Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 16-03-2016 20:28:15

Lancelot du Lac
Membre
Lieu : France
Distrib. : Jessie | Stretch
Noyau : Linux 3.16.0-4-amd64 | 4.5.0-1-amd64
(G)UI : ZSH / LXDE, Openbox | KDE
Inscription : 22-02-2016

Interdire l'accès à la racine

Bonjour à tous !
Comme j'utilise de plus en plus mon accès ssh, je ne voudrais pas qu'on puisse se servir des codes de mon utilisateur distant pour faire n'importe quoi dans mon système, ou même simplement jeter un oeil. Je voudrais donc interdire l'accès à la racine, voire carrément limiter l'accès au seul dossier personnel de l'utilisateur. Mais je ne voudrai pas faire de bêtise. Est-ce que la commande suivante irait :

chmod -R o-x /


Est-ce qu'il n'y a pas un utilisateur système qui risque d'avoir besoin de l'accès ?
Qu'en pensez-vous ?
Merci d'avance.


Dell Inspiron 7500 series - Debian Stretch - KDE/openbox - ZSH
Samsung - Debian Jessie - LXDE/pas de graphique - ZSH

Hors ligne

#2 16-03-2016 20:35:22

raleur
Membre
Inscription : 03-10-2014

Re : Interdire l'accès à la racine

J'en pense que ce serait une très grosse bêtise, sauf si le but est de rendre le système vraiment inutilisable.

Hors ligne

#3 16-03-2016 20:41:27

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : Interdire l'accès à la racine

Mais encore raleur, pourquoi ? smile

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#4 16-03-2016 20:49:23

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Interdire l'accès à la racine

Car aucun autre utilisateur du système (utilisateur "virtuel" sous l'ID duquel s'exécute un processus (ex: www-data pour apache) ou utilisateur humain) n'aurait accès aux ressources essentielles du système comme les utilitaires système de bases, les icônes, les données des programmes etc...

Ex:

ls -al /



[...]
drwxr-xr-x  10 root root  4096 janv. 28 11:23 usr
[...]



À l'issue d'une telle commande ça deviendrait :


[...]
drwxr-xr--  10 root root  4096 janv. 28 11:23 usr
[...]


Donc à moins d'être root ou membre du groupe root, pas moyen de rentrer dans le dossier usr.


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#5 16-03-2016 20:50:02

raleur
Membre
Inscription : 03-10-2014

Re : Interdire l'accès à la racine

Il y a vraiment besoin d'expliquer pourquoi supprimer la permission d'exécution générale sur tous les programmes et répertoires n'est pas une bonne idée ?

Hors ligne

#6 16-03-2016 20:51:36

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Interdire l'accès à la racine

raleur a écrit :

Il y a vraiment besoin d'expliquer pourquoi supprimer la permission d'exécution générale sur tous les programmes et répertoires n'est pas une bonne idée ?


À quelqu'un qui méconnaît suffisamment son système et les implications d'une telle commande et qui pose la question avant de faire une bêtise ? Oui, ça me paraît essentiel et l'objet même d'un tel forum wink


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#7 16-03-2016 20:52:28

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : Interdire l'accès à la racine

C'est la question posée qui implique que oui, y faut expliquer les conséquences, sinon, pourquoi poser des questions si on connaît déjà la réponse ? big_smile

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#8 16-03-2016 20:59:11

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Interdire l'accès à la racine

@raleur: je pense que pour beaucoup qui ne savent pas ce que cela signifie, oui. Et ceux qui posent ce genre de question en font a priori partie smile

@Lancelot du Lac: la commande que tu proposes interdit à tous les utilisateurs, sauf root, l'exécution de n'importe quel programme présent dans /usr/bin. Mais ce n'est que le moindre des problèmes.

Elle empêche l'exécution du dossier / à tout le monde. Or, pour pouvoir « traverser » un dossier (pour accéder à un sous-dossier), il faut que ce dossier soir accessible en exécution.
Autrement dit, en retirant les droits d'exécution sur / à others, tu empêches tous les utilisateurs de ton système (sauf root) d'accéder à tous les fichiers du système. Ils ne peuvent pas lancer de shell, pas se connecter, rien.
Et quand on dit « tous les utilisateurs » ça inclue aussi les utilisateurs système…

Il est normal que les utilisateurs puissent accéder à /usr/bin et /bin. Si tu ne veux pas qu'ils puissent faire ça, il faut soit leur interdire de se connecter par ssh (mais, par exemple, seulement un accès sftp), soit leur donner un shell restreint.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#9 17-03-2016 12:20:42

Lancelot du Lac
Membre
Lieu : France
Distrib. : Jessie | Stretch
Noyau : Linux 3.16.0-4-amd64 | 4.5.0-1-amd64
(G)UI : ZSH / LXDE, Openbox | KDE
Inscription : 22-02-2016

Re : Interdire l'accès à la racine

Ok, merci de vos réponses, ça m'évitera une bourde magistrale ! ;-)
Ce que je voulais surtout, mais je ne sais si je suis clair, c'est qu'un petit malin qui ait récupéré mes codes puisse se balader dans mon système.

Dell Inspiron 7500 series - Debian Stretch - KDE/openbox - ZSH
Samsung - Debian Jessie - LXDE/pas de graphique - ZSH

Hors ligne

#10 17-03-2016 12:40:25

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Interdire l'accès à la racine

En ce cas, sécurise bien ton accès ssh avec, par exemple, un accès par clé uniquement.

Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#11 17-03-2016 20:07:01

Papadakis
Adhérent(e)
Lieu : Far ouest environ
Distrib. : Stretch
Noyau : Linux 4.5.0-2-amd64
(G)UI : xfce 4.12
Inscription : 23-04-2014
Site Web

Re : Interdire l'accès à la racine

Et un port autre que 22.

Le désordre, c'est l'ordre moins le pouvoir.

Hors ligne

#12 18-03-2016 08:30:53

Lancelot du Lac
Membre
Lieu : France
Distrib. : Jessie | Stretch
Noyau : Linux 3.16.0-4-amd64 | 4.5.0-1-amd64
(G)UI : ZSH / LXDE, Openbox | KDE
Inscription : 22-02-2016

Re : Interdire l'accès à la racine

Papadakis a écrit :

Et un port autre que 22.


Ça, c'est bon ! J'ai dû changer quatre fois, je crois.

Du coup, je vais plutôt essayer un chroot, d'après ce que j'ai lu, ça devrait répondre à ma demande.


Dell Inspiron 7500 series - Debian Stretch - KDE/openbox - ZSH
Samsung - Debian Jessie - LXDE/pas de graphique - ZSH

Hors ligne

#13 18-03-2016 10:05:36

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Interdire l'accès à la racine

Lancelot du Lac a écrit :

Ce que je voulais surtout, mais je ne sais si je suis clair, c'est qu'un petit malin qui ait récupéré mes codes puisse se balader dans mon système.


Un petit malin qui récupérerait tes codes sera capable de faire tout ce que tu fais toi avec ces codes, quelles que soient les sécurités que tu mets en place.

Mon avis sur les différentes solutions proposées :

  • Changer de port d’écoute pour SSH n’arrêtera pas un attaquant motivé, en fait ça sert essentiellement à avoir un peu moins de "bruit" dans tes fichiers journaux et à te donner un faux sentiment de sécurité.

  • Le chroot peut paraître attirant, mais garde en tête que tu seras toi aussi coincé dedans, et surtout quelqu’un de suffisamment calé techniquement pourra en sortir pour accéder au reste du système. Si tu choisis cette méthode il faudra absolument que tu sécurises ton chroot autant (sinon plus) que ton système réel.

  • L’identification par clé, contrairement aux deux précédentes, est une *vraie* solution fiable. Plus moyen d’essayer de deviner ton mot de passe, il faut te voler cette clé pour espérer accéder à ton serveur SSH. Ne reste plus donc qu’à protéger celle-ci, en particulier en ne la copiant pas sur des machines dont tu n’as pas le contrôle total.


Jouer sous Debian ? Facile !

Hors ligne

#14 18-03-2016 10:11:58

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Interdire l'accès à la racine

vv222 a écrit :

    L’identification par clé, contrairement aux deux précédentes, est une *vraie* solution fiable. Plus moyen d’essayer de deviner ton mot de passe, il faut te voler cette clé pour espérer accéder à ton serveur SSH. Ne reste plus donc qu’à protéger celle-ci, en particulier en ne la copiant pas sur des machines dont tu n’as pas le contrôle total.


À ces bons conseils, j'ajouterai l'obligation de protéger ta clé par phrase de passe. Ainsi même si le fichier de clé est dérobé, il est inutilisable sans ta phrase de passe. Et en mode parano, tu peux conserver ce fichier de clé sur une clé USB chiffrée que tu conserverais sur toi.


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#15 18-03-2016 10:28:29

bendia
Admin stagiaire
Distrib. : Jessie
Noyau : 3.16.0-4-amd64
(G)UI : Gnome + XFCE + Console
Inscription : 20-03-2012
Site Web

Re : Interdire l'accès à la racine

Salut smile

Pour ma part, j'ai ajouté une alerte par mail a chaque fois qu'une session root ou user est ouverte.

Si tu es seul à pouvoir te connecter, si tu reçois un mail alors que tu n'as rien fait, c'est qu'il y a un loup wink

Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

En ligne

#16 18-03-2016 11:49:26

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Interdire l'accès à la racine

sogal a écrit :

Et en mode parano, tu peux conserver ce fichier de clé sur une clé USB chiffrée que tu conserverais sur toi.


La mienne se trouve sur une unique machine, au disque intégralement chiffré wink
Et pour pousser la parano jusqu’au bout même le BIOS de cette machine a été remplacé par libreboot, pour éviter un éventuel firmware espion…
Et comme ça ne suffit toujours pas, cette machine ne me quitte jamais !


Jouer sous Debian ? Facile !

Hors ligne

#17 19-03-2016 13:21:01

raleur
Membre
Inscription : 03-10-2014

Re : Interdire l'accès à la racine

vv222 a écrit :

La mienne se trouve sur une unique machine, au disque intégralement chiffré


Vraiment intégralement chiffré ? Même le chargeur d'amorçage et /boot ?
Ou alors tu amorçes depuis un autre support ?

Hors ligne

#18 19-03-2016 13:41:41

nIQnutn
Modérateur
Lieu : Lyon
Distrib. : Jessie
Noyau : Linux 3.16-amd64
(G)UI : XFCE
Inscription : 16-03-2012
Site Web

Re : Interdire l'accès à la racine

s'il utilise libreboot, il me semble que /boot peut également être chiffré.

Hors ligne

#19 19-03-2016 15:19:33

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Interdire l'accès à la racine

Hors ligne

#20 19-03-2016 15:30:06

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Interdire l'accès à la racine

raleur a écrit :

Vraiment intégralement chiffré ? Même le chargeur d'amorçage et /boot ?


L’instance de GRUB lancée par libreboot se trouve sur une puce externe au disque dur, le MBR n’est pas utilisé.

-----

nIQnutn a écrit :

s'il utilise libreboot, il me semble que /boot peut également être chiffré.


Exact, mais je ne sais pas si c’est vraiment spécifique à libreboot/coreboot, qui fait appel à GRUB pour le lancement de l’OS.

Dernière modification par vv222 (19-03-2016 15:40:46)


Jouer sous Debian ? Facile !

Hors ligne

#21 19-03-2016 16:55:52

raleur
Membre
Inscription : 03-10-2014

Re : Interdire l'accès à la racine

vv222 a écrit :

L’instance de GRUB lancée par libreboot se trouve sur une puce externe au disque dur, le MBR n’est pas utilisé.


D'accord pour GRUB, mais pour le noyau et l'initramfs ? le GRUB inclus dans libreboot est capable de lire un /boot chiffré ?

Hors ligne

#22 19-03-2016 19:31:32

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Interdire l'accès à la racine

raleur a écrit :

D'accord pour GRUB, mais pour le noyau et l'initramfs ? le GRUB inclus dans libreboot est capable de lire un /boot chiffré ?


Oui, comme tu peux le voir dans ce guide pour Trisquel facilement adaptable à Debian :
https://libreboot.org/docs/gnulinux/enc … squel.html


Jouer sous Debian ? Facile !

Hors ligne

#23 19-03-2016 21:41:25

raleur
Membre
Inscription : 03-10-2014

Re : Interdire l'accès à la racine

Hmm. Quand j'avais essayé avec le GRUB de Debian 8, je n'avais pas réussi à lui faire reconnaître un PV LVM contenu dans un volume chiffré.

Hors ligne

#24 31-03-2016 10:12:41

fabricew
Membre
Inscription : 31-03-2016

Re : Interdire l'accès à la racine

bonjour, tu as des éléments de réponse ici :
https://debian-facile.org/doc:reseau:ss … ssh-server

tu chroot ton utilisateur dans son home.

Moi perso, j ai interdit les logins root via ssh .
J'utilise un utilisateur non privilégié et une fois connécté, je fait une escalade de privilèges via su.
Vu que le tunnel ssh est deja ouvert, le mot de passe root circule sous forme cryptée.

Si tu as reelement besoin d'un log direct root via ssh, tu peut limiter les ip autorisées à se connecter en root.

fichier /etc/sshd_config , ajoutes

Match Address X.Y.Z.A
    PermitRootLogin yes

Match Address *
    PermitRootLogin no

Hors ligne

Pied de page des forums