[HS] - ssh changer mot de passe

Le
Nahliel Steinberg
Salut,

J'ai de nouveau un problème, je n'arrive pas à passer le changement de mot de passe par script.

J'ai essayé ceci :

ssh -t root@machine echo -e "tototititototiti" |(passwd root --stdin)

en passant par des variables, rien n'y fait

ssh -t root@$IP echo '$chgpasswd' | passwd --stdin $chguser

si vous avez une idée ?


--
Nahliel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20130604132851.GA24848@debianserver.info-cr.fr
Vos réponses Page 3 / 5
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Belaïd MOUNSI
Le #25464022
--e89a8f6473f5d2b09104de803c21
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Tu peux aussi déclarer les terminaux par lequels tu peux te connecter en
tant que root dans /etc/securetty. Tu peux par exemple accepter les
connections root venant depuis un terminal local (tty1, tty2, etc ...)
Le 6 juin 2013 18:59, "admini"
Le 06/06/2013 18:28, moi-meme a écrit :

Le Thu, 06 Jun 2013 16:00:01 +0200, Bzzz a écrit :

Depuis combien de temps l'on se connecte directement en root
via ssh?



Depuis que la doc indique qu'il n'y a pas plus de danger à se connect er
en root via clé publique qu'en utilisateur normal.



dans mon sshd il y a PermitRootLogin Yes

je peux bloquer en mettant à No ?

oui.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/**FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@**lists.debian.org En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/**




--e89a8f6473f5d2b09104de803c21
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le 06/06/2013 18:28, moi-meme a écrit :<br>
Le Thu, 06 Jun 2013 16:00:01 +0200, Bzzz a écrit :<br>
<br>
        Depuis combien de temps l&#39;on se connecte directement en root<br>
via ssh?<br>
</blockquote>
Depuis que la doc indique qu&#39;il n&#39;y a pas plus de danger à se con necter<br>
en root via clé publique qu&#39;en utilisateur normal.<br>
</blockquote>
dans mon sshd il y a PermitRootLogin Yes<br>
<br>
je peux bloquer en mettant à No ?<br>
<br>
</blockquote>
oui.<br>
<br>
-- <br>
Lisez la FAQ de la liste avant de poser une question :<br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers En cas de soucis, contactez EN ANGLAIS Archive: <br>
</blockquote></div>

--e89a8f6473f5d2b09104de803c21--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAFuS2bbrEQ+RVfC=
andre_debian
Le #25464052
On Thursday 06 June 2013 20:11:04 Belaïd MOUNSI wrote:
Tu peux aussi déclarer les terminaux par lequels tu peux te connecter en
tant que root dans /etc/securetty. Tu peux par exemple accepter les
connections root venant depuis un terminal local (tty1, tty2, etc ...)



Sinon, connexion ssh via certificats ssl ...

andré

Le 6 juin 2013 18:59, "admini" > Le 06/06/2013 18:28, moi-meme a écrit :
>> Le Thu, 06 Jun 2013 16:00:01 +0200, Bzzz a écrit :
>> Depuis combien de temps l'on se connecte directement en root via ssh?

>>> Depuis que la doc indique qu'il n'y a pas plus de danger à se conne cter
>>> en root via clé publique qu'en utilisateur normal.




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
moi-meme
Le #25464152
Le Thu, 06 Jun 2013 19:00:02 +0200, Bzzz a écrit :

je peux bloquer en mettant à No ?



man sshd_config



c'était aussi pour dire que par défaut tu peux te loguer en root.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/51b0e670$0$2289$
Bruno Muller
Le #25464162
Pfffffffff !

(Réponse plus explicite demain si je me suis calmé et si j'ai envi é...)

Le 6 juin 2013 à 20:36, a écrit :

On Thursday 06 June 2013 20:11:04 Belaïd MOUNSI wrote:
Tu peux aussi déclarer les terminaux par lequels tu peux te connecte r en
tant que root dans /etc/securetty. Tu peux par exemple accepter les
connections root venant depuis un terminal local (tty1, tty2, etc ...)



Sinon, connexion ssh via certificats ssl ...

andré

Le 6 juin 2013 18:59, "admini"
Le 06/06/2013 18:28, moi-meme a écrit :
Le Thu, 06 Jun 2013 16:00:01 +0200, Bzzz a écrit :
Depuis combien de temps l'on se connecte directement en root via ssh?







Depuis que la doc indique qu'il n'y a pas plus de danger à se con necter
en root via clé publique qu'en utilisateur normal.










--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/ le.fr





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Louis Wiart
Le #25464562
Bonjour,

Mot de passe en clair sur le réseau... Mais aussi dans l'historique de
bash à priori ?

Bon vendredi à tous ;)
Louis.

2013/6/6 moi-meme
Le Thu, 06 Jun 2013 19:00:02 +0200, Bzzz a écrit :

je peux bloquer en mettant à No ?



man sshd_config



c'était aussi pour dire que par défaut tu peux te loguer en roo t.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/51b0e670$0$2289$




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAFF90DaJ+BiZ3PeeDK383xtp-YFgYbqdKTGFH8Yukgx5T3+
Nahliel Steinberg
Le #25464622
en syntaxe j'ai :

echo 'root:newpass' | ssh chpasswd




Sacha, merci je viens de faire un test sur une machine, ça à l'air de passer.

Je test sur une 10aine et te fait un retour.


--
Nahliel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
S
Le #25464662
Le vendredi 07 juin 2013 à 9:53, Nahliel Steinberg a écrit :
>echo 'root:newpass' | ssh chpasswd

Sacha, merci je viens de faire un test sur une machine, ça à l'air de passer.

Je test sur une 10aine et te fait un retour.



Tu n'oublieras pas de nous faire signe quand tes machines auront été piratées…

Seb

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Jacques Doti
Le #25464962
Le 07/06/2013 10:05, Sébastien NOBILI a écrit :
Le vendredi 07 juin 2013 à 9:53, Nahliel Steinberg a écrit :
echo 'root:newpass' | ssh chpasswd


Sacha, merci je viens de faire un test sur une machine, ça à l'air de passer.

Je test sur une 10aine et te fait un retour.


Tu n'oublieras pas de nous faire signe quand tes machines auront été piratées…

Seb



Bon, on peut tout de même réduire la visibilité du mot de passe (dans
l'historique des commandes ou dans le PS) en l'envoyant déjà hashé à
chpasswd.
Il suffit de générer ce hash avec la commande :
mkpasswd -m SHA-512
puis de passer ce résultat à chpasswd en précisant l'option "-e". On
aurait alors quelque chose de ce genre :
pass=$(mkpasswd -m SHA-512)
echo "root:$pass" | ssh chpasswd -e

Pour que cela apporte quelque chose, il FAUT exécuter au moins une fois
mkpasswd en mode interactif mais le résultat peut ensuite être réutilisé
X fois.

--
A+
Jean-Jacques


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Nahliel Steinberg
Le #25465402
Tu n'oublieras pas de nous faire signe quand tes machines auront été piratées…




tu as une autre solution constructive ? Histoire d'apprendre des choses quoi !

Certains au moins essai de trouver et m'apporter des solutions en ce sens et je les en
remercie.

--
Nahliel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Nahliel Steinberg
Le #25465412
Bon, on peut tout de même réduire la visibilité du mot de passe (dans
l'historique des commandes ou dans le PS) en l'envoyant déjà hashé à
chpasswd.
Il suffit de générer ce hash avec la commande :
mkpasswd -m SHA-512
puis de passer ce résultat à chpasswd en précisant l'option "-e". On
aurait alors quelque chose de ce genre :
pass=$(mkpasswd -m SHA-512)
echo "root:$pass" | ssh chpasswd -e

Pour que cela apporte quelque chose, il FAUT exécuter au moins une
fois mkpasswd en mode interactif mais le résultat peut ensuite être
réutilisé X fois.



Merci pour ta réponse.

Ce qui m'afflige, c'est que je pensais que le flux SSH d'une machine à l'autre
etait crypté. Je ne savais pas qu'on pouvait lire les mdp ou autre commande rien
qu'en analysant les trames (comme à l'époque du bon vieux POP3 qu'on sniffait
pour chopper les dit mots de passe des boites)

Comment peut-on faire ça et comment ?
Si certains en parle c'est que ça doit etre réalisable et qu'ils ont déjà
essayé ? non ? ou c'est pure supputassion ?


--
Nahliel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme