logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 03-02-2017 21:25:17

Pierrot727
Membre
Inscription : 03-02-2017

Restriction d'accés root depuis des ip

Bonjour à tous,

Nous utilisons un serveur qui fonctionne sous Debian et tout se passe bien. Nous utilisons failtoban, ufw avec une gestion rigoureuse des ports. Cependant une récente attaque fait que pour mieux sécuriser nos accés, nous aimerions restreindre l'accés en root à 3 IP (seulement les admins). J'ai cherché sur le net sans vraiment trouver, pourtant je pense que je ne dois pas etre le premier à avoir cette demande.

La seul chose que j'ai trouvé est une clef codé par passphrase mais elle remplace le mot de passe root ce que nous ne voulons absolument pas.

Pouvez-vous nous aider ?

En vous remerciant par avance,

Pierrot (et ses acolytes  qui n'ont pas trouvé non plus wink )

Minus : « Dis, Cortex, tu veux faire quoi cette nuit ?»
Cortex : « La même chose que chaque nuit, Minus. Tenter de conquérir le monde !»

Hors ligne

#2 04-02-2017 12:27:48

raleur
Membre
Inscription : 03-10-2014

Re : Restriction d'accés root depuis des ip

L'accès à quoi ? SSH ?
Tu as regardé du côté des options AllowUsers et DenyUsers de /etc/ssh/sshd_config avec la syntaxe user@host ou des fichiers /etc/hosts.allow et /etc/hosts.deny ?

Il est de toute façon recommandé de désactiver le login root par mot de passe à SSH et d'utiliser soit des clés privées/publiques, soit le login avec un compte utilisateur normal et de passer root avec su ou sudo. Pourquoi ne voulez-vous pas le faire ?

Dernière modification par raleur (04-02-2017 12:28:55)


Il vaut mieux montrer que raconter.

Hors ligne

#3 04-02-2017 12:30:47

frei
Membre
Lieu : Tours
Distrib. : Sid
Noyau : 4.9.0-1-amd64
(G)UI : Mate+Compiz
Inscription : 06-01-2017
Site Web

Re : Restriction d'accés root depuis des ip

Accès SSH ?

nano /etc/ssh/sshd_config



Un user d 'une ip ou d 'une plage
AllowUsers admin@123.123.123.10 admin@10.88.88.*

ou

Une plage d'ip et un n'importe quel user de cette plage

AllowUsers *@99.19.19.*


"Glory. Rotting flower." John Tardy 1989

Hors ligne

#4 04-02-2017 15:34:23

Pierrot727
Membre
Inscription : 03-02-2017

Re : Restriction d'accés root depuis des ip

Bonjour à tous,

Merci de vos réponses :

@raleur : je parle bien de l'accés ssh, le login root est bien désactivé en direct donc je parlais bien d'avoir accés à la commande su par des ip précises. Je vais regarder pour allowusers je ne connais effectivement pas, merci smile

@frei (et merci aussi smile )donc un simple edit du fichier ssh_config avec un ajout de ligne à la fin du style:

#IP de toto
AllowUsers admin@192.168.1.1
#IP de titi
AllowUsers admin@193.162.1.1

cela va donc permettre à l'user toto et titi de pouvoir depuis chez eux(leurs ip), en ssh lancer la commande su ? la création/modification entraîne-t-elle par défaut le rejet de toutes les autres ip, ou faut-il ajouter une commande pour rejeter le reste ?

merci pour votre aide smile

Minus : « Dis, Cortex, tu veux faire quoi cette nuit ?»
Cortex : « La même chose que chaque nuit, Minus. Tenter de conquérir le monde !»

Hors ligne

#5 04-02-2017 15:39:15

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : Restriction d'accés root depuis des ip

Je connais qu'un seul moyens d'empêcher la commande su à un utilisateur ssh, c'est le jail ssh, confiner l'utilisateur a un dash et des commandes prédéfinis.

Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Carpe diem, quam minimum credula postero. Horace

Hors ligne

#6 04-02-2017 15:55:03

raleur
Membre
Inscription : 03-10-2014

Re : Restriction d'accés root depuis des ip

@Pierrot727, ce dont j'ai parlé ne concerne que la connexion SSH proprement dite, pas ce que l'utilisateur connecté peut en faire.
Là je n'ai pas d'idée pour réaliser ce que tu demandes.

Il vaut mieux montrer que raconter.

Hors ligne

#7 04-02-2017 16:13:31

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : Restriction d'accés root depuis des ip

Tu peu déjà récupérer un peu d'info pour tes recherches ici

Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Carpe diem, quam minimum credula postero. Horace

Hors ligne

#8 04-02-2017 19:20:08

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Restriction d'accés root depuis des ip

Faire par "IP" me semble approximatif comme sécurité. Pour gérer le niveau de permission en général, on utilise une identification par clé avec ~/ssh/authorized_keys.

virtue_signaling.pngpalestine.png

Hors ligne

#9 04-02-2017 20:08:24

frei
Membre
Lieu : Tours
Distrib. : Sid
Noyau : 4.9.0-1-amd64
(G)UI : Mate+Compiz
Inscription : 06-01-2017
Site Web

Re : Restriction d'accés root depuis des ip

L'utilisation d'une clé ne se substitue pas au filtrage ip.
Donc l'un dans l'autre ça sera encore plus "secure" (voir la conclusion de cet article)

OpenClassroom a fait un bon briefing sur le sujet :
https://openclassrooms.com/courses/repr … e-avec-ssh

"Glory. Rotting flower." John Tardy 1989

Hors ligne

Pied de page des forums