[Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

BiBehck · 04-04-2011 14:28:23

Messieurs, dames bonjour

hier soir j'ai voulu sécuriser mon ssh en modifiant [c]/etc/ssh/sshd_config[/c]
quelque chose d'assez costaud, un peu trop
• j'ai d'abord défini les utilisateurs pouvant y avoir accès avec
[c]DenyUsers
AllowUsers[/c]

• en changeant son port d'écoute
• et dramatiquement, en passant [c]PermitRootLogin[/c] sur [c]no[/c]
( j'ai naïvement suivi les conseils d'un ami )

Du coup, parce que je suis un peu une banane parfois [small]( je fais mes armes sur debian \o/ )[/small],
je n'ai plus accès en root au serveur, ce qui implique ce que vous savez

voilà mes misères :>
Auriez-vous une solution?

en vous remerciant o/

Dernière modification par BiBehck (04-04-2011 18:10:26)

BiBehck · 04-04-2011 18:10:11

Je reposte, ça sera plus lisible

bon, double banane que je suis, j'ai pas pensé à utiliser le su avec mon compte user, mais essayé de me connecter avec l'admin (au lieu du root), me disant que ça n'était pas possible.

Du coup j'ai pu modifier sshd_config, et ai précisé que le root et l'admin ont eux aussi accès au ssh :>

Sottise quand tu nous tiens...

eol · 04-04-2011 22:40:52

BiBehck a écrit :

j'ai pas pensé à utiliser le su avec mon compte user

Si tu voulais sécuriser ton sshd, pour moi elle est là, la solution plutôt que de redonner à root le droit de se connecter directement.

zoroastre74 · 04-04-2011 23:08:50

Yep!

plutôt que de redonner à root le droit de se connecter directement.

Mieux encore !!! Désactivation du compte root et gestion intelligente de sudo.

### DANGER : Compte root désactivé ###

passwd -l root

### CMD inverse ###

passwd -u root

@+

Zoroastre.

Dernière modification par zoroastre74 (04-04-2011 23:21:28)

BiBehck · 05-04-2011 07:01:38

Du coup, je suis vos conseils, en bloquant l'accès ssh à root, en le laissant uniquement à mon compte et à celui du superutilisateur [small](je le garde sous le coude pour un ami externe qui m'aide en cas de pépin, et qui requiert parfois de se connecter avec).[/small]

De plus j'ai configuré sudo pour mon seul compte.

Ca vous semble logique jusque là?

zoroastre74 · 05-04-2011 12:06:29

Yep!

L'ideal serait de configurer un groupe administrateur utilisant uniquement sudo dont ton ami et toi seraient membres.
Le problème du compte root sur un serveur en production est que le nom d'utilisateur est de facto connu, laissant la possibilité de bruteforcer le mot de passe superutilisateur, sans compter les failles inhérentes du-dît serveur.
Sudo au contraire permet de ne diffuser ni le login ni le mot de passe, diminuant ainsi la marge de manoeuvre d'un quelconque hacker. (boy_george:azerty@serveur sera plus difficile à determiner que root:azerty@serveur

)
De plus, l'utilisation de sudo respecte certaines règles de sécurité, PATH, anti PIPE, logs, timeout, etc.

Pour travailler correctement dans de telles conditions, il est recommandé d'effectuer de nombreux tests sur un serveur qui n'est pas en production (virtualisation ?). Cette manouvre peut permettre de limiter également les commandes distribuées aux utilisateurs de sudo. Ensuite, il est possible d'envisager la désactivation du compte root.

Si l'anglais ne te fais pas trop peur, deux liens interessants sur le sujet. (sans oublier man sudoers)

http://aplawrence.com/Basics/sudo.html

http://www.notesbit.com/index.php/scrip … x-cent-os/

Connais-tu dans un autre registre, bastille, fail2ban,etc ???

@+

Zoroastre.

Dernière modification par zoroastre74 (05-04-2011 12:07:46)

eol · 05-04-2011 18:52:12

BiBehck a écrit :

Du coup, je suis vos conseils, en bloquant l'accès ssh à root, en le laissant uniquement à mon compte et à celui du superutilisateur (...)Ca vous semble logique jusque là?

Non.
Root est le superutilisateur.
Dire je bloque root et je laisse accès au superutilisateur est un non-sens.

zoroastre74 · 05-04-2011 20:51:25

Yep!

BiBehck a écrit:

Du coup, je suis vos conseils, en bloquant l'accès ssh à root, en le laissant uniquement à mon compte et à celui du superutilisateur (...)Ca vous semble logique jusque là?

Non.
Root est le superutilisateur.
Dire je bloque root et je laisse accès au superutilisateur est un non-sens.

En fait, il bloque root du ssh, autorise son ami à utiliser su et il utilise sudo pour sa convenance. Au niveau du ssh, c'est définitevement la bonne solution. Par contre, il faudrait relire mon post précedent et potasser sudoers !!!

AHAHAHAHAHAAH

@+

Zoroastre.

Dernière modification par zoroastre74 (05-04-2011 20:52:26)

BiBehck · 06-04-2011 03:31:55

Biim

zoroastre; le second lien est très tentant :>

malgré tout, de mon petit oeil, ça "m'effraie" un peu de bloquer totalement le compte root.
pour le premier lien, je crois que c'est ce que je vais faire, de façon à pousser le vice de mes premières manips avec visudo et sur sshd_config

déjà : créer un compte pour ce camarade à part entière, en sudo (j'ai totalement confiance en lui )

En ce qui concerne fail2ban, j'en ai entendu parlé, ça me semblait une bonne solution pour le serveur, pas mal de mes camarades qui tournent là dedans me l'on déjà évoqué.
Je viens de voir pour Bastille, c'est de même alléchant.

je serai un peu plus loquace en repassant, c'est pas tout à fait l'heure de toucher à tout ça tout de suite :>

merci!

Dernière modification par BiBehck (06-04-2011 03:33:25)

MaTTuX_ · 06-04-2011 14:36:09

Non mais tu peux faire ssh user@ip et apres tu fais su - pour passer en root et ton probleme est resolu, pas besoin de sudo ou machin chouette

zoroastre74 · 06-04-2011 18:02:09

Yep!

Cher MaTTuX_,

Je concois parfaitement que l'utilisation de sudo dans la distribution d'un réseau ou d'un serveur peut surprendre. Et, certainement, j'ai été au delà du problème posé.

Afin de mieux faire comprendre mon point de vue, je vais développer quelques aspects et quelques règles qui font partis du bon sens.

Les règles essentielles dans l'administration d'un système, sont tout d'abord de créer autant de comptes qu'il y a d'utilisateurs, de ne pas partager les mots de passe entre utilisateurs, et encore moins celui du compte administrateur, et, pour finir, de ne pas distribuer le mot de passe root sur le net, même dans une connection cryptée.

L'utilitaire sudo répond à ces règles tout simplement.
Naturellement, la configuration de sudoers réclame une certaine rigueur et le déploiement d'autorisations créé aux petits oignons.

De plus, les commandes sudo sont loguées.

Dés lors qu'il y a plus de 1 administrateur, je recommande cette philisophie.

@+

Zoroastre.

Dernière modification par zoroastre74 (06-04-2011 18:02:32)

BiBehck · 06-04-2011 22:36:23

MaTTuX_ a écrit :

Non mais tu peux faire ssh user@ip et apres tu fais su - pour passer en root et ton probleme est resolu, pas besoin de sudo ou machin chouette

oui, au final c'est ce que j'ai fait

Pour le pote, je l'ai mis au parfum, il a accès au ssh.

J'envisagerai si oui ou non je sécurise un peu plus le serveur, ça serait une bonne chose.
Je vais glaner à droite à gauche des conseils supplémentaires.

MaTTuX_ · 06-04-2011 22:43:36

zoroastre74 a écrit :

Yep!

Cher MaTTuX_,

Je concois parfaitement que l'utilisation de sudo dans la distribution d'un réseau ou d'un serveur peut surprendre. Et, certainement, j'ai été au delà du problème posé.

Afin de mieux faire comprendre mon point de vue, je vais développer quelques aspects et quelques règles qui font partis du bon sens.

Les règles essentielles dans l'administration d'un système, sont tout d'abord de créer autant de comptes qu'il y a d'utilisateurs, de ne pas partager les mots de passe entre utilisateurs, et encore moins celui du compte administrateur, et, pour finir, de ne pas distribuer le mot de passe root sur le net, même dans une connection cryptée.

L'utilitaire sudo répond à ces règles tout simplement.
Naturellement, la configuration de sudoers réclame une certaine rigueur et le déploiement d'autorisations créé aux petits oignons.

De plus, les commandes sudo sont loguées.

Dés lors qu'il y a plus de 1 administrateur, je recommande cette philisophie.

@+

Zoroastre.

Perso je travaille avec groupe admin et je gère les droits, je suis pas adepte du sudo :þ

Debian-facile

#1 04-04-2011 14:28:23

[Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

#2 04-04-2011 18:10:11

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

#3 04-04-2011 22:40:52

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

#4 04-04-2011 23:08:50

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

#5 05-04-2011 07:01:38

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

#6 05-04-2011 12:06:29

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

#7 05-04-2011 18:52:12

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

#8 05-04-2011 20:51:25

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

#9 06-04-2011 03:31:55

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

#10 06-04-2011 14:36:09

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

#11 06-04-2011 18:02:09

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

#12 06-04-2011 22:36:23

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

#13 06-04-2011 22:43:36

Re : [Résolu]Oups! sécurité ssh sur serveur distant (un peu trop costaud)

Pied de page des forums