Sécuriser un serveur ssh

Le
Nikö
Bonjour,

Je souhaiterai savoir quelles sont les mesures à mettre en place pour
sécuriser un serveur SSH. Je pense notamment au fait qu'un utilisateur
qui se connecte en SSH puisse aller dans les home des autres
utilisateurs. Comment empêcher cela ?

Y-a-t-il des mesures du même type à prendre pour empêcher les
utilisateurs d'atteindre les fichiers du système ?

--
Nikö
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Heyberger Ludovic
Le #9527691
------=_Part_90359_25089645.1174134980754
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

On 3/17/07, Nikö

Je souhaiterai savoir quelles sont les mesures à mettre en place pour
sécuriser un serveur SSH.




La seule mesure que je vois a appliquer au niveau du "serveur SSH" bien qu e
ca n'en depende pas du tout, c'est une bonne politique de mots de passe.

Ensuite si t'es utilisateurs sont pret a changer un peu leurs habitudes, tu
peux deployer un systeme de clees publiques / privees (et interdire l'acces
par mot de passe uniquement). Ainsi les personnes souhaitant se connecter
devront posseder a la fois la bonne clee, ainsi que la bonne pass-phrase
(mot de passe de la clee).

Je pense notamment au fait qu'un utilisateur
qui se connecte en SSH puisse aller dans les home des autres
utilisateurs. Comment empêcher cela ?




C'est au niveau des droits de ton que tu dois agir. Il faut que tu joue sur
l'appartenance aux groupes et 'chmod' les homes des users avec les bons
droits.

Y-a-t-il des mesures du même type à prendre pour empêcher les
utilisateurs d'atteindre les fichiers du système ?




Idem. C'est une question de droits.

--
105 116 039 115 032 110 111 116 032 097
032 098 117 103 044 032 105 116 039 115
032 097 032 102 101 097 116 117 114 101

------=_Part_90359_25089645.1174134980754
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Je souhaiterai savoir quelles sont les mesures à mettre en place pour <br><br>Ensuite si t&#39;es utilisateurs sont pret a changer un peu leurs h abitudes, tu peux deployer un systeme de clees publiques / privees (et inte rdire l&#39;acces par mot de passe uniquement). Ainsi les personnes souhait ant se connecter devront posseder a la fois la bonne clee, ainsi que la bon ne pass-phrase (mot de passe de la clee).

------=_Part_90359_25089645.1174134980754--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Shams Fantar
Le #9527671
Nikö a écrit :
Bonjour,

Je souhaiterai savoir quelles sont les mesures à mettre en place pour
sécuriser un serveur SSH. Je pense notamment au fait qu'un utilisateur
qui se connecte en SSH puisse aller dans les home des autres
utilisateurs. Comment empêcher cela ?

Y-a-t-il des mesures du même type à prendre pour empêcher les
utilisateurs d'atteindre les fichiers du système ?




Il y a de la bonne documentation sur le net à ce sujet.

http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.fr.html

--
Shams Fantar (http://snurf.info)


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Heyberger Ludovic
Le #9527661
------=_Part_90403_12163491.1174135595132
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

On 3/17/07, Nikö

Bien vu.
J'ai modifié le fichier adduser.conf afin que les homes soient en 700.
Ca a l'air nikel maintenant.

Pour ce qui est des fichiers du système, est-il nécessaire de jouer d u
chmod et des groupes pour empêcher les utilisateurs de ce balader ou
est-ce déjà sécurisé par défaut ? J'aimerais quelques détails ici si
vous pouvez m'aiguiller sur ce que je dois faire. A priori, avec les
utilisateurs qui existent déjà, je peux pas lire certains fichiers du
système.




normallement tu dois pouvoir laisser tel quel.

apres je suis pas admin sys, mais personnellement je ne vois pas trop de
raisons d'aller toucher aux droits dans les fichiers de conf etc...

par defaut les droits des fichiers systeme sont configures pour eviter que
tes users lambda ne mettent le souk sur ta becane ;-) (ne pas pouvoir les
modifiers sans etre root). Par contre ce qui arrive aussi c'est qu'ils
soient accessible en lecture pour plus de transparence au niveau de la
gestion du serveur.

--
105 116 039 115 032 110 111 116 032 097
032 098 117 103 044 032 105 116 039 115
032 097 032 102 101 097 116 117 114 101

------=_Part_90403_12163491.1174135595132
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

On 3/17/07, Bien vu. <br></div><div><br>par defaut les droits des fichiers systeme sont configur es pour eviter que tes users lambda ne mettent le souk sur ta becane ;-) (n e pas pouvoir les modifiers sans etre root). Par contre ce qui arrive aussi c&#39;est qu&#39;ils soient accessible en lecture pour plus de transparenc e au niveau de la gestion du serveur.
<br></div></div><br>-- <br>105 116 039 115 032 110 111 116 032 097<br>032 0 98 117 103 044 032 105 116 039 115<br>032 097 032 102 101 097 116 117 114 1 01

------=_Part_90403_12163491.1174135595132--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Nicolas Daney
Le #9527651
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Heyberger Ludovic a écrit :


On 3/17/07, *Nikö*
Je souhaiterai savoir quelles sont les mesures à mettre en place pour
sécuriser un serveur SSH.


La seule mesure que je vois a appliquer au niveau du "serveur SSH" bien
que ca n'en depende pas du tout, c'est une bonne politique de mots de
passe.

Ensuite si t'es utilisateurs sont pret a changer un peu leurs habitudes,
tu peux deployer un systeme de clees publiques / privees (et interdire
l'acces par mot de passe uniquement). Ainsi les personnes souhaitant se
connecter devront posseder a la fois la bonne clee, ainsi que la bonne
pass-phrase (mot de passe de la clee).

Je pense notamment au fait qu'un utilisateur
qui se connecte en SSH puisse aller dans les home des autres
utilisateurs. Comment empêcher cela ?


C'est au niveau des droits de ton que tu dois agir. Il faut que tu joue
sur l'appartenance aux groupes et 'chmod' les homes des users avec les
bons droits.

Y-a-t-il des mesures du même type à prendre pour empêcher les
utilisateurs d'atteindre les fichiers du système ?


Idem. C'est une question de droits.

--
105 116 039 115 032 110 111 116 032 097
032 098 117 103 044 032 105 116 039 115
032 097 032 102 101 097 116 117 114 101



Bonjour,
il y a quelques infos intéressantes dans cette doc :
http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.fr.html#s5.1
Présentation d'une configuration sécurisée, chroot de l'utilisateur, etc..
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFF++R3usPLDboxH0YRApFzAJ9HBuKDoiv6QL/+lymAGy7Bk0JrfQCgjiEi
Z7nbju3nOOJUZLLGbkwcGZw =zV2B
-----END PGP SIGNATURE-----


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Nikö
Le #9527631
Ok, j'ai bien pris note.

Merci vous tous.

--
Nikö
Publicité
Poster une réponse
Anonyme