RE: [HS] mauvaise configuration de ssh?

Le
DUFRESNE, Mathias \(STERIA\)
Salut,

Je viens de tester sur plusieurs système, aucun n'a permis de connexion s=
ans mot de passe avec "sftp localhost", ce sur une Etch avec la conf par d=
éfaut (j'ai pas touché à ssh ni à pam ici) et sur une Gentoo (conf =
par défaut de sshd et pam interrogeant l'annuaire ldap, mais ça m'éto=
nnerait que ça change :)

J'ai aussi testé à distance sur mon routeur (toujours en Etch) qui ne p=
ermet que les connexions initiées à l'aide d'une paire de clefs, et l=
à encore ça refuse si la clef est invalide

Et c'est tant mieux !

Je viens de lire la réponse de Daniel Huhardeaux, et sa réponse me rass=
ure, elle correspond non seulement à mes tests, mais aussi à mes attent=
es Si un utilisateur lambda pouvait se connecter en root au travers de s=
ftp simplement parce qu'il est connecté à un shell du système, ce ser=
ait inquiétant non ?

Cordialement,

mat


--Original Message--
From: Sylvain Sauvage [mailto:Sylvain.Sauvage@metanoesis.net]
Sent: mardi 13 mai 2008 15:16
To: debian-user-french@lists.debian.org
Subject: Re: [HS] mauvaise configuration de ssh?

Remi Suinot, mardi 13 mai 2008, 15:05:22 CEST
>
> bonjour à tous;

'jour,

> Je viens de me rendre compte que je peux utiliser sftp avec
> firefox!

Avec konqueror (et d'autres sûrement) aussi

> Jusque là, vous allez me dire: "mais, c'est pas
> grave! ", sauf que par hasard, j'au tester sur mon serveur
> perso, et là, j'ai fait trois infarctus d'un coup! tout est
> lisible, sans clef ni mot de passe!!!!!! j'ai acces à tous les
> répertoires. Je vais refaire ma configuration, la dessus, cela
> me semble évident.
> Mais je me pose LA question: comment cela est il possible?
> Quelqu'un a t il un réponse? ou un lien? une piste?

Minute. Est-ce que tu as juste fait sftp://localhost ?
Parce que, si c'est le cas, c'est normal : 'sft localhost' en
ligne de commande est tout aussi libéral.

Si tu l'as fait depuis un autre poste, c'est plus grave mais
ça m'étonnerait

--
Sylvain Sauvage

--
Désolé pour ce qui suit




The information in this e-mail is confidential. The contents may not be dis=
closed or used by anyone other then the addressee. Access to this e-mail by=
anyone else is unauthorised.
If you are not the intended recipient, please notify Airbus immediately and=
delete this e-mail.
Airbus cannot accept any responsibility for the accuracy or completeness of=
this e-mail as it has been sent over public networks. If you have any conc=
erns over the content of this message or its Accuracy or Integrity, please =
contact Airbus immediately.
All outgoing e-mails from Airbus are checked using regularly updated virus =
scanning software but you should take whatever measures you deem to be appr=
opriate to ensure that this message and any attachments are virus free.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Steve
Le #9675201
Le 13-05-2008, à 15:31:58 +0200, DUFRESNE, Mathias (STERIA) () a écrit :

[snip]

Si un utilisateur lambda pouvait se connecter en root au travers de sftp simplement parce qu'il est connecté à un shell du système, ce serait inquiétant... non ?



Oui ;-)

--
Steve

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Sylvain Sauvage
Le #9675191
DUFRESNE, Mathias (STERIA), mardi 13 mai 2008, 15:31:58 CEST

Salut,



’lut,

[je remets dans l’ordre]

> From: Sylvain Sauvage [mailto:]
>
> Minute. Est-ce que tu as juste fait sftp://localhost ?
> Parce que, si c'est le cas, c'est normal : 'sft localhost' en
> ligne de commande est tout aussi libéral.
>
Je viens de tester sur plusieurs système, aucun n'a permis de
connexion sans mot de passe avec "sftp localhost", ce sur une
Etch avec la conf par défaut (j'ai pas touché à ssh ni à   pam
ici) et sur une Gentoo (conf par défaut de sshd et pam
interrogeant l'annuaire ldap, mais ça m'étonnerait que ça
change :)



Oui, j’avais oublié que j’ai autorisé les clefs pour localhost
(pour des 'ssh -X ').
Donc, et c’est normal, localhost est dans le même cas que to us
les autres.

J'ai aussi testé à distance sur mon routeur (toujours en Etch)
qui ne permet que les connexions initiées à l'aide d'une paire
de clefs, et là encore ça refuse si la clef est invalide...

Et c'est tant mieux !



Ben oui, sftp, c’est « juste » du ssh, donc m ême sécurité.

Je viens de lire la réponse de Daniel Huhardeaux,



Pas encore arrivée ici…

et sa
réponse me rassure, elle correspond non seulement à mes tests,
mais aussi à mes attentes... Si un utilisateur lambda pouvait
se connecter en root au travers de sftp simplement parce qu'il
est connecté à un shell du système, ce serait inquiét ant...
non ?



Si.

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme