logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 16-03-2016 19:28:15

Lancelot du Lac
Membre
Lieu : France
Distrib. : Jessie | Stretch
Noyau : Linux 3.16.0-4-amd64 | 4.5.0-1-amd64
(G)UI : ZSH / LXDE, Openbox | KDE
Inscription : 22-02-2016

Interdire l'accès à la racine

Bonjour à tous !
Comme j'utilise de plus en plus mon accès ssh, je ne voudrais pas qu'on puisse se servir des codes de mon utilisateur distant pour faire n'importe quoi dans mon système, ou même simplement jeter un oeil. Je voudrais donc interdire l'accès à la racine, voire carrément limiter l'accès au seul dossier personnel de l'utilisateur. Mais je ne voudrai pas faire de bêtise. Est-ce que la commande suivante irait :

chmod -R o-x /


Est-ce qu'il n'y a pas un utilisateur système qui risque d'avoir besoin de l'accès ?
Qu'en pensez-vous ?
Merci d'avance.


Dell Inspiron 7500 series - Debian Stretch - KDE/openbox - ZSH
Samsung - Debian Jessie - LXDE/pas de graphique - ZSH

Hors ligne

#2 16-03-2016 19:35:22

raleur
Membre
Inscription : 03-10-2014

Re : Interdire l'accès à la racine

J'en pense que ce serait une très grosse bêtise, sauf si le but est de rendre le système vraiment inutilisable.

Il vaut mieux montrer que raconter.

Hors ligne

#3 16-03-2016 19:41:27

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : Interdire l'accès à la racine

Mais encore raleur, pourquoi ? smile

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#4 16-03-2016 19:49:23

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Interdire l'accès à la racine

Car aucun autre utilisateur du système (utilisateur "virtuel" sous l'ID duquel s'exécute un processus (ex: www-data pour apache) ou utilisateur humain) n'aurait accès aux ressources essentielles du système comme les utilitaires système de bases, les icônes, les données des programmes etc...

Ex:

ls -al /



[...]
drwxr-xr-x  10 root root  4096 janv. 28 11:23 usr
[...]



À l'issue d'une telle commande ça deviendrait :


[...]
drwxr-xr--  10 root root  4096 janv. 28 11:23 usr
[...]


Donc à moins d'être root ou membre du groupe root, pas moyen de rentrer dans le dossier usr.


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#5 16-03-2016 19:50:02

raleur
Membre
Inscription : 03-10-2014

Re : Interdire l'accès à la racine

Il y a vraiment besoin d'expliquer pourquoi supprimer la permission d'exécution générale sur tous les programmes et répertoires n'est pas une bonne idée ?

Il vaut mieux montrer que raconter.

Hors ligne

#6 16-03-2016 19:51:36

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Interdire l'accès à la racine

raleur a écrit :

Il y a vraiment besoin d'expliquer pourquoi supprimer la permission d'exécution générale sur tous les programmes et répertoires n'est pas une bonne idée ?


À quelqu'un qui méconnaît suffisamment son système et les implications d'une telle commande et qui pose la question avant de faire une bêtise ? Oui, ça me paraît essentiel et l'objet même d'un tel forum wink


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#7 16-03-2016 19:52:28

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : Interdire l'accès à la racine

C'est la question posée qui implique que oui, y faut expliquer les conséquences, sinon, pourquoi poser des questions si on connaît déjà la réponse ? big_smile

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#8 16-03-2016 19:59:11

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : Interdire l'accès à la racine

@raleur: je pense que pour beaucoup qui ne savent pas ce que cela signifie, oui. Et ceux qui posent ce genre de question en font a priori partie smile

@Lancelot du Lac: la commande que tu proposes interdit à tous les utilisateurs, sauf root, l'exécution de n'importe quel programme présent dans /usr/bin. Mais ce n'est que le moindre des problèmes.

Elle empêche l'exécution du dossier / à tout le monde. Or, pour pouvoir « traverser » un dossier (pour accéder à un sous-dossier), il faut que ce dossier soir accessible en exécution.
Autrement dit, en retirant les droits d'exécution sur / à others, tu empêches tous les utilisateurs de ton système (sauf root) d'accéder à tous les fichiers du système. Ils ne peuvent pas lancer de shell, pas se connecter, rien.
Et quand on dit « tous les utilisateurs » ça inclue aussi les utilisateurs système…

Il est normal que les utilisateurs puissent accéder à /usr/bin et /bin. Si tu ne veux pas qu'ils puissent faire ça, il faut soit leur interdire de se connecter par ssh (mais, par exemple, seulement un accès sftp), soit leur donner un shell restreint.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#9 17-03-2016 11:20:42

Lancelot du Lac
Membre
Lieu : France
Distrib. : Jessie | Stretch
Noyau : Linux 3.16.0-4-amd64 | 4.5.0-1-amd64
(G)UI : ZSH / LXDE, Openbox | KDE
Inscription : 22-02-2016

Re : Interdire l'accès à la racine

Ok, merci de vos réponses, ça m'évitera une bourde magistrale ! ;-)
Ce que je voulais surtout, mais je ne sais si je suis clair, c'est qu'un petit malin qui ait récupéré mes codes puisse se balader dans mon système.

Dell Inspiron 7500 series - Debian Stretch - KDE/openbox - ZSH
Samsung - Debian Jessie - LXDE/pas de graphique - ZSH

Hors ligne

#10 17-03-2016 11:40:25

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Interdire l'accès à la racine

En ce cas, sécurise bien ton accès ssh avec, par exemple, un accès par clé uniquement.

1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#11 17-03-2016 19:07:01

Papadakis
Membre
Lieu : Far ouest environ
Distrib. : Bookworm
Noyau : Linux 6.1.0-9-amd64
(G)UI : xfce 4.18
Inscription : 23-04-2014

Re : Interdire l'accès à la racine

Et un port autre que 22.

Le désordre, c'est l'ordre, moins le pouvoir.

Hors ligne

#12 18-03-2016 07:30:53

Lancelot du Lac
Membre
Lieu : France
Distrib. : Jessie | Stretch
Noyau : Linux 3.16.0-4-amd64 | 4.5.0-1-amd64
(G)UI : ZSH / LXDE, Openbox | KDE
Inscription : 22-02-2016

Re : Interdire l'accès à la racine

Papadakis a écrit :

Et un port autre que 22.


Ça, c'est bon ! J'ai dû changer quatre fois, je crois.

Du coup, je vais plutôt essayer un chroot, d'après ce que j'ai lu, ça devrait répondre à ma demande.


Dell Inspiron 7500 series - Debian Stretch - KDE/openbox - ZSH
Samsung - Debian Jessie - LXDE/pas de graphique - ZSH

Hors ligne

#13 18-03-2016 09:05:36

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Interdire l'accès à la racine

Lancelot du Lac a écrit :

Ce que je voulais surtout, mais je ne sais si je suis clair, c'est qu'un petit malin qui ait récupéré mes codes puisse se balader dans mon système.


Un petit malin qui récupérerait tes codes sera capable de faire tout ce que tu fais toi avec ces codes, quelles que soient les sécurités que tu mets en place.

Mon avis sur les différentes solutions proposées :

  • Changer de port d’écoute pour SSH n’arrêtera pas un attaquant motivé, en fait ça sert essentiellement à avoir un peu moins de "bruit" dans tes fichiers journaux et à te donner un faux sentiment de sécurité.

  • Le chroot peut paraître attirant, mais garde en tête que tu seras toi aussi coincé dedans, et surtout quelqu’un de suffisamment calé techniquement pourra en sortir pour accéder au reste du système. Si tu choisis cette méthode il faudra absolument que tu sécurises ton chroot autant (sinon plus) que ton système réel.

  • L’identification par clé, contrairement aux deux précédentes, est une *vraie* solution fiable. Plus moyen d’essayer de deviner ton mot de passe, il faut te voler cette clé pour espérer accéder à ton serveur SSH. Ne reste plus donc qu’à protéger celle-ci, en particulier en ne la copiant pas sur des machines dont tu n’as pas le contrôle total.


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#14 18-03-2016 09:11:58

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Interdire l'accès à la racine

vv222 a écrit :

    L’identification par clé, contrairement aux deux précédentes, est une *vraie* solution fiable. Plus moyen d’essayer de deviner ton mot de passe, il faut te voler cette clé pour espérer accéder à ton serveur SSH. Ne reste plus donc qu’à protéger celle-ci, en particulier en ne la copiant pas sur des machines dont tu n’as pas le contrôle total.


À ces bons conseils, j'ajouterai l'obligation de protéger ta clé par phrase de passe. Ainsi même si le fichier de clé est dérobé, il est inutilisable sans ta phrase de passe. Et en mode parano, tu peux conserver ce fichier de clé sur une clé USB chiffrée que tu conserverais sur toi.


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#15 18-03-2016 09:28:29

bendia
Chadministrateur
Distrib. : openSUSE Tumbleweed, Buster
Noyau : Linux 5.9.1-2-default + Linux 4.19.0-12-amd64
(G)UI : Gnome + Console et un peu Fluxbox
Inscription : 20-03-2012
Site Web

Re : Interdire l'accès à la racine

Salut smile

Pour ma part, j'ai ajouté une alerte par mail a chaque fois qu'une session root ou user est ouverte.

Si tu es seul à pouvoir te connecter, si tu reçois un mail alors que tu n'as rien fait, c'est qu'il y a un loup wink

Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.

Hors ligne

#16 18-03-2016 10:49:26

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Interdire l'accès à la racine

sogal a écrit :

Et en mode parano, tu peux conserver ce fichier de clé sur une clé USB chiffrée que tu conserverais sur toi.


La mienne se trouve sur une unique machine, au disque intégralement chiffré wink
Et pour pousser la parano jusqu’au bout même le BIOS de cette machine a été remplacé par libreboot, pour éviter un éventuel firmware espion…
Et comme ça ne suffit toujours pas, cette machine ne me quitte jamais !


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#17 19-03-2016 12:21:01

raleur
Membre
Inscription : 03-10-2014

Re : Interdire l'accès à la racine

vv222 a écrit :

La mienne se trouve sur une unique machine, au disque intégralement chiffré


Vraiment intégralement chiffré ? Même le chargeur d'amorçage et /boot ?
Ou alors tu amorçes depuis un autre support ?


Il vaut mieux montrer que raconter.

Hors ligne

#18 19-03-2016 12:41:41

Anonyme-8
Invité

Re : Interdire l'accès à la racine

s'il utilise libreboot, il me semble que /boot peut également être chiffré.

#19 19-03-2016 14:19:33

anonyme
Invité

Re : Interdire l'accès à la racine

#20 19-03-2016 14:30:06

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Interdire l'accès à la racine

raleur a écrit :

Vraiment intégralement chiffré ? Même le chargeur d'amorçage et /boot ?


L’instance de GRUB lancée par libreboot se trouve sur une puce externe au disque dur, le MBR n’est pas utilisé.

-----

Anonyme-8 a écrit :

s'il utilise libreboot, il me semble que /boot peut également être chiffré.


Exact, mais je ne sais pas si c’est vraiment spécifique à libreboot/coreboot, qui fait appel à GRUB pour le lancement de l’OS.

Dernière modification par vv222 (19-03-2016 14:40:46)


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#21 19-03-2016 15:55:52

raleur
Membre
Inscription : 03-10-2014

Re : Interdire l'accès à la racine

vv222 a écrit :

L’instance de GRUB lancée par libreboot se trouve sur une puce externe au disque dur, le MBR n’est pas utilisé.


D'accord pour GRUB, mais pour le noyau et l'initramfs ? le GRUB inclus dans libreboot est capable de lire un /boot chiffré ?


Il vaut mieux montrer que raconter.

Hors ligne

#22 19-03-2016 18:31:32

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Interdire l'accès à la racine

raleur a écrit :

D'accord pour GRUB, mais pour le noyau et l'initramfs ? le GRUB inclus dans libreboot est capable de lire un /boot chiffré ?


Oui, comme tu peux le voir dans ce guide pour Trisquel facilement adaptable à Debian :
https://libreboot.org/docs/gnulinux/enc … squel.html


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#23 19-03-2016 20:41:25

raleur
Membre
Inscription : 03-10-2014

Re : Interdire l'accès à la racine

Hmm. Quand j'avais essayé avec le GRUB de Debian 8, je n'avais pas réussi à lui faire reconnaître un PV LVM contenu dans un volume chiffré.

Il vaut mieux montrer que raconter.

Hors ligne

#24 31-03-2016 09:12:41

fabricew
Membre
Inscription : 31-03-2016

Re : Interdire l'accès à la racine

bonjour, tu as des éléments de réponse ici :
https://debian-facile.org/doc:reseau:ss … ssh-server

tu chroot ton utilisateur dans son home.

Moi perso, j ai interdit les logins root via ssh .
J'utilise un utilisateur non privilégié et une fois connécté, je fait une escalade de privilèges via su.
Vu que le tunnel ssh est deja ouvert, le mot de passe root circule sous forme cryptée.

Si tu as reelement besoin d'un log direct root via ssh, tu peut limiter les ip autorisées à se connecter en root.

fichier /etc/sshd_config , ajoutes

Match Address X.Y.Z.A
    PermitRootLogin yes

Match Address *
    PermitRootLogin no

Hors ligne

Pied de page des forums