SSH : autoriser root seulement en local

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Franck Joncourt wrote:

Jean-Yves F. Barbier wrote:

Le dimanche 11 février 2007 18:19, Franck Joncourt a écrit :

De Leeuw Guy wrote:

Bonjour

Interdire le root login mais autoriser une connection par clefs
Guy

Je pense que autoriser le login root est beaucoup trop dangereux, meme
avec une clef publique.

Avec quelqu'un de mal intentionne sur le resau local, on est pas a
l'abris d'une "replay attack".

Faux, sinon la politique Debian n'aurait pas précédemment
changée "PermitRootLogin" de "no" vers "yes".

JY

Et bien j'ai fait quelques recherches et j'en deduis que j'avais tord.
L'authentification par clef publique semble tout a fait fiable (a
l'exception d'une vulnerabilite face aux attaques de types MITM -
http://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu).

Desole pour le bruit mais on apprend tous les jours :)

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFz41PxJBTTnXAif4RAr4zAJ9ikWO0bu6gSAV4pDRwHoYdRqQNQACgh8sT
nITU8tMU/hqhEJ01j7QWW+8 =J+Ug
-----END PGP SIGNATURE-----




___________________________________________________________
All new Yahoo! Mail "The new Interface is stunning in its simplicity and ease of use." - PC Magazine
http://uk.docs.yahoo.com/nowyoucan.html


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le dimanche 11 février 2007 20:32, Franck Joncourt a écrit :

Michel Grentzinger wrote:
> [...]
> Réseau domestique...
> Donc j'interdis le login root mais je requiers une connexion par clà ©,
> c'est bien ça ?
> J'aurais accès au root directement ?
[...]
Cela devrait pouvoir te permettre de te logguer avec un mot de passe
pour les utilisateurs classiques et uniquement par clef publique pour
l'utilisateur root.

Y aurait-il quelqu'un dans l'assistance avec une telle configuration ?

oui :
PermitRootLogin without-password
et configuration traditionelle pour les clefs publiques/privées.

Cela fonctionne, mais c'est « MAL » pour tous les jours.
Il vaut de loin mieux faire « sudo » ; AMHA en dehors de la quest ion «
sécurité » c'est une question de « bonnes pratiques ¹ » (c'est le « IT² » qui
parle).

J'ai utilisé cette configuration comme « fail-safe ».

[...]

Si vous persistez dans cette voie (et pour éviter de taper un mot de p asse
déjà que l'on ne tape plus sudo), il existe libpam-ssh pour charg er sa clef
privée dans un agent au login ([gdx]dm par exemple) à l'aide du m ot de passe
saisi.

Personnellement, je préfère éviter de taper mon mot de passe 2x³ avec
libpam-ssh et taper « sudo -s » plustôt que l'inverse (taper le mot de passe
root et pas « sudo -s »).

HS: a quand un module PAM pour utiliser l'agent ssh et faire sudo avec clef
publique/privée ?


¹: les effets se font ressentir à long-terme même si on ne c omprends pas
toujours pourquoi au début ;-)
²: http://en.wikipedia.org/wiki/It_crowd
³: 1x pour « ssh user@host » et 1x pour « sudo -s »

Cordialement,
--
Eric DÉCORNOD
Ingénieur d'Études
SCICS - Faculté des Sciences
Université Henri Poincaré

Le lundi 12 février 2007 11:15, Eric DECORNOD a écrit :

Le dimanche 11 février 2007 20:32, Franck Joncourt a écrit  :
> Michel Grentzinger wrote:
> > [...]

oui :
PermitRootLogin without-password
et configuration traditionelle pour les clefs publiques/privées.

Cela fonctionne, mais c'est « MAL » pour tous les jours.

<mode baby Troll>

Pourquoi????

C'est au contraire bien plus sécurisé qu'un password, du fait que même
les clés ne sont pas échangées, mais seulement leurs reprà ©sentations.

Par ailleurs les spécialistes sécurité estiment, pour une ma jorité, que si
un attaquant a déjà réussi à subtiliser un login pour u n user normal, il-y-a
énormément de chances pour qu'il finisse par se loger en root

Mais évidemment, si tu laisses sans surveillance une station logé e sous
root....

</mode baby Troll>

JY

Le lundi 12 février 2007 13:45, Jean-Yves F. Barbier a écrit  :

> > > [...]
> oui :
> PermitRootLogin without-password
> et configuration traditionelle pour les clefs publiques/privées.
>
> Cela fonctionne, mais c'est « MAL » pour tous les jours.
<mode baby Troll>

s/baby//g

Pourquoi????

C'est au contraire bien plus sécurisé qu'un password, du fait q ue même
les clés ne sont pas échangées, mais seulement leurs repr ésentations.

Absoluement, je préfère de loin le challenge-response au plaintex t.
Je rêve même de la configuration où ta clef privée rest e sur clef USB et est
chargée/déchargée à l'insertion/suppression de cette de rnière.

Par ailleurs les spécialistes sécurité estiment, pour une majorité, que si
un attaquant a déjà réussi à subtiliser un login pour un user normal,
il-y-a énormément de chances pour qu'il finisse par se loger en root

Et à fortiori si le user en question est sudoer...

Mais évidemment, si tu laisses sans surveillance une station logà ©e sous
root....

C'est bien là la teneur de mes propos :
Je soutiens que c'est « MAL » non pas pour des raison techniques ou
sécuritaires, mais pour des questions d'« usage » (de la m ême façon que
manger au dessus de son clavier c'est MAL ;-) ).

Je m'explique : à se logguer en root on prends de mauvaise habitudes.
Plus l'habitude court, plus la « faignantise » s'installe et moin s on fait
attention à ce que l'on fait. Et c'est à ce moment là que le doigt glisse de
la touche * vers entrée (les deux sont côte à côte) et que les accidents
arrivent.

En utilisant « sudo » on fait bien la distinction ente ce qui req uiert les
droits root et le reste.

De plus sudo consigne les actions, ce qui est judicieux dès lors que
l'administration se fait à plusieurs (<troll>« quel est le x#!@ q ui a
remplacé les flèches par "hjkl sont tes nouveaux amis" »</tr oll>).

</mode baby Troll>
JY

Cordialement,
--
Eric DÉCORNOD
Ingénieur d'Études
SCICS - Faculté des Sciences
Université Henri Poincaré

Le lundi 12 février 2007 15:27, Eric DECORNOD a écrit :

Le lundi 12 février 2007 13:45, Jean-Yves F. Barbier a écrit  :
> > > > [...]

Absoluement, je préfère de loin le challenge-response au plaint ext.
Je rêve même de la configuration où ta clef privée re ste sur clef USB et
est chargée/déchargée à l'insertion/suppression de ce tte dernière.

Ca, ça devrait être possible sans trop de PB (montage auto de la clé
à l'insertion + symlink de '/root/.ssh' pointant vers un DIR de la cl é)

.......
Je m'explique : à se logguer en root on prends de mauvaise habitudes.
Plus l'habitude court, plus la « faignantise » s'installe et mo ins on
fait attention à ce que l'on fait. Et c'est à ce moment là que le doigt
glisse de la touche * vers entrée (les deux sont côte à c ôte) et que les
accidents arrivent.

Oui, et non...

Je m'explique: tant que ça n'est que du $user à modifier, c'est O k;
par contre, si c'est systématiquement du system, là tu n'as pas le
choix (Ex: les modifs que je fais sur mon firewall ou sur mon serveur
sont *toujours* des modifs system (règle iptables, modifs de samba,
etc...), donc c'est plus rapide de se loger en root.)

Pour conclure, c'est de la responsabilité de l'admin de savoir s'il
prend cette décision... et les précautions qui s'imposent.

Il m'est plus souvent arrivé de faire des conneries en me trompant
de console (console 2 en ssh sur un autre micro où tu crois être,
alors que tu es en console 1, et vice-versa) que de faire des erreurs
parce que j'étais root.

...
De plus sudo consigne les actions, ce qui est judicieux dès lors que
l'administration se fait à plusieurs (<troll>« quel est le x#!@ qui a
remplacé les flèches par "hjkl sont tes nouveaux amis" »</ troll>).

Là, effectivement, je suis d'accord avec toi, pas question de loger
directement en root!

Cordialement,

JY

Le lundi 12 février 2007 15:40, Jean-Yves F. Barbier a écrit  :

[...]
> Je m'explique : à se logguer en root on prends de mauvaise habitud es.
> Plus l'habitude court, plus la « faignantise » s'installe et moins on
> fait attention à ce que l'on fait. Et c'est à ce moment là   que le doigt
> glisse de la touche * vers entrée (les deux sont côte à côte) et que les
> accidents arrivent.
Oui, et non...

Je m'explique: tant que ça n'est que du $user à modifier, c'est Ok;
par contre, si c'est systématiquement du system, là tu n'as pas le
choix (Ex: les modifs que je fais sur mon firewall ou sur mon serveur
sont *toujours* des modifs system (règle iptables, modifs de samba,
etc...), donc c'est plus rapide de se loger en root.)

Je le concède, je suis le premier à me loguer en root dans ce cas
(il m'est arrivé de ne créer aucun compte utilisateur).

Pour conclure, c'est de la responsabilité de l'admin de savoir s'il
prend cette décision... et les précautions qui s'imposent.

Je reconnais que j'y vais un peu fort en disant « c'est MAL », ma is c'est pour
moi une façon de me rappeler justement ces fameuses « précau tions qui
s'imposent »
(<flagellation>tout comme sudo qui me fait ch#@! à chaque fois qu'il m e
demande mon mot de passe de 25 caractères</flagellation>).

Il y a d'autres méthodes comme se dire que « chaque fois qu'on se logue en
root pour rien, dieu tue un chat, pensez aux chats ».

Il m'est plus souvent arrivé de faire des conneries en me trompant
de console (console 2 en ssh sur un autre micro où tu crois êtr e,
alors que tu es en console 1, et vice-versa) que de faire des erreurs
parce que j'étais root.

# reboot...(attente trop longue) connection closed blabla... « eh merd e »
C'est du vécu aussi ça...

>...
> De plus sudo consigne les actions, ce qui est judicieux dès lors q ue
> l'administration se fait à plusieurs (<troll>« quel est le x# !@ qui a
> remplacé les flèches par "hjkl sont tes nouveaux amis" » </troll>).
Là, effectivement, je suis d'accord avec toi, pas question de loger
directement en root!

Et pourtant on le fait si souvent...
En fait il faudrait assigner un shell qui consigne dans les journaux pour l es
ssh root@xxx par défaut ; je crois que c'est possible avec les options
du .ssh/authorized_keys mais je n'ai jamais testé.

Cordialement,
JY

Cordialement,
--
Eric DÉCORNOD
Ingénieur d'Études
SCICS - Faculté des Sciences
Université Henri Poincaré

Le lundi 12 février 2007 16:39, Eric DECORNOD a écrit :

Le lundi 12 février 2007 15:40, Jean-Yves F. Barbier a écrit  :
> [...]

Je le concède, je suis le premier à me loguer en root dans ce c as
(il m'est arrivé de ne créer aucun compte utilisateur).

Alors CA, CA c'est TT mal !!!
Mon fils, vous direz 50 "je vous salut init" et 30 '"l'ext2 est mon berger".

> Pour conclure, c'est de la responsabilité de l'admin de savoir s'il
> prend cette décision... et les précautions qui s'imposent.

Je reconnais que j'y vais un peu fort en disant « c'est MAL », mais c'est
pour moi une façon de me rappeler justement ces fameuses « pr écautions
qui s'imposent »
(<flagellation>tout comme sudo qui me fait ch#@! à chaque fois qu'il me
demande mon mot de passe de 25 caractères</flagellation>).

pas suffisant: <flagellation au sumac vénéneux + barbelés ro uillés>

Il y a d'autres méthodes comme se dire que « chaque fois qu'on se logue
en root pour rien, dieu tue un chat, pensez aux chats ».

dommage qu'il ne tue pas un con, je n'aurais plus que des comptes root
(quoiqu'on soit toujours le con de quelqu'un :)

> >...

> > De plus sudo consigne les actions, ce qui est judicieux dès lors que
> > l'administration se fait à plusieurs (<troll>« quel est le x#!@ qui a
> > remplacé les flèches par "hjkl sont tes nouveaux amis"  »</troll>).
>
> Là, effectivement, je suis d'accord avec toi, pas question de loger
> directement en root!

Et pourtant on le fait si souvent...
En fait il faudrait assigner un shell qui consigne dans les journaux pour
les ssh root@xxx par défaut ; je crois que c'est possible avec les
options du .ssh/authorized_keys mais je n'ai jamais testé.

C'est une idée à creuser, et je vais regarder ça de prè s.

Cordialement ,
JY

Jean-Yves F. Barbier wrote:

<mode baby Troll>

Pourquoi????

C'est au contraire bien plus sécurisé qu'un password, du fait que même
les clés ne sont pas échangées, mais seulement leurs représentations.

Par ailleurs les spécialistes sécurité estiment, pour une majorité, que si
un attaquant a déjà réussi à subtiliser un login pour un user normal, il-y-a
énormément de chances pour qu'il finisse par se loger en root

Faut plus lancer Apache alors? (ni rien d'autre, à part vi :).

le principe de bon sens retenu en général est la "defense in depth", et
une de ses conséquences: minimiser les privilèges donnés à quoi/qui que
ce soit. D'accord, ça ne suffit pas à rendre un système sécurisé, mais
ça aide un peu.


D'autre part, laisser l'accès à root pose le problème de la machine
client: du coup, on a besoin de la rendre plus sûre qu'on n'en a envie
(surtout avec un windows ou un virus peut choper les mots de passe. bien
sur, un keylogger peut aussi recuperer toutes les infos, mais c'est plus
dur car il doit prévoir quand tu fais "su"... etc).



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org