Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 03-02-2017 22:25:17

Pierrot727
Membre
Inscription : 03-02-2017

Restriction d'accés root depuis des ip

Bonjour à tous,

Nous utilisons un serveur qui fonctionne sous Debian et tout se passe bien. Nous utilisons failtoban, ufw avec une gestion rigoureuse des ports. Cependant une récente attaque fait que pour mieux sécuriser nos accés, nous aimerions restreindre l'accés en root à 3 IP (seulement les admins). J'ai cherché sur le net sans vraiment trouver, pourtant je pense que je ne dois pas etre le premier à avoir cette demande.

La seul chose que j'ai trouvé est une clef codé par passphrase mais elle remplace le mot de passe root ce que nous ne voulons absolument pas.

Pouvez-vous nous aider ?

En vous remerciant par avance,

Pierrot (et ses acolytes  qui n'ont pas trouvé non plus wink )

Minus : « Dis, Cortex, tu veux faire quoi cette nuit ?»
Cortex : « La même chose que chaque nuit, Minus. Tenter de conquérir le monde !»

Hors ligne

#2 04-02-2017 13:27:48

raleur
Membre
Inscription : 03-10-2014

Re : Restriction d'accés root depuis des ip

L'accès à quoi ? SSH ?
Tu as regardé du côté des options AllowUsers et DenyUsers de /etc/ssh/sshd_config avec la syntaxe user@host ou des fichiers /etc/hosts.allow et /etc/hosts.deny ?

Il est de toute façon recommandé de désactiver le login root par mot de passe à SSH et d'utiliser soit des clés privées/publiques, soit le login avec un compte utilisateur normal et de passer root avec su ou sudo. Pourquoi ne voulez-vous pas le faire ?

Dernière modification par raleur (04-02-2017 13:28:55)

Hors ligne

#3 04-02-2017 13:30:47

frei
Membre
Lieu : Tours
Distrib. : Sid
Noyau : 4.9.0-1-amd64
(G)UI : Mate+Compiz
Inscription : 06-01-2017
Site Web

Re : Restriction d'accés root depuis des ip

Accès SSH ?

nano /etc/ssh/sshd_config



Un user d 'une ip ou d 'une plage
AllowUsers admin@123.123.123.10 admin@10.88.88.*

ou

Une plage d'ip et un n'importe quel user de cette plage

AllowUsers *@99.19.19.*


"Glory. Rotting flower." John Tardy 1989

Hors ligne

#4 04-02-2017 16:34:23

Pierrot727
Membre
Inscription : 03-02-2017

Re : Restriction d'accés root depuis des ip

Bonjour à tous,

Merci de vos réponses :

@raleur : je parle bien de l'accés ssh, le login root est bien désactivé en direct donc je parlais bien d'avoir accés à la commande su par des ip précises. Je vais regarder pour allowusers je ne connais effectivement pas, merci smile

@frei (et merci aussi smile )donc un simple edit du fichier ssh_config avec un ajout de ligne à la fin du style:

#IP de toto
AllowUsers admin@192.168.1.1
#IP de titi
AllowUsers admin@193.162.1.1

cela va donc permettre à l'user toto et titi de pouvoir depuis chez eux(leurs ip), en ssh lancer la commande su ? la création/modification entraîne-t-elle par défaut le rejet de toutes les autres ip, ou faut-il ajouter une commande pour rejeter le reste ?

merci pour votre aide smile

Minus : « Dis, Cortex, tu veux faire quoi cette nuit ?»
Cortex : « La même chose que chaque nuit, Minus. Tenter de conquérir le monde !»

Hors ligne

#5 04-02-2017 16:39:15

kawer
Adhérent(e)
Lieu : Quelque part vers Gallifrey
Distrib. : Debian 9 / ArchLinux / FreeBSD
Noyau : Current
(G)UI : gnome et xfce4
Inscription : 08-10-2013

Re : Restriction d'accés root depuis des ip

Je connais qu'un seul moyens d'empêcher la commande su à un utilisateur ssh, c'est le jail ssh, confiner l'utilisateur a un dash et des commandes prédéfinis.

Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

#6 04-02-2017 16:55:03

raleur
Membre
Inscription : 03-10-2014

Re : Restriction d'accés root depuis des ip

@Pierrot727, ce dont j'ai parlé ne concerne que la connexion SSH proprement dite, pas ce que l'utilisateur connecté peut en faire.
Là je n'ai pas d'idée pour réaliser ce que tu demandes.

Hors ligne

#7 04-02-2017 17:13:31

kawer
Adhérent(e)
Lieu : Quelque part vers Gallifrey
Distrib. : Debian 9 / ArchLinux / FreeBSD
Noyau : Current
(G)UI : gnome et xfce4
Inscription : 08-10-2013

Re : Restriction d'accés root depuis des ip

Tu peu déjà récupérer un peu d'info pour tes recherches ici

Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

#8 04-02-2017 20:20:08

otyugh
Membre
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016

Re : Restriction d'accés root depuis des ip

Faire par "IP" me semble approximatif comme sécurité. Pour gérer le niveau de permission en général, on utilise une identification par clé avec ~/ssh/authorized_keys.

Agenda du libre : se faire dépanner/dépanner IRL ! Le libre n'est pas qu'un phénomène internet.
Framapad sur les balados : Emissions audio pro/amateur, votre radio sur-mesure !

En ligne

#9 04-02-2017 21:08:24

frei
Membre
Lieu : Tours
Distrib. : Sid
Noyau : 4.9.0-1-amd64
(G)UI : Mate+Compiz
Inscription : 06-01-2017
Site Web

Re : Restriction d'accés root depuis des ip

L'utilisation d'une clé ne se substitue pas au filtrage ip.
Donc l'un dans l'autre ça sera encore plus "secure" (voir la conclusion de cet article)

OpenClassroom a fait un bon briefing sur le sujet :
https://openclassrooms.com/courses/repr … e-avec-ssh

"Glory. Rotting flower." John Tardy 1989

Hors ligne

Pied de page des forums