle-même. Ceci étant, je crois bien que
cette petite exception avec "su" est plus cosmétique qu'autre chose. ;)
> Dans ce dernier cas (sudo) comment est gérée la saisie du mot de passe (
> NOPASSWORD ? saisie du mot de passe ? ...)
NOPASSWORD donc modulo la petite exception avec la commande su.
--
François Lafont
Reply to: