[HS] - ssh changer mot de passe

Le
Nahliel Steinberg
Salut,

J'ai de nouveau un problème, je n'arrive pas à passer le changement de mot de passe par script.

J'ai essayé ceci :

ssh -t root@machine echo -e "tototititototiti" |(passwd root --stdin)

en passant par des variables, rien n'y fait

ssh -t root@$IP echo '$chgpasswd' | passwd --stdin $chguser

si vous avez une idée ?


--
Nahliel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20130604132851.GA24848@debianserver.info-cr.fr
Vos réponses Page 5 / 5
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Erwan David
Le #25465702
Le 07/06/2013 17:31, Bzzz a écrit :
On Fri, 07 Jun 2013 17:12:57 +0200
Jean-Jacques Doti
Si tu es le seul utilisateur de la machine à partir de laquelle tu
vas changer les mots de passe sur tes serveurs, je pense que le
risque est plutôt faible et que certains utilisateurs de cette ML ont
peut-être un peu exagéré le danger de ce que tu faisais ;-)


Pas d'accord avec toi, JJ!

Sans vouloir jouer dans la cour du perfectionnisme, prendre les
bonnes habitudes dès le départ est le gage d'un bon édifice.

Pour faire un parallèle, tu ne peux pas construire une maison
solide sur une mine, avec du sable de mer non déssalé ni sans
ferrailler le béton et utiliser au minimum un niveau et une
équerre.

j'avoue que je conserve un accès SSH root sur mes serveurs - en
entreprise, ce n'est généralement plus le cas).


À partir du moment où la connexion se fait par clé, le risque
est inexistant.




Il n'empêche, même s'il n'est jamais utilisé il faut un mot de passe
local à root, ne serait-ce que pour réparer la machine en passant en
single user.

Une politique de sécurité globale peut t'imposer de changer
régulièrement ce mot de passe, et si tu as une centaine de serveurs, tu
dois l'automatiser.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Belaïd MOUNSI
Le #25465712
--047d7bdc7dde05000504de928971
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

A oui j'ai pas vu que tu parlais de clé j'ai été trop vite .dans ce c as oui
c'est a peut prêt comme ferait une authorité de certification
Le 7 juin 2013 16:40, "Christophe"

Belaïd MOUNSI a écrit :


Je crois que c'est lorsque tu es enfin connecté a ton compte en ssh qu e
les informations passe en crypter (on passe par un tunnel crypté). Sin on
c'est vrai qu'on nous conseil toujours de se connecter avec un compte sa ns
priviléges (ou avec des privileges reduits) puis de tourner sur le com pte
root avec la commande su. C'est pour cela qu'on utilise dans quelques ca s
des clés asymétriques (rsa, dsa, etc...) pour les connexions

Euh, c'est une blague ?


Si c'est ca, SSH perd tout son intérêt par rapport à telnet (pour n e citer
que lui ... ).

De ce qu'il me semble, la première étape d'une connexion SSH , c'est des
échanges de clés, avant même de demander un mot de passe ...
C'est d'ailleurs stocké dans un fichier known_hosts côté client , e t est
vérifié à chaque connexion, pour être sur qu'on s'adresse bien à la bonne
machine. (protection contre les "man in the middle").

On m'aurait menti ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/**FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@**lists.debian.org En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/**




--047d7bdc7dde05000504de928971
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<br>
Belaïd MOUNSI a écrit :<br>
<br>
Je crois que c&#39;est lorsque tu es enfin connecté a ton compte en ssh q ue les informations passe en crypter (on passe par un tunnel crypté). Sin on c&#39;est vrai qu&#39;on nous conseil toujours de se connecter avec un c ompte sans priviléges (ou avec des privileges reduits) puis de tourner su r le compte root avec la commande su. C&#39;est pour cela qu&#39;on utilise dans quelques cas des clés asymétriques (rsa, dsa, etc...) pour les co nnexions<br>

<br>
</blockquote>
Euh, c&#39;est une blague ?<br>
Si c&#39;est ca, SSH perd tout son intérêt par rapport à telnet (pour ne citer que lui ... ).<br>
<br>
De ce qu&#39;il me semble, la première étape d&#39;une connexion SSH , c&#39;est des échanges de clés, avant même de demander un mot de pass e ...<br>
C&#39;est d&#39;ailleurs stocké dans un fichier known_hosts côté clie nt , et est vérifié à chaque connexion, pour être sur qu&#39;on s&# 39;adresse bien à la bonne machine. (protection contre les &quot;man in t he middle&quot;).<br>

<br>
On m&#39;aurait menti ?<br>
<br>
-- <br>
Lisez la FAQ de la liste avant de poser une question :<br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers En cas de soucis, contactez EN ANGLAIS Archive: <br>
</blockquote></div>

--047d7bdc7dde05000504de928971--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAFuS2bbh8_in8b+Ej=r517GknFFEcJ2bpQhxZAyMjSAC+
Christophe
Le #25465722
Belaïd MOUNSI a écrit :

"pour etre sur qu'on s'adresse bien a la bonne personne" tu peux
jamais etre sur juste avec un mot de passe (authentification standard)
meme en ssh. Par contre avec un certificat certifier par une authorité
connue oui




Certes, mais si la clé publique de la machine change (sans même parler
d'authentification par clé), et que tu n'as rien fait pour, il faut vite
te poser des questions.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #25465792
On Fri, 07 Jun 2013 18:03:06 +0200
Erwan David

Il n'empêche, même s'il n'est jamais utilisé il faut un mo t de passe
local à root, ne serait-ce que pour réparer la machine en passa nt en
single user.



C'est une Lapalissade :)

Une politique de sécurité globale peut t'imposer de changer
régulièrement ce mot de passe, et si tu as une centaine de serv eurs,
tu dois l'automatiser.



Il faut distinguer politique de _vraie_ sécurité et politique
_affichée_ de sécurité.

J'ai connu une boîte qui avait une politique draconnienne de
sécurité (chgt de p/w tous les trimestres obligatoire, force
du p/w testée, ré-utilisation d'un même p/w que précà ©demment
testé et rejetée, etc); cependant, quand l'équipe SI allait
prendre son déjeuner, la porte restait ouverte et personne
n'y trouvait rien à redire…

Changer pour changer, à partir du moment où les svrs sont
correctement protégés ne me semble pas une bonne solution;
éduquer les utilisateurs à la sécurité en les impliquant
(et pas seulement sous peine de sanction dans le réglement
intérieur en cas de PB) me paraît beaucoup plus logique et
secure.

Comme par ex, faire en sorte que le p/w soit l'acronym d'une
expression pas trop populaire et que l'ajout de chiffres et
caractères spéciaux se fasse par "affinités" avec l'utilisat eur.

--
<Pionced> La théorie des multivers stipule qu'il existe une infinità ©
d'univers parallèles au notre, contenant une infinité de
possibilité différentes.
<Pionced> Ça me rend un peu heureux, car que je sais que même si dans cet
univers-ci on est pas ensembles, il existe un univers ou mon moi
est heureux avec toi.
<Pionced> Évidemment, cela veut aussi dire qu'il existe un univers ou on est
tous des poules bleues et où les arcs-en-ciel sont fait de c aca.
<Babush> ... ta poésie te perdra

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #25465782
On Fri, 07 Jun 2013 18:03:59 +0200
Erwan David

ldap ou kerberos ou autre.. Mais pas pour root : root doit avoir un
mot de passe local, puisuqe ce mot de passe ne va servir que quand
tout est cassé.



Heu, quand on a une certaine Qté de srvs, on s'abstient en Gal
de faire des manips hasardeuses…

Et par ailleurs, même si les machines n'ont pas les mêmes users,
il est très simple de scripter pour modifier /etc/shadow au lieu
d'/etc/passwd (au pire, parce qu'en deçà de 100 svrs la manip
peut très bien être manuelle).

--
soso10 : je suis en Bep secretaria et toi ?
thomas_2_troyes : moi je suis en Term S, je prépare le concours de pil ote
de chasse
soso10 : ah ok ! mon frere adore la chasse, il a un epagneul breton
thomas_2_troyes: ...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Sacha Le Lay
Le #25465812
Le Fri, 07 Jun 2013 16:27:12 +0200,
Christophe
On m'aurait menti ?


non, sauf si tu utilises encore ssh 1.0 :-)

--
----------------------------------------------------------------
Sacha Le Lay
Centre de Ressources Informatiques Départemental (CRID) - Vendée
DSI - Rectorat de Nantes
----------------------------------------------------------------

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Belaïd MOUNSI
Le #25465912
--001a11c27c8aa8d51e04de93e88f
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Mille pardons pour la réponse totalement fausse de ttaleur c'est vrai que
c'est justement la différence notable avec telnet.ce n'est pas évident de
répondre claire quand on est au travail et qu'on répond en cachette lol
Le 7 juin 2013 18:39, "Sacha Le Lay"
Le Fri, 07 Jun 2013 16:27:12 +0200,
Christophe
> On m'aurait menti ?
non, sauf si tu utilises encore ssh 1.0 :-)

--
----------------------------------------------------------------
Sacha Le Lay
Centre de Ressources Informatiques Départemental (CRID) - Vendée
DSI - Rectorat de Nantes
----------------------------------------------------------------

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive:
http://lists.debian.org/





--001a11c27c8aa8d51e04de93e88f
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable


Le Fri, 07 Jun 2013 16:27:12 +0200,<br>
Christophe &lt; <br>
&gt; On m&#39;aurait menti ?<br>
non, sauf si tu utilises encore ssh 1.0 :-)<br>
<br>
--<br>
----------------------------------------------------------------<br>
                        Sacha Le Lay<br>
Centre de Ressources Informatiques Départemental (CRID) - Vendée<br>
DSI - Rectorat de Nantes<br>
----------------------------------------------------------------<br>
<br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers En cas de soucis, contactez EN ANGLAIS Archive: <br>
</blockquote></div>

--001a11c27c8aa8d51e04de93e88f--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAFuS2bapZ9m5V1J-RWKo5iw_Uk29WdgO9+
Sacha Le Lay
Le #25466052
Le Fri, 07 Jun 2013 21:19:53 +0200,
Christophe
Hormis des protocoles de chiffrages et un protocole de négociation
qui différent , tu es sur ce ça ?
Je ne remets pas en cause ton affirmation , mais je suis curieux ;) .
(accessoirement, rares sont les systèmes de nos jours qui utilisent
encore SSH-1)


ici :

http://www.openssh.org/fr/security.html au dernier paragraphe.

Et :

http://fr.wikipedia.org/wiki/Secure_Shell#Le_protocole

mais je n'est rien trouvé d’antérieur.

bonne lecture.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme