Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 04-04-2011 15:28:23

BiBehck
Membre
Lieu : Lyon
Distrib. : 7.8 Wheezy Server
Noyau : 3.2.0-4-amd64
Inscription : 04-04-2011
Site Web

[Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

Messieurs, dames bonjour smile


hier soir j'ai voulu sécuriser mon ssh en modifiant [c]/etc/ssh/sshd_config[/c]
quelque chose d'assez costaud, un peu trop
• j'ai d'abord défini les utilisateurs pouvant y avoir accès avec
[c]DenyUsers
AllowUsers[/c]

• en changeant son port d'écoute
• et dramatiquement, en passant [c]PermitRootLogin[/c] sur [c]no[/c]
( j'ai naïvement suivi les conseils d'un ami )

Du coup, parce que je suis un peu une banane parfois [small]( je fais mes armes sur debian \o/ )[/small],
je n'ai plus accès en root au serveur, ce qui implique ce que vous savez hmm

voilà mes misères :>
Auriez-vous une solution? smile

en vous remerciant o/

Dernière modification par BiBehck (04-04-2011 19:10:26)

Hors ligne

#2 04-04-2011 19:10:11

BiBehck
Membre
Lieu : Lyon
Distrib. : 7.8 Wheezy Server
Noyau : 3.2.0-4-amd64
Inscription : 04-04-2011
Site Web

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

Je reposte, ça sera plus lisible smile

bon, double banane que je suis, j'ai pas pensé à utiliser le su avec mon compte user, mais essayé de me connecter avec l'admin (au lieu du root), me disant que ça n'était pas possible.

Du coup j'ai pu modifier sshd_config, et ai précisé que le root et l'admin ont eux aussi accès au ssh :>

Sottise quand tu nous tiens... roll

Hors ligne

#3 04-04-2011 23:40:52

eol
Membre
Inscription : 03-09-2009

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

BiBehck a écrit :

j'ai pas pensé à utiliser le su avec mon compte user


Si tu voulais sécuriser ton sshd, pour moi elle est là, la solution plutôt que de redonner à root le droit de se connecter directement.

Hors ligne

#4 05-04-2011 00:08:50

zoroastre74
Membre
Distrib. : Debian Wheezy
Noyau : Linux 3.2
(G)UI : Awesome wm v3.4.13 (Octopus)
Inscription : 28-08-2010

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

Yep!

plutôt que de redonner à root le droit de se connecter directement.


Mieux encore !!! Désactivation du compte root et gestion intelligente de sudo.

### DANGER : Compte root désactivé ###
passwd -l root
### CMD inverse ###
passwd -u root


@+

Zoroastre.

Dernière modification par zoroastre74 (05-04-2011 00:21:28)

Hors ligne

#5 05-04-2011 08:01:38

BiBehck
Membre
Lieu : Lyon
Distrib. : 7.8 Wheezy Server
Noyau : 3.2.0-4-amd64
Inscription : 04-04-2011
Site Web

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

smile

Du coup, je suis vos conseils, en bloquant l'accès ssh à root, en le laissant uniquement à mon compte et à celui du superutilisateur [small](je le garde sous le coude pour un ami externe qui m'aide en cas de pépin, et qui requiert parfois de se connecter avec).[/small]

De plus j'ai configuré sudo pour mon seul compte.

Ca vous semble logique jusque là?

Hors ligne

#6 05-04-2011 13:06:29

zoroastre74
Membre
Distrib. : Debian Wheezy
Noyau : Linux 3.2
(G)UI : Awesome wm v3.4.13 (Octopus)
Inscription : 28-08-2010

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

Yep!

L'ideal serait de configurer un groupe administrateur utilisant uniquement sudo dont ton ami et toi seraient membres.
Le problème du compte root sur un serveur en production est que le nom d'utilisateur est de facto connu, laissant la possibilité de bruteforcer le mot de passe superutilisateur, sans compter les failles inhérentes du-dît serveur.
Sudo au contraire permet de ne diffuser ni le login ni le mot de passe, diminuant ainsi la marge de manoeuvre d'un quelconque hacker. (boy_george:azerty@serveur sera plus difficile à determiner que root:azerty@serveur wink )
De plus, l'utilisation de sudo respecte certaines règles de sécurité, PATH, anti PIPE, logs, timeout, etc.

Pour travailler correctement dans de telles conditions, il est recommandé d'effectuer de nombreux tests sur un serveur qui n'est pas en production (virtualisation ?). Cette manouvre peut permettre de limiter également les commandes distribuées aux utilisateurs de sudo. Ensuite, il est possible d'envisager la désactivation du compte root.

Si l'anglais ne te fais pas trop peur, deux liens interessants sur le sujet. (sans oublier man sudoers)

http://aplawrence.com/Basics/sudo.html

http://www.notesbit.com/index.php/scrip … x-cent-os/

Connais-tu dans un autre registre, bastille, fail2ban,etc ???

@+

Zoroastre.

Dernière modification par zoroastre74 (05-04-2011 13:07:46)

Hors ligne

#7 05-04-2011 19:52:12

eol
Membre
Inscription : 03-09-2009

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

BiBehck a écrit :

Du coup, je suis vos conseils, en bloquant l'accès ssh à root, en le laissant uniquement à mon compte et à celui du superutilisateur (...)Ca vous semble logique jusque là?


Non. smile
Root est le superutilisateur.
Dire je bloque root et je laisse accès au superutilisateur est un non-sens.

Hors ligne

#8 05-04-2011 21:51:25

zoroastre74
Membre
Distrib. : Debian Wheezy
Noyau : Linux 3.2
(G)UI : Awesome wm v3.4.13 (Octopus)
Inscription : 28-08-2010

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

Yep!

BiBehck a écrit:

Du coup, je suis vos conseils, en bloquant l'accès ssh à root, en le laissant uniquement à mon compte et à celui du superutilisateur (...)Ca vous semble logique jusque là?


Non.
Root est le superutilisateur.
Dire je bloque root et je laisse accès au superutilisateur est un non-sens.


En fait, il bloque root du ssh, autorise son ami à utiliser su et il utilise sudo pour sa convenance. Au niveau du ssh, c'est définitevement la bonne solution. Par contre, il faudrait relire mon post précedent et potasser sudoers !!!

AHAHAHAHAHAAH wink

@+

Zoroastre.

Dernière modification par zoroastre74 (05-04-2011 21:52:26)

Hors ligne

#9 06-04-2011 04:31:55

BiBehck
Membre
Lieu : Lyon
Distrib. : 7.8 Wheezy Server
Noyau : 3.2.0-4-amd64
Inscription : 04-04-2011
Site Web

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

Biim

zoroastre; le second lien est très tentant :>

malgré tout, de mon petit oeil, ça "m'effraie" un peu de bloquer totalement le compte root.
pour le premier lien, je crois que c'est ce que je vais faire, de façon à pousser le vice de mes premières manips avec visudo et sur sshd_config

déjà : créer un compte pour ce camarade à part entière, en sudo (j'ai totalement confiance en lui )



En ce qui concerne fail2ban, j'en ai entendu parlé, ça me semblait une bonne solution pour le serveur, pas mal de mes camarades qui tournent là dedans me l'on déjà évoqué.
Je viens de voir pour Bastille, c'est de même alléchant. smile

je serai un peu plus loquace en repassant, c'est pas tout à fait l'heure de toucher à tout ça tout de suite :>

merci!

Dernière modification par BiBehck (06-04-2011 04:33:25)

Hors ligne

#10 06-04-2011 15:36:09

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

Non mais tu peux faire ssh user@ip et apres tu fais su - pour passer en root et ton probleme est resolu, pas besoin de sudo ou machin chouette

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#11 06-04-2011 19:02:09

zoroastre74
Membre
Distrib. : Debian Wheezy
Noyau : Linux 3.2
(G)UI : Awesome wm v3.4.13 (Octopus)
Inscription : 28-08-2010

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

Yep!

Cher MaTTuX_,

Je concois parfaitement que l'utilisation de sudo dans la distribution d'un réseau ou d'un serveur peut surprendre. Et, certainement, j'ai été au delà du problème posé.

Afin de mieux faire comprendre mon point de vue, je vais développer quelques aspects et quelques règles qui font partis du bon sens.

Les règles essentielles dans l'administration d'un système, sont tout d'abord de créer autant de comptes qu'il y a d'utilisateurs, de ne pas partager les mots de passe entre utilisateurs, et encore moins celui du compte administrateur, et, pour finir, de ne pas distribuer le mot de passe root sur le net, même dans une connection cryptée.

L'utilitaire sudo répond à ces règles tout simplement.
Naturellement, la configuration de sudoers réclame une certaine rigueur et le déploiement d'autorisations créé aux petits oignons.

De plus, les commandes sudo sont loguées.

Dés lors qu'il y a plus de 1 administrateur, je recommande cette philisophie.

@+

Zoroastre.

Dernière modification par zoroastre74 (06-04-2011 19:02:32)

Hors ligne

#12 06-04-2011 23:36:23

BiBehck
Membre
Lieu : Lyon
Distrib. : 7.8 Wheezy Server
Noyau : 3.2.0-4-amd64
Inscription : 04-04-2011
Site Web

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

MaTTuX_ a écrit :

Non mais tu peux faire ssh user@ip et apres tu fais su - pour passer en root et ton probleme est resolu, pas besoin de sudo ou machin chouette


oui, au final c'est ce que j'ai fait smile

Pour le pote, je l'ai mis au parfum, il a accès au ssh.

J'envisagerai si oui ou non je sécurise un peu plus le serveur, ça serait une bonne chose.
Je vais glaner à droite à gauche des conseils supplémentaires. smile

Hors ligne

#13 06-04-2011 23:43:36

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

zoroastre74 a écrit :

Yep!

Cher MaTTuX_,

Je concois parfaitement que l'utilisation de sudo dans la distribution d'un réseau ou d'un serveur peut surprendre. Et, certainement, j'ai été au delà du problème posé.

Afin de mieux faire comprendre mon point de vue, je vais développer quelques aspects et quelques règles qui font partis du bon sens.

Les règles essentielles dans l'administration d'un système, sont tout d'abord de créer autant de comptes qu'il y a d'utilisateurs, de ne pas partager les mots de passe entre utilisateurs, et encore moins celui du compte administrateur, et, pour finir, de ne pas distribuer le mot de passe root sur le net, même dans une connection cryptée.

L'utilitaire sudo répond à ces règles tout simplement.
Naturellement, la configuration de sudoers réclame une certaine rigueur et le déploiement d'autorisations créé aux petits oignons.

De plus, les commandes sudo sont loguées.

Dés lors qu'il y a plus de 1 administrateur, je recommande cette philisophie.

@+

Zoroastre.


Perso je travaille avec groupe admin et je gère les droits, je suis pas adepte du sudo :þ


\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

Pied de page des forums