Logger mes sessions SSH

El Hadji Malick Gueye

07/08/2008 à 11:30

------=_Part_9713_13249548.1218101207849
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Bonjour Alexandre ,
Le fichier caché bash_history qui se trouve sur le répertoire personnel de
chaque utilisateur devrait t'aider. Il répertorie toutes les commande tap ée
par l'utilisateur correspondant.
Dans ce genre de cas aussi je te suggère de limiter l' "accès direct" s ur ce
serveur en utilisant un compte "root". Ainsi les chaque user se connectera
d'abord avec son propre login puis une fois connecter il pourra passer en
root s'il veut. Celà te permettra aussi d'avoir une traçabilité par r apport
aux connexions (qui? quand? comment?).
Pour ça, il te suffira d'étiter le fichier /etc/ssh/sshd_config et modi fier
les valeurs de ces deux directives:

[...]
PermitRootLogin no
AllowUsers user1 user2 user2 user4
[...]

(et tu redémarre le service)
user1, user2, user2, user4 étant les seul utilisateurs autorisés à se
connecter à ce serveur en production par ssh.

J'espère que ça t'aidera :-)

--
http://www.gnu.org/philosophy/no-word-attachments.fr.html
-
El Hadji Malick GUEYE
Tel: +221 77 548 18 48
website: http://malick.gueye.net
email: malickATgueye.net

Ils m'ont demandé d'installer Windows ou mieux, ... alors j'ai installé
Linux :-)

2008/8/7 Alexandre Mackow

Bonjour à tous (surtout ceux pas encore en vacances),

je met en prod un serveur de fichiers sous debian..... L'administration s e
fera exclusivement en ssh.
Etant donné que nous sommes plusieurs administrateurs mais que j'aurai en
charge la responsabilité du serveur, j'aurai désirer logger toutes le s
commandes pouvant être effectuées ...

Est ce possible?

Merci par avance.
++

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

--
http://www.gnu.org/philosophy/no-word-attachments.fr.html
-
El Hadji Malick GUEYE
Tel: +221 77 548 18 48
website: http://malick.gueye.net
email: malickATgueye.net

Ils m'ont demandé d'installer Windows ou mieux, ... alors j'ai installé
Linux :-)

------=_Part_9713_13249548.1218101207849
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<div dir="ltr">Bonjour Alexandre , 
Le fichier caché bash_history qui se trouve sur le répertoire personnel
de chaque utilisateur devrait t'aider. Il répertorie toutes les
commande tapée par l'utilisateur correspondant. 
Dans ce genre de cas aussi je te suggère de limiter l' "accès direct"
sur ce serveur en utilisant un compte "root". Ainsi les chaque us er se
connectera d'abord avec son propre login puis une fois connecter il
pourra passer en root s'il veut. Celà te permettra aussi d'avoir une
traçabilité par rapport aux connexions (qui? quand? comment?). 
Pour ça, il te suffira d'étiter le fichier /etc/ssh/sshd_config et modifier les valeurs de ces deux directives: 
 
[...] 
PermitRootLogin no 
AllowUsers user1 user2 user2 user4 
[...] 
(et tu redémarre le service) 
user1, user2, user2, user4 étant les seul utilisateurs autorisés à se connecter à ce serveur en production par ssh. 
 
J'espère que ça t'aidera :-) 
 
 
-- 
<a href="http://www.gnu.org/philosophy/no-word-attachments.fr.html">http: //www.gnu.org/philosophy/no-word-attachments.fr.html</a> 
- 
El Hadji Malick GUEYE 
Tel: +221 77 548 18 48 
website: <a href="http://malick.gueye.net">http://malick.gueye.net</a> 
email: malickATgueye.net 
 
Ils m'ont demandé d'installer Windows ou mieux, ... alors j'a i installé Linux :-) <div class="gmail_quote">2008/8/7 Alexandre Mackow <<a href="mailto:">al </a>> 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Bonjour à tous (surtout ceux pas encore en vacances), 
 
je met en prod un serveur de fichiers sous debian..... L'administration se fera exclusivement en ssh. 
Etant donné que nous sommes plusieurs administrateurs mais que j'aura i en charge la responsabilité du serveur, j'aurai désirer logger to utes les commandes pouvant être effectuées ... 
 
Est ce possible? 
 
Merci par avance. 
++ 
 
-- 
Lisez la FAQ de la liste avant de poser une question : 
<a href="http://wiki.debian.org/DebFrFrenchLists" target="_blank">http: //wiki.debian.org/DebFrFrenchLists</a> 
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "Fro m" et 
"Reply-To:" 
 
To UNSUBSCRIBE, email to <a href="mailto: .debian.org" target="_blank">< /a> 
with a subject of "unsubscribe". Trouble? Contact <a href="mail to:" target="_blank"> rg</a> 
 
</blockquote></div> -- <a href="http: //www.gnu.org/philosophy/no-word-attachments.fr.html">http://www.gnu.org/ph ilosophy/no-word-attachments.fr.html</a> - El Hadji Malick GUEYE 
Tel: +221 77 548 18 48 website: <a href="http://malick.gueye.net">http ://malick.gueye.net</a> email: malickATgueye.net Ils m'ont de mandé d'installer Windows ou mieux, ... alors j'ai installé Lin ux :-) 

</div>

------=_Part_9713_13249548.1218101207849--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

------=_Part_9713_13249548.1218101207849
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Bonjour Alexandre ,
Le fichier caché bash_history qui se trouve sur le répertoire personnel de
chaque utilisateur devrait t'aider. Il répertorie toutes les commande tap ée
par l'utilisateur correspondant.
Dans ce genre de cas aussi je te suggère de limiter l' "accès direct" s ur ce
serveur en utilisant un compte "root". Ainsi les chaque user se connectera
d'abord avec son propre login puis une fois connecter il pourra passer en
root s'il veut. Celà te permettra aussi d'avoir une traçabilité par r apport
aux connexions (qui? quand? comment?).
Pour ça, il te suffira d'étiter le fichier /etc/ssh/sshd_config et modi fier
les valeurs de ces deux directives:

[...]
PermitRootLogin no
AllowUsers user1 user2 user2 user4
[...]

(et tu redémarre le service)
user1, user2, user2, user4 étant les seul utilisateurs autorisés à se
connecter à ce serveur en production par ssh.

J'espère que ça t'aidera :-)

--
http://www.gnu.org/philosophy/no-word-attachments.fr.html
-
El Hadji Malick GUEYE
Tel: +221 77 548 18 48
website: http://malick.gueye.net
email: malickATgueye.net

Ils m'ont demandé d'installer Windows ou mieux, ... alors j'ai installé
Linux :-)

2008/8/7 Alexandre Mackow <alex.mackow@laposte.net>

Bonjour à tous (surtout ceux pas encore en vacances),

je met en prod un serveur de fichiers sous debian..... L'administration s e
fera exclusivement en ssh.
Etant donné que nous sommes plusieurs administrateurs mais que j'aurai en
charge la responsabilité du serveur, j'aurai désirer logger toutes le s
commandes pouvant être effectuées ...

Est ce possible?

Merci par avance.
++

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org

--
http://www.gnu.org/philosophy/no-word-attachments.fr.html
-
El Hadji Malick GUEYE
Tel: +221 77 548 18 48
website: http://malick.gueye.net
email: malickATgueye.net

Ils m'ont demandé d'installer Windows ou mieux, ... alors j'ai installé
Linux :-)

------=_Part_9713_13249548.1218101207849
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<div dir="ltr">Bonjour Alexandre , 
Le fichier caché bash_history qui se trouve sur le répertoire personnel
de chaque utilisateur devrait t'aider. Il répertorie toutes les
commande tapée par l'utilisateur correspondant. 
Dans ce genre de cas aussi je te suggère de limiter l' "accès direct"
sur ce serveur en utilisant un compte "root". Ainsi les chaque us er se
connectera d'abord avec son propre login puis une fois connecter il
pourra passer en root s'il veut. Celà te permettra aussi d'avoir une
traçabilité par rapport aux connexions (qui? quand? comment?). 
Pour ça, il te suffira d'étiter le fichier /etc/ssh/sshd_config et modifier les valeurs de ces deux directives: 
 
[...] 
PermitRootLogin no 
AllowUsers user1 user2 user2 user4 
[...] 
(et tu redémarre le service) 
user1, user2, user2, user4 étant les seul utilisateurs autorisés à se connecter à ce serveur en production par ssh. 
 
J'espère que ça t'aidera :-) 
 
 
-- 
<a href="http://www.gnu.org/philosophy/no-word-attachments.fr.html">http: //www.gnu.org/philosophy/no-word-attachments.fr.html</a> 
- 
El Hadji Malick GUEYE 
Tel: +221 77 548 18 48 
website: <a href="http://malick.gueye.net">http://malick.gueye.net</a> 
email: malickATgueye.net 
 
Ils m'ont demandé d'installer Windows ou mieux, ... alors j'a i installé Linux :-) <div class="gmail_quote">2008/8/7 Alexandre Mackow <<a href="mailto:alex.mackow@laposte.net">al ex.mackow@laposte.net</a>> 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Bonjour à tous (surtout ceux pas encore en vacances), 
 
je met en prod un serveur de fichiers sous debian..... L'administration se fera exclusivement en ssh. 
Etant donné que nous sommes plusieurs administrateurs mais que j'aura i en charge la responsabilité du serveur, j'aurai désirer logger to utes les commandes pouvant être effectuées ... 
 
Est ce possible? 
 
Merci par avance. 
++ 
 
-- 
Lisez la FAQ de la liste avant de poser une question : 
<a href="http://wiki.debian.org/DebFrFrenchLists" target="_blank">http: //wiki.debian.org/DebFrFrenchLists</a> 
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "Fro m" et 
"Reply-To:" 
 
To UNSUBSCRIBE, email to <a href="mailto:debian-user-french-REQUEST@lists .debian.org" target="_blank">debian-user-french-REQUEST@lists.debian.org< /a> 
with a subject of "unsubscribe". Trouble? Contact <a href="mail to:listmaster@lists.debian.org" target="_blank">listmaster@lists.debian.o rg</a> 
 
</blockquote></div> -- <a href="http: //www.gnu.org/philosophy/no-word-attachments.fr.html">http://www.gnu.org/ph ilosophy/no-word-attachments.fr.html</a> - El Hadji Malick GUEYE 
Tel: +221 77 548 18 48 website: <a href="http://malick.gueye.net">http ://malick.gueye.net</a> email: malickATgueye.net Ils m'ont de mandé d'installer Windows ou mieux, ... alors j'ai installé Lin ux :-) 

</div>

------=_Part_9713_13249548.1218101207849--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

------=_Part_9713_13249548.1218101207849
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Bonjour Alexandre ,
Le fichier caché bash_history qui se trouve sur le répertoire personnel de
chaque utilisateur devrait t'aider. Il répertorie toutes les commande tap ée
par l'utilisateur correspondant.
Dans ce genre de cas aussi je te suggère de limiter l' "accès direct" s ur ce
serveur en utilisant un compte "root". Ainsi les chaque user se connectera
d'abord avec son propre login puis une fois connecter il pourra passer en
root s'il veut. Celà te permettra aussi d'avoir une traçabilité par r apport
aux connexions (qui? quand? comment?).
Pour ça, il te suffira d'étiter le fichier /etc/ssh/sshd_config et modi fier
les valeurs de ces deux directives:

[...]
PermitRootLogin no
AllowUsers user1 user2 user2 user4
[...]

(et tu redémarre le service)
user1, user2, user2, user4 étant les seul utilisateurs autorisés à se
connecter à ce serveur en production par ssh.

J'espère que ça t'aidera :-)

--
http://www.gnu.org/philosophy/no-word-attachments.fr.html
-
El Hadji Malick GUEYE
Tel: +221 77 548 18 48
website: http://malick.gueye.net
email: malickATgueye.net

Ils m'ont demandé d'installer Windows ou mieux, ... alors j'ai installé
Linux :-)

2008/8/7 Alexandre Mackow

Bonjour à tous (surtout ceux pas encore en vacances),

je met en prod un serveur de fichiers sous debian..... L'administration s e
fera exclusivement en ssh.
Etant donné que nous sommes plusieurs administrateurs mais que j'aurai en
charge la responsabilité du serveur, j'aurai désirer logger toutes le s
commandes pouvant être effectuées ...

Est ce possible?

Merci par avance.
++

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

--
http://www.gnu.org/philosophy/no-word-attachments.fr.html
-
El Hadji Malick GUEYE
Tel: +221 77 548 18 48
website: http://malick.gueye.net
email: malickATgueye.net

Ils m'ont demandé d'installer Windows ou mieux, ... alors j'ai installé
Linux :-)

------=_Part_9713_13249548.1218101207849
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<div dir="ltr">Bonjour Alexandre , 
Le fichier caché bash_history qui se trouve sur le répertoire personnel
de chaque utilisateur devrait t'aider. Il répertorie toutes les
commande tapée par l'utilisateur correspondant. 
Dans ce genre de cas aussi je te suggère de limiter l' "accès direct"
sur ce serveur en utilisant un compte "root". Ainsi les chaque us er se
connectera d'abord avec son propre login puis une fois connecter il
pourra passer en root s'il veut. Celà te permettra aussi d'avoir une
traçabilité par rapport aux connexions (qui? quand? comment?). 
Pour ça, il te suffira d'étiter le fichier /etc/ssh/sshd_config et modifier les valeurs de ces deux directives: 
 
[...] 
PermitRootLogin no 
AllowUsers user1 user2 user2 user4 
[...] 
(et tu redémarre le service) 
user1, user2, user2, user4 étant les seul utilisateurs autorisés à se connecter à ce serveur en production par ssh. 
 
J'espère que ça t'aidera :-) 
 
 
-- 
<a href="http://www.gnu.org/philosophy/no-word-attachments.fr.html">http: //www.gnu.org/philosophy/no-word-attachments.fr.html</a> 
- 
El Hadji Malick GUEYE 
Tel: +221 77 548 18 48 
website: <a href="http://malick.gueye.net">http://malick.gueye.net</a> 
email: malickATgueye.net 
 
Ils m'ont demandé d'installer Windows ou mieux, ... alors j'a i installé Linux :-) <div class="gmail_quote">2008/8/7 Alexandre Mackow <<a href="mailto:">al </a>> 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Bonjour à tous (surtout ceux pas encore en vacances), 
 
je met en prod un serveur de fichiers sous debian..... L'administration se fera exclusivement en ssh. 
Etant donné que nous sommes plusieurs administrateurs mais que j'aura i en charge la responsabilité du serveur, j'aurai désirer logger to utes les commandes pouvant être effectuées ... 
 
Est ce possible? 
 
Merci par avance. 
++ 
 
-- 
Lisez la FAQ de la liste avant de poser une question : 
<a href="http://wiki.debian.org/DebFrFrenchLists" target="_blank">http: //wiki.debian.org/DebFrFrenchLists</a> 
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "Fro m" et 
"Reply-To:" 
 
To UNSUBSCRIBE, email to <a href="mailto: .debian.org" target="_blank">< /a> 
with a subject of "unsubscribe". Trouble? Contact <a href="mail to:" target="_blank"> rg</a> 
 
</blockquote></div> -- <a href="http: //www.gnu.org/philosophy/no-word-attachments.fr.html">http://www.gnu.org/ph ilosophy/no-word-attachments.fr.html</a> - El Hadji Malick GUEYE 
Tel: +221 77 548 18 48 website: <a href="http://malick.gueye.net">http ://malick.gueye.net</a> email: malickATgueye.net Ils m'ont de mandé d'installer Windows ou mieux, ... alors j'ai installé Lin ux :-) 

</div>

------=_Part_9713_13249548.1218101207849--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Edi Stojicevic

07/08/2008 à 11:50

* Alexandre Mackow [2008-08-07 10:47:55 +0200] wrote :

Bonjour à tous (surtout ceux pas encore en vacances),

je met en prod un serveur de fichiers sous debian..... L'administration
se fera exclusivement en ssh.
Etant donné que nous sommes plusieurs administrateurs mais que j'aura i
en charge la responsabilité du serveur, j'aurai désirer logger tout es
les commandes pouvant être effectuées ...

Est ce possible?

Merci par avance.
++

Salut,

Regarde du cote du package snoopy :

snoopy - An execve() wrapper and logger

@+
--
. ''`. (___/) E d i S T O J I C E V I C
: :' : (='.'=) http://www.debianworld.org
`. `~' (")_(") GPG: 0x1237B032
`-

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

rvenne

07/08/2008 à 12:00

1 installer sudo
2 chaque user doit avoir son compte dans sudoers

toutes les commandes seront loggées dans /var/log/auth.log

tu peux meme poser des filtrer par rapport aux ip, commandes, loggin, et
créer des path maison. genre, un tel ne peut pas faire shutdown par
exemple, et on interdit la commande passwd et visudo ainsi que su à tout
le monde, si non ce serait pas drole non?
Alexandre Mackow wrote:

Bonjour à tous (surtout ceux pas encore en vacances),

je met en prod un serveur de fichiers sous debian.....
L'administration se fera exclusivement en ssh.
Etant donné que nous sommes plusieurs administrateurs mais que j'aurai
en charge la responsabilité du serveur, j'aurai désirer logger toutes
les commandes pouvant être effectuées ...

Est ce possible?

Merci par avance.
++

--
Richard VENNE
IT Administrator

Administrateur réseaux système & sécurité
Afin de respecter de l'environnement, merci de n'imprimer
cet email qu'en cas de nécessité absolue.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Zoser BIZIKI

07/08/2008 à 12:20

El Hadji Malick Gueye a écrit :

Bonjour Alexandre ,
Le fichier caché bash_history qui se trouve sur le répertoire
personnel de chaque utilisateur devrait t'aider. Il répertorie toutes
les commande tapée par l'utilisateur correspondant.
Dans ce genre de cas aussi je te suggère de limiter l' "accès direct"
sur ce serveur en utilisant un compte "root". Ainsi les chaque user se
connectera d'abord avec son propre login puis une fois connecter il
pourra passer en root s'il veut. Celà te permettra aussi d'avoir une
traçabilité par rapport aux connexions (qui? quand? comment?).
Pour ça, il te suffira d'étiter le fichier /etc/ssh/sshd_config et
modifier les valeurs de ces deux directives:

[...]
PermitRootLogin no
AllowUsers user1 user2 user2 user4
[...]

tu peux aussi créer un groupe par exemple sysadmin dans lequel tu
mettras user1 user2 ... user4 et rajouter dans ta conf ssh la directive
AllowGroups sysadmin

Zo

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

rvenne

07/08/2008 à 12:40

Zoser BIZIKI wrote:

El Hadji Malick Gueye a écrit :
Bonjour Alexandre ,
Le fichier caché bash_history qui se trouve sur le répertoire
personnel de chaque utilisateur devrait t'aider. Il répertorie toutes
les commande tapée par l'utilisateur correspondant.

y a la gruge bien connue, est de backup sa bash_history, diriger le
fichier dans /dev/null, faires ses conneries, puis restorer le fichier.
on ne pourra jamais prouver qu'il a fait ce qu'il a fait.

Dans ce genre de cas aussi je te suggère de limiter l' "accès direct"
sur ce serveur en utilisant un compte "root".

on peut aussi limiter les accès root sur les ptty,

Ainsi les chaque user se connectera d'abord avec son propre login
puis une fois connecter il pourra passer en root s'il veut. Celà te
permettra aussi d'avoir une traçabilité par rapport aux connexions
(qui? quand? comment?).
Pour ça, il te suffira d'étiter le fichier /etc/ssh/sshd_config et
modifier les valeurs de ces deux directives:

[...]
PermitRootLogin no
AllowUsers user1 user2 user2 user4
[...]

tu peux aussi créer un groupe par exemple sysadmin dans lequel tu
mettras user1 user2 ... user4 et rajouter dans ta conf ssh la
directive AllowGroups sysadmin

Zo

--
Richard VENNE
IT Administrator

Administrateur réseaux système & sécurité
Afin de respecter de l'environnement, merci de n'imprimer
cet email qu'en cas de nécessité absolue.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

El Hadji Malick Gueye

07/08/2008 à 13:00

------=_Part_10042_29274045.1218106233218
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

on peut aussi limiter les accès root sur les ptty,

En quoi faisant?

Le 7 août 2008 10:36, rvenne a écrit :

Zoser BIZIKI wrote:

El Hadji Malick Gueye a écrit :

Bonjour Alexandre ,
Le fichier caché bash_history qui se trouve sur le répertoire perso nnel
de chaque utilisateur devrait t'aider. Il répertorie toutes les comma nde
tapée par l'utilisateur correspondant.

y a la gruge bien connue, est de backup sa bash_history, diriger le

fichier dans /dev/null, faires ses conneries, puis restorer le fichier. o n
ne pourra jamais prouver qu'il a fait ce qu'il a fait.

Dans ce genre de cas aussi je te suggère de limiter l' "accès direct " sur
ce serveur en utilisant un compte "root".

on peut aussi limiter les accès root sur les ptty,

Ainsi les chaque user se connectera d'abord avec son propre login puis u ne
fois connecter il pourra passer en root s'il veut. Celà te permettra aussi
d'avoir une traçabilité par rapport aux connexions (qui? quand? com ment?).
Pour ça, il te suffira d'étiter le fichier /etc/ssh/sshd_config et
modifier les valeurs de ces deux directives:

[...]
PermitRootLogin no
AllowUsers user1 user2 user2 user4
[...]

tu peux aussi créer un groupe par exemple sysadmin dans lequel tu

mettras user1 user2 ... user4 et rajouter dans ta conf ssh la directive
AllowGroups sysadmin

Zo

--
Richard VENNE
IT Administrator

Administrateur réseaux système & sécurité
Afin de respecter de l'environnement, merci de n'imprimer
cet email qu'en cas de nécessité absolue.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

--
http://www.gnu.org/philosophy/no-word-attachments.fr.html
-
El Hadji Malick GUEYE
Tel: +221 77 548 18 48
website: http://malick.gueye.net
email: malickATgueye.net

Ils m'ont demandé d'installer Windows ou mieux, ... alors j'ai installé
Linux :-)

------=_Part_10042_29274045.1218106233218
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<div dir="ltr">>on peut aussi limiter les accès root sur les ptty,En quoi faisant? <div class="gmail_quote">Le 7 août 2008 10:36 , rvenne <<a href="mailto:">rvenn </a>> a écrit : 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="Ih2 E3d">Zoser BIZIKI wrote: 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
El Hadji Malick Gueye a écrit : 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Bonjour Alexandre , 
Le fichier caché bash_history qui se trouve sur le répertoire personnel de chaque utilisateur devrait t'aider. Il répertorie toutes les comm ande tapée par l'utilisateur correspondant. 
</blockquote></blockquote></div>
y a la gruge bien connue, est de backup sa bash_history, diriger le fichier dans /dev/null, faires ses conneries, puis restorer le fichier. on ne pour ra jamais prouver qu'il a fait ce qu'il a fait.<div class="Ih2E3d ">
 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><blockquote class ="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin : 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

Dans ce genre de cas aussi je te suggère de limiter l' "accès direct" sur ce serveur en utilisant un compte "root". 
</blockquote></blockquote></div>
on peut aussi limiter les accès root sur les ptty,<div class="Ih2E3d"> 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><blockquote class ="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin : 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

Ainsi les chaque user se connectera d'abord avec son propre login puis une fois connecter il pourra passer en root s'il veut. Celà te permet tra aussi d'avoir une traçabilité par rapport aux connexions (qui? quand? comment?). 

Pour ça, il te suffira d'étiter le fichier /etc/ssh/sshd_config et modifier les valeurs de ces deux directives: 
 
[...] 
PermitRootLogin no 
AllowUsers user1 user2 user2 user4 
[...] 
 
</blockquote>
tu peux aussi créer un groupe par exemple sysadmin dans lequel tu mettras user1 user2 ... user4 et  rajouter dans ta conf ssh la directive Allo wGroups sysadmin 
 
Zo 
 
</blockquote>
 
 </div><div class="Ih2E3d">
-- 
Richard VENNE 
IT Administrator 
 
Administrateur réseaux système & sécurité 
Afin de respecter de l'environnement, merci de n'imprimer 
cet email qu'en cas de nécessité absolue. 
 
-- </div><div><div></div><div class="Wj3C7c">
Lisez la FAQ de la liste avant de poser une question : 
<a href="http://wiki.debian.org/DebFrFrenchLists" target="_blank">http: //wiki.debian.org/DebFrFrenchLists</a> 
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "Fro m" et 
"Reply-To:" 
 
To UNSUBSCRIBE, email to <a href="mailto: .debian.org" target="_blank">< /a> 
with a subject of "unsubscribe". Trouble? Contact <a href="mail to:" target="_blank"> rg</a> 
 
</div></div></blockquote></div> -- <a href=" http://www.gnu.org/philosophy/no-word-attachments.fr.html">http://www.gnu.o rg/philosophy/no-word-attachments.fr.html</a> - El Hadji Malick GUEYE 
Tel: +221 77 548 18 48 website: <a href="http://malick.gueye.net">http ://malick.gueye.net</a> email: malickATgueye.net Ils m'ont de mandé d'installer Windows ou mieux, ... alors j'ai installé Lin ux :-) 

</div>

------=_Part_10042_29274045.1218106233218--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

------=_Part_10042_29274045.1218106233218
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

on peut aussi limiter les accès root sur les ptty,

En quoi faisant?

Le 7 août 2008 10:36, rvenne <rvenne@meditrans.fr> a écrit :

Zoser BIZIKI wrote:

El Hadji Malick Gueye a écrit :

Bonjour Alexandre ,
Le fichier caché bash_history qui se trouve sur le répertoire perso nnel
de chaque utilisateur devrait t'aider. Il répertorie toutes les comma nde
tapée par l'utilisateur correspondant.

y a la gruge bien connue, est de backup sa bash_history, diriger le

fichier dans /dev/null, faires ses conneries, puis restorer le fichier. o n
ne pourra jamais prouver qu'il a fait ce qu'il a fait.

Dans ce genre de cas aussi je te suggère de limiter l' "accès direct " sur

ce serveur en utilisant un compte "root".

on peut aussi limiter les accès root sur les ptty,

Ainsi les chaque user se connectera d'abord avec son propre login puis u ne

fois connecter il pourra passer en root s'il veut. Celà te permettra aussi
d'avoir une traçabilité par rapport aux connexions (qui? quand? com ment?).
Pour ça, il te suffira d'étiter le fichier /etc/ssh/sshd_config et
modifier les valeurs de ces deux directives:

[...]
PermitRootLogin no
AllowUsers user1 user2 user2 user4
[...]

tu peux aussi créer un groupe par exemple sysadmin dans lequel tu

mettras user1 user2 ... user4 et rajouter dans ta conf ssh la directive
AllowGroups sysadmin

Zo

--
Richard VENNE
IT Administrator

Administrateur réseaux système & sécurité
Afin de respecter de l'environnement, merci de n'imprimer
cet email qu'en cas de nécessité absolue.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org

--
http://www.gnu.org/philosophy/no-word-attachments.fr.html
-
El Hadji Malick GUEYE
Tel: +221 77 548 18 48
website: http://malick.gueye.net
email: malickATgueye.net

Ils m'ont demandé d'installer Windows ou mieux, ... alors j'ai installé
Linux :-)

------=_Part_10042_29274045.1218106233218
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<div dir="ltr">>on peut aussi limiter les accès root sur les ptty,En quoi faisant? <div class="gmail_quote">Le 7 août 2008 10:36 , rvenne <<a href="mailto:rvenne@meditrans.fr">rvenn e@meditrans.fr</a>> a écrit : 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="Ih2 E3d">Zoser BIZIKI wrote: 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
El Hadji Malick Gueye a écrit : 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Bonjour Alexandre , 
Le fichier caché bash_history qui se trouve sur le répertoire personnel de chaque utilisateur devrait t'aider. Il répertorie toutes les comm ande tapée par l'utilisateur correspondant. 
</blockquote></blockquote></div>
y a la gruge bien connue, est de backup sa bash_history, diriger le fichier dans /dev/null, faires ses conneries, puis restorer le fichier. on ne pour ra jamais prouver qu'il a fait ce qu'il a fait.<div class="Ih2E3d ">
 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><blockquote class ="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin : 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

Dans ce genre de cas aussi je te suggère de limiter l' "accès direct" sur ce serveur en utilisant un compte "root". 
</blockquote></blockquote></div>
on peut aussi limiter les accès root sur les ptty,<div class="Ih2E3d"> 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><blockquote class ="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin : 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

Ainsi les chaque user se connectera d'abord avec son propre login puis une fois connecter il pourra passer en root s'il veut. Celà te permet tra aussi d'avoir une traçabilité par rapport aux connexions (qui? quand? comment?). 

Pour ça, il te suffira d'étiter le fichier /etc/ssh/sshd_config et modifier les valeurs de ces deux directives: 
 
[...] 
PermitRootLogin no 
AllowUsers user1 user2 user2 user4 
[...] 
 
</blockquote>
tu peux aussi créer un groupe par exemple sysadmin dans lequel tu mettras user1 user2 ... user4 et  rajouter dans ta conf ssh la directive Allo wGroups sysadmin 
 
Zo 
 
</blockquote>
 
 </div><div class="Ih2E3d">
-- 
Richard VENNE 
IT Administrator 
 
Administrateur réseaux système & sécurité 
Afin de respecter de l'environnement, merci de n'imprimer 
cet email qu'en cas de nécessité absolue. 
 
-- </div><div><div></div><div class="Wj3C7c">
Lisez la FAQ de la liste avant de poser une question : 
<a href="http://wiki.debian.org/DebFrFrenchLists" target="_blank">http: //wiki.debian.org/DebFrFrenchLists</a> 
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "Fro m" et 
"Reply-To:" 
 
To UNSUBSCRIBE, email to <a href="mailto:debian-user-french-REQUEST@lists .debian.org" target="_blank">debian-user-french-REQUEST@lists.debian.org< /a> 
with a subject of "unsubscribe". Trouble? Contact <a href="mail to:listmaster@lists.debian.org" target="_blank">listmaster@lists.debian.o rg</a> 
 
</div></div></blockquote></div> -- <a href=" http://www.gnu.org/philosophy/no-word-attachments.fr.html">http://www.gnu.o rg/philosophy/no-word-attachments.fr.html</a> - El Hadji Malick GUEYE 
Tel: +221 77 548 18 48 website: <a href="http://malick.gueye.net">http ://malick.gueye.net</a> email: malickATgueye.net Ils m'ont de mandé d'installer Windows ou mieux, ... alors j'ai installé Lin ux :-) 

</div>

------=_Part_10042_29274045.1218106233218--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

------=_Part_10042_29274045.1218106233218
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

on peut aussi limiter les accès root sur les ptty,

En quoi faisant?

Le 7 août 2008 10:36, rvenne a écrit :

Zoser BIZIKI wrote:

El Hadji Malick Gueye a écrit :

Bonjour Alexandre ,
Le fichier caché bash_history qui se trouve sur le répertoire perso nnel
de chaque utilisateur devrait t'aider. Il répertorie toutes les comma nde
tapée par l'utilisateur correspondant.

y a la gruge bien connue, est de backup sa bash_history, diriger le

fichier dans /dev/null, faires ses conneries, puis restorer le fichier. o n
ne pourra jamais prouver qu'il a fait ce qu'il a fait.

Dans ce genre de cas aussi je te suggère de limiter l' "accès direct " sur
ce serveur en utilisant un compte "root".

on peut aussi limiter les accès root sur les ptty,

Ainsi les chaque user se connectera d'abord avec son propre login puis u ne
fois connecter il pourra passer en root s'il veut. Celà te permettra aussi
d'avoir une traçabilité par rapport aux connexions (qui? quand? com ment?).
Pour ça, il te suffira d'étiter le fichier /etc/ssh/sshd_config et
modifier les valeurs de ces deux directives:

[...]
PermitRootLogin no
AllowUsers user1 user2 user2 user4
[...]

tu peux aussi créer un groupe par exemple sysadmin dans lequel tu

mettras user1 user2 ... user4 et rajouter dans ta conf ssh la directive
AllowGroups sysadmin

Zo

--
Richard VENNE
IT Administrator

Administrateur réseaux système & sécurité
Afin de respecter de l'environnement, merci de n'imprimer
cet email qu'en cas de nécessité absolue.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

--
http://www.gnu.org/philosophy/no-word-attachments.fr.html
-
El Hadji Malick GUEYE
Tel: +221 77 548 18 48
website: http://malick.gueye.net
email: malickATgueye.net

Ils m'ont demandé d'installer Windows ou mieux, ... alors j'ai installé
Linux :-)

------=_Part_10042_29274045.1218106233218
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<div dir="ltr">>on peut aussi limiter les accès root sur les ptty,En quoi faisant? <div class="gmail_quote">Le 7 août 2008 10:36 , rvenne <<a href="mailto:">rvenn </a>> a écrit : 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="Ih2 E3d">Zoser BIZIKI wrote: 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
El Hadji Malick Gueye a écrit : 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Bonjour Alexandre , 
Le fichier caché bash_history qui se trouve sur le répertoire personnel de chaque utilisateur devrait t'aider. Il répertorie toutes les comm ande tapée par l'utilisateur correspondant. 
</blockquote></blockquote></div>
y a la gruge bien connue, est de backup sa bash_history, diriger le fichier dans /dev/null, faires ses conneries, puis restorer le fichier. on ne pour ra jamais prouver qu'il a fait ce qu'il a fait.<div class="Ih2E3d ">
 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><blockquote class ="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin : 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

Dans ce genre de cas aussi je te suggère de limiter l' "accès direct" sur ce serveur en utilisant un compte "root". 
</blockquote></blockquote></div>
on peut aussi limiter les accès root sur les ptty,<div class="Ih2E3d"> 
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><blockquote class ="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin : 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

Ainsi les chaque user se connectera d'abord avec son propre login puis une fois connecter il pourra passer en root s'il veut. Celà te permet tra aussi d'avoir une traçabilité par rapport aux connexions (qui? quand? comment?). 

Pour ça, il te suffira d'étiter le fichier /etc/ssh/sshd_config et modifier les valeurs de ces deux directives: 
 
[...] 
PermitRootLogin no 
AllowUsers user1 user2 user2 user4 
[...] 
 
</blockquote>
tu peux aussi créer un groupe par exemple sysadmin dans lequel tu mettras user1 user2 ... user4 et  rajouter dans ta conf ssh la directive Allo wGroups sysadmin 
 
Zo 
 
</blockquote>
 
 </div><div class="Ih2E3d">
-- 
Richard VENNE 
IT Administrator 
 
Administrateur réseaux système & sécurité 
Afin de respecter de l'environnement, merci de n'imprimer 
cet email qu'en cas de nécessité absolue. 
 
-- </div><div><div></div><div class="Wj3C7c">
Lisez la FAQ de la liste avant de poser une question : 
<a href="http://wiki.debian.org/DebFrFrenchLists" target="_blank">http: //wiki.debian.org/DebFrFrenchLists</a> 
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "Fro m" et 
"Reply-To:" 
 
To UNSUBSCRIBE, email to <a href="mailto: .debian.org" target="_blank">< /a> 
with a subject of "unsubscribe". Trouble? Contact <a href="mail to:" target="_blank"> rg</a> 
 
</div></div></blockquote></div> -- <a href=" http://www.gnu.org/philosophy/no-word-attachments.fr.html">http://www.gnu.o rg/philosophy/no-word-attachments.fr.html</a> - El Hadji Malick GUEYE 
Tel: +221 77 548 18 48 website: <a href="http://malick.gueye.net">http ://malick.gueye.net</a> email: malickATgueye.net Ils m'ont de mandé d'installer Windows ou mieux, ... alors j'ai installé Lin ux :-) 

</div>

------=_Part_10042_29274045.1218106233218--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

rvenne

07/08/2008 à 15:40

El Hadji Malick Gueye a écrit :

>on peut aussi limiter les accès root sur les ptty,
En quoi faisant?

tu peux jouer avec /etc/security et les modules pam.d

Achton ! à la moindre bêtise, la santion est immédiate, et peut etre
irrévocables. il faut ouvrir des consoles supplémentaires à coté au cas
ou ca tourne au vinaigre. il est préférable de faire ca sur une machine
dont tu as accès physique ...

Le 7 août 2008 10:36, rvenne
<mailto: a écrit :

Zoser BIZIKI wrote:

El Hadji Malick Gueye a écrit :

Bonjour Alexandre ,
Le fichier caché bash_history qui se trouve sur le
répertoire personnel de chaque utilisateur devrait
t'aider. Il répertorie toutes les commande tapée par
l'utilisateur correspondant.

y a la gruge bien connue, est de backup sa bash_history, diriger
le fichier dans /dev/null, faires ses conneries, puis restorer le
fichier. on ne pourra jamais prouver qu'il a fait ce qu'il a fait.

Dans ce genre de cas aussi je te suggère de limiter l'
"accès direct" sur ce serveur en utilisant un compte "root".

on peut aussi limiter les accès root sur les ptty,

Ainsi les chaque user se connectera d'abord avec son
propre login puis une fois connecter il pourra passer en
root s'il veut. Celà te permettra aussi d'avoir une
traçabilité par rapport aux connexions (qui? quand? comment?).
Pour ça, il te suffira d'étiter le fichier
/etc/ssh/sshd_config et modifier les valeurs de ces deux
directives:

[...]
PermitRootLogin no
AllowUsers user1 user2 user2 user4
[...]

tu peux aussi créer un groupe par exemple sysadmin dans lequel
tu mettras user1 user2 ... user4 et rajouter dans ta conf ssh
la directive AllowGroups sysadmin

Zo

--
Richard VENNE
IT Administrator

Administrateur réseaux système & sécurité
Afin de respecter de l'environnement, merci de n'imprimer
cet email qu'en cas de nécessité absolue.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to

<mailto:
with a subject of "unsubscribe". Trouble? Contact
<mailto:

--
http://www.gnu.org/philosophy/no-word-attachments.fr.html
-
El Hadji Malick GUEYE
Tel: +221 77 548 18 48
website: http://malick.gueye.net
email: malickATgueye.net

Ils m'ont demandé d'installer Windows ou mieux, ... alors j'ai
installé Linux :-)

--
Richard VENNE
IT Administrator

Administrateur réseaux système & sécurité
Afin de respecter de l'environnement, merci de n'imprimer
cet email qu'en cas de nécessité absolue.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

El Hadji Malick Gueye a écrit :

>on peut aussi limiter les accès root sur les ptty,
En quoi faisant?

tu peux jouer avec /etc/security et les modules pam.d

Achton ! à la moindre bêtise, la santion est immédiate, et peut etre
irrévocables. il faut ouvrir des consoles supplémentaires à coté au cas
ou ca tourne au vinaigre. il est préférable de faire ca sur une machine
dont tu as accès physique ...

Le 7 août 2008 10:36, rvenne <rvenne@meditrans.fr
<mailto:rvenne@meditrans.fr>> a écrit :

Zoser BIZIKI wrote:

El Hadji Malick Gueye a écrit :

Bonjour Alexandre ,
Le fichier caché bash_history qui se trouve sur le
répertoire personnel de chaque utilisateur devrait
t'aider. Il répertorie toutes les commande tapée par
l'utilisateur correspondant.

y a la gruge bien connue, est de backup sa bash_history, diriger
le fichier dans /dev/null, faires ses conneries, puis restorer le
fichier. on ne pourra jamais prouver qu'il a fait ce qu'il a fait.

Dans ce genre de cas aussi je te suggère de limiter l'
"accès direct" sur ce serveur en utilisant un compte "root".

on peut aussi limiter les accès root sur les ptty,

Ainsi les chaque user se connectera d'abord avec son
propre login puis une fois connecter il pourra passer en
root s'il veut. Celà te permettra aussi d'avoir une
traçabilité par rapport aux connexions (qui? quand? comment?).
Pour ça, il te suffira d'étiter le fichier
/etc/ssh/sshd_config et modifier les valeurs de ces deux
directives:

[...]
PermitRootLogin no
AllowUsers user1 user2 user2 user4
[...]

tu peux aussi créer un groupe par exemple sysadmin dans lequel
tu mettras user1 user2 ... user4 et rajouter dans ta conf ssh
la directive AllowGroups sysadmin

Zo

--
Richard VENNE
IT Administrator

Administrateur réseaux système & sécurité
Afin de respecter de l'environnement, merci de n'imprimer
cet email qu'en cas de nécessité absolue.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
debian-user-french-REQUEST@lists.debian.org
<mailto:debian-user-french-REQUEST@lists.debian.org>
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org <mailto:listmaster@lists.debian.org>

--
http://www.gnu.org/philosophy/no-word-attachments.fr.html
-
El Hadji Malick GUEYE
Tel: +221 77 548 18 48
website: http://malick.gueye.net
email: malickATgueye.net

Ils m'ont demandé d'installer Windows ou mieux, ... alors j'ai
installé Linux :-)

--
Richard VENNE
IT Administrator

Administrateur réseaux système & sécurité
Afin de respecter de l'environnement, merci de n'imprimer
cet email qu'en cas de nécessité absolue.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

El Hadji Malick Gueye a écrit :

>on peut aussi limiter les accès root sur les ptty,
En quoi faisant?

tu peux jouer avec /etc/security et les modules pam.d

Achton ! à la moindre bêtise, la santion est immédiate, et peut etre
irrévocables. il faut ouvrir des consoles supplémentaires à coté au cas
ou ca tourne au vinaigre. il est préférable de faire ca sur une machine
dont tu as accès physique ...

Le 7 août 2008 10:36, rvenne
<mailto: a écrit :

Zoser BIZIKI wrote:

El Hadji Malick Gueye a écrit :

Bonjour Alexandre ,
Le fichier caché bash_history qui se trouve sur le
répertoire personnel de chaque utilisateur devrait
t'aider. Il répertorie toutes les commande tapée par
l'utilisateur correspondant.

y a la gruge bien connue, est de backup sa bash_history, diriger
le fichier dans /dev/null, faires ses conneries, puis restorer le
fichier. on ne pourra jamais prouver qu'il a fait ce qu'il a fait.

Dans ce genre de cas aussi je te suggère de limiter l'
"accès direct" sur ce serveur en utilisant un compte "root".

on peut aussi limiter les accès root sur les ptty,

Ainsi les chaque user se connectera d'abord avec son
propre login puis une fois connecter il pourra passer en
root s'il veut. Celà te permettra aussi d'avoir une
traçabilité par rapport aux connexions (qui? quand? comment?).
Pour ça, il te suffira d'étiter le fichier
/etc/ssh/sshd_config et modifier les valeurs de ces deux
directives:

[...]
PermitRootLogin no
AllowUsers user1 user2 user2 user4
[...]

tu peux aussi créer un groupe par exemple sysadmin dans lequel
tu mettras user1 user2 ... user4 et rajouter dans ta conf ssh
la directive AllowGroups sysadmin

Zo

--
Richard VENNE
IT Administrator

Administrateur réseaux système & sécurité
Afin de respecter de l'environnement, merci de n'imprimer
cet email qu'en cas de nécessité absolue.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to

<mailto:
with a subject of "unsubscribe". Trouble? Contact
<mailto:

--
http://www.gnu.org/philosophy/no-word-attachments.fr.html
-
El Hadji Malick GUEYE
Tel: +221 77 548 18 48
website: http://malick.gueye.net
email: malickATgueye.net

Ils m'ont demandé d'installer Windows ou mieux, ... alors j'ai
installé Linux :-)

--
Richard VENNE
IT Administrator

Administrateur réseaux système & sécurité
Afin de respecter de l'environnement, merci de n'imprimer
cet email qu'en cas de nécessité absolue.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Logger mes sessions SSH

7 réponses

Veuillez sélectionner un problème