c'est quoi la difference entre
PermitRootLogin no
et AllowUsers sans root dedans ?
(pour root bien sur :-) )
La doc (man sshd_config) est claire sur le sujet :
est ce que PermitRootLogin ca empeche de faire su root ou sudo apres ?
d'autres differences ?
c'est quoi la difference entre
PermitRootLogin no
et AllowUsers sans root dedans ?
(pour root bien sur :-) )
La doc (man sshd_config) est claire sur le sujet :
est ce que PermitRootLogin ca empeche de faire su root ou sudo apres ?
d'autres differences ?
c'est quoi la difference entre
PermitRootLogin no
et AllowUsers sans root dedans ?
(pour root bien sur :-) )
La doc (man sshd_config) est claire sur le sujet :
est ce que PermitRootLogin ca empeche de faire su root ou sudo apres ?
d'autres differences ?
*Bonjour*,
Le 17 nov 2004, Thomas a formulé :c'est quoi la difference entre
PermitRootLogin no
et AllowUsers sans root dedans ?
(pour root bien sur :-) )
La doc (man sshd_config) est claire sur le sujet :
- si il existe un paramètre AllowUsers, aucun autre utilisateur que ceux
présent dans la liste ne peut se logguer
- si PermitRootLogin est à "no" root n'est pas autoriser à se logguer par
ssh, ça évite à remplir AllowUsers sans root s'il y a beaucoup
d'utilisateurs
PermitRootLogin peut aussi permettre d'autre possibilités comme autoriser le
lancement de commandes, ou désactiver l'accès par mot de passe.
est ce que PermitRootLogin ca empeche de faire su root ou sudo apres ?
Bien sûr, une fois qu'un utilisateur est loggué, il peut ensuite faire «su».
Pour sudo, il faut bien sûr paramétrer sudoers.
Pour ma part, je trouve logique de désactiver l'accès root sur une
passerelle (par exemple), aussi il vaut mieux ensuite passer par su et ne
pas avoir de sudoer ce qui pourrait affaiblir la sécurité.
De même une autre mesure est de supprimer les accès par mot de passe et de
configurer les accès par clé (authorised_key) uniquement pour rentrer sur
cette passerelle.
d'autres differences ?
?
*Bonjour*,
Le 17 nov 2004, Thomas a formulé :
c'est quoi la difference entre
PermitRootLogin no
et AllowUsers sans root dedans ?
(pour root bien sur :-) )
La doc (man sshd_config) est claire sur le sujet :
- si il existe un paramètre AllowUsers, aucun autre utilisateur que ceux
présent dans la liste ne peut se logguer
- si PermitRootLogin est à "no" root n'est pas autoriser à se logguer par
ssh, ça évite à remplir AllowUsers sans root s'il y a beaucoup
d'utilisateurs
PermitRootLogin peut aussi permettre d'autre possibilités comme autoriser le
lancement de commandes, ou désactiver l'accès par mot de passe.
est ce que PermitRootLogin ca empeche de faire su root ou sudo apres ?
Bien sûr, une fois qu'un utilisateur est loggué, il peut ensuite faire «su».
Pour sudo, il faut bien sûr paramétrer sudoers.
Pour ma part, je trouve logique de désactiver l'accès root sur une
passerelle (par exemple), aussi il vaut mieux ensuite passer par su et ne
pas avoir de sudoer ce qui pourrait affaiblir la sécurité.
De même une autre mesure est de supprimer les accès par mot de passe et de
configurer les accès par clé (authorised_key) uniquement pour rentrer sur
cette passerelle.
d'autres differences ?
?
*Bonjour*,
Le 17 nov 2004, Thomas a formulé :c'est quoi la difference entre
PermitRootLogin no
et AllowUsers sans root dedans ?
(pour root bien sur :-) )
La doc (man sshd_config) est claire sur le sujet :
- si il existe un paramètre AllowUsers, aucun autre utilisateur que ceux
présent dans la liste ne peut se logguer
- si PermitRootLogin est à "no" root n'est pas autoriser à se logguer par
ssh, ça évite à remplir AllowUsers sans root s'il y a beaucoup
d'utilisateurs
PermitRootLogin peut aussi permettre d'autre possibilités comme autoriser le
lancement de commandes, ou désactiver l'accès par mot de passe.
est ce que PermitRootLogin ca empeche de faire su root ou sudo apres ?
Bien sûr, une fois qu'un utilisateur est loggué, il peut ensuite faire «su».
Pour sudo, il faut bien sûr paramétrer sudoers.
Pour ma part, je trouve logique de désactiver l'accès root sur une
passerelle (par exemple), aussi il vaut mieux ensuite passer par su et ne
pas avoir de sudoer ce qui pourrait affaiblir la sécurité.
De même une autre mesure est de supprimer les accès par mot de passe et de
configurer les accès par clé (authorised_key) uniquement pour rentrer sur
cette passerelle.
d'autres differences ?
?
Sebastien Kirche écrivait :c'est quoi la difference entre
PermitRootLogin no
et AllowUsers sans root dedans ?
La doc (man sshd_config) est claire sur le sujet :
- si il existe un paramètre AllowUsers, aucun autre utilisateur que
ceux présent dans la liste ne peut se logguer - si PermitRootLogin est
à "no" root n'est pas autoriser à se logguer par ssh, ça évite à
remplir AllowUsers sans root s'il y a beaucoup d'utilisateurs
autrement dit,
PermitRootLogin no
c'est l'equivalent absolu de
DenyUsers root
?
Sebastien Kirche écrivait :
c'est quoi la difference entre
PermitRootLogin no
et AllowUsers sans root dedans ?
La doc (man sshd_config) est claire sur le sujet :
- si il existe un paramètre AllowUsers, aucun autre utilisateur que
ceux présent dans la liste ne peut se logguer - si PermitRootLogin est
à "no" root n'est pas autoriser à se logguer par ssh, ça évite à
remplir AllowUsers sans root s'il y a beaucoup d'utilisateurs
autrement dit,
PermitRootLogin no
c'est l'equivalent absolu de
DenyUsers root
?
Sebastien Kirche écrivait :c'est quoi la difference entre
PermitRootLogin no
et AllowUsers sans root dedans ?
La doc (man sshd_config) est claire sur le sujet :
- si il existe un paramètre AllowUsers, aucun autre utilisateur que
ceux présent dans la liste ne peut se logguer - si PermitRootLogin est
à "no" root n'est pas autoriser à se logguer par ssh, ça évite à
remplir AllowUsers sans root s'il y a beaucoup d'utilisateurs
autrement dit,
PermitRootLogin no
c'est l'equivalent absolu de
DenyUsers root
?
Dans le message
<news:,
*Thomas* tapota sur f.c.o.unix :Sebastien Kirche écrivait :c'est quoi la difference entre
PermitRootLogin no
et AllowUsers sans root dedans ?
La doc (man sshd_config) est claire sur le sujet :
- si il existe un paramètre AllowUsers, aucun autre utilisateur que
ceux présent dans la liste ne peut se logguer - si PermitRootLogin est
à "no" root n'est pas autoriser à se logguer par ssh, ça évite à
remplir AllowUsers sans root s'il y a beaucoup d'utilisateurs
autrement dit,
PermitRootLogin no
c'est l'equivalent absolu de
DenyUsers root
?
Non.
La directive 'PermitRootLogin no' interdit à tous les utilisateurs dont leur
uid serait 0, de se logger, donc pas que nécéssairement l'utilisateur root,
mais aussi l'utilisateur toor (sur les *BSD) ou plus généralement les
comptes super utilisateur.
Quant à la directive 'DenyUsers root', elle interdit uniquement à
l'utilisateur nommé root de se logger, mais n'empêcherait pas, par exemple,
à l'utilisateur w00t dont l'uid serait 0, de se logger.
Dans le message
<news:fantome.forums.tDeContes-168E29.08563417112004@news11-e.proxad.net>,
*Thomas* tapota sur f.c.o.unix :
Sebastien Kirche écrivait :
c'est quoi la difference entre
PermitRootLogin no
et AllowUsers sans root dedans ?
La doc (man sshd_config) est claire sur le sujet :
- si il existe un paramètre AllowUsers, aucun autre utilisateur que
ceux présent dans la liste ne peut se logguer - si PermitRootLogin est
à "no" root n'est pas autoriser à se logguer par ssh, ça évite à
remplir AllowUsers sans root s'il y a beaucoup d'utilisateurs
autrement dit,
PermitRootLogin no
c'est l'equivalent absolu de
DenyUsers root
?
Non.
La directive 'PermitRootLogin no' interdit à tous les utilisateurs dont leur
uid serait 0, de se logger, donc pas que nécéssairement l'utilisateur root,
mais aussi l'utilisateur toor (sur les *BSD) ou plus généralement les
comptes super utilisateur.
Quant à la directive 'DenyUsers root', elle interdit uniquement à
l'utilisateur nommé root de se logger, mais n'empêcherait pas, par exemple,
à l'utilisateur w00t dont l'uid serait 0, de se logger.
Dans le message
<news:,
*Thomas* tapota sur f.c.o.unix :Sebastien Kirche écrivait :c'est quoi la difference entre
PermitRootLogin no
et AllowUsers sans root dedans ?
La doc (man sshd_config) est claire sur le sujet :
- si il existe un paramètre AllowUsers, aucun autre utilisateur que
ceux présent dans la liste ne peut se logguer - si PermitRootLogin est
à "no" root n'est pas autoriser à se logguer par ssh, ça évite à
remplir AllowUsers sans root s'il y a beaucoup d'utilisateurs
autrement dit,
PermitRootLogin no
c'est l'equivalent absolu de
DenyUsers root
?
Non.
La directive 'PermitRootLogin no' interdit à tous les utilisateurs dont leur
uid serait 0, de se logger, donc pas que nécéssairement l'utilisateur root,
mais aussi l'utilisateur toor (sur les *BSD) ou plus généralement les
comptes super utilisateur.
Quant à la directive 'DenyUsers root', elle interdit uniquement à
l'utilisateur nommé root de se logger, mais n'empêcherait pas, par exemple,
à l'utilisateur w00t dont l'uid serait 0, de se logger.
en l'occurence, puisque toor existe, DenyUsers root le permet ?
et plus generalement, c'est possible autant qu'on veut, de creer des
"alias" cad des utilisateurs "differents" qui ont le meme nom, qui
seraient en fait le meme utilisateur pour la machine ?
et dans ce cas, donc, DenyUsers est dangereux parce qu'il faut penser à
les lister tous pour que ca marche ?
en l'occurence, puisque toor existe, DenyUsers root le permet ?
et plus generalement, c'est possible autant qu'on veut, de creer des
"alias" cad des utilisateurs "differents" qui ont le meme nom, qui
seraient en fait le meme utilisateur pour la machine ?
et dans ce cas, donc, DenyUsers est dangereux parce qu'il faut penser à
les lister tous pour que ca marche ?
en l'occurence, puisque toor existe, DenyUsers root le permet ?
et plus generalement, c'est possible autant qu'on veut, de creer des
"alias" cad des utilisateurs "differents" qui ont le meme nom, qui
seraient en fait le meme utilisateur pour la machine ?
et dans ce cas, donc, DenyUsers est dangereux parce qu'il faut penser à
les lister tous pour que ca marche ?
Dans le message
<news:,
*Thomas* tapota sur f.c.o.unix :en l'occurence, puisque toor existe, DenyUsers root le permet ?
Je n'ai pas compris votre question.
et plus generalement, c'est possible autant qu'on veut, de creer des
"alias" cad des utilisateurs "differents" qui ont le meme nom, qui
seraient en fait le meme utilisateur pour la machine ?
Je n'ai pas compris non plus. Des utilisateurs différents mais qui ont le
même nom et qui seraient le même utilisateur ?! Vous vouliez peut être
parler d'utilisateurs différents mais avec le même uid ?
Avez-vous un exemple concret de ce que vous voulez dire ?
et dans ce cas, donc, DenyUsers est dangereux parce qu'il faut penser à
les lister tous pour que ca marche ?
Je recommande généralement de n'utiliser que la directive AllowFroups. Par
exemple :
AllowGroups sshd
Ainsi, seuls les utilisateurs membres du groupe sshd sont autorisés à se
logger.
Dans le message
<news:fantome.forums.tDeContes-E5D293.15444417112004@news11-e.proxad.net>,
*Thomas* tapota sur f.c.o.unix :
en l'occurence, puisque toor existe, DenyUsers root le permet ?
Je n'ai pas compris votre question.
et plus generalement, c'est possible autant qu'on veut, de creer des
"alias" cad des utilisateurs "differents" qui ont le meme nom, qui
seraient en fait le meme utilisateur pour la machine ?
Je n'ai pas compris non plus. Des utilisateurs différents mais qui ont le
même nom et qui seraient le même utilisateur ?! Vous vouliez peut être
parler d'utilisateurs différents mais avec le même uid ?
Avez-vous un exemple concret de ce que vous voulez dire ?
et dans ce cas, donc, DenyUsers est dangereux parce qu'il faut penser à
les lister tous pour que ca marche ?
Je recommande généralement de n'utiliser que la directive AllowFroups. Par
exemple :
AllowGroups sshd
Ainsi, seuls les utilisateurs membres du groupe sshd sont autorisés à se
logger.
Dans le message
<news:,
*Thomas* tapota sur f.c.o.unix :en l'occurence, puisque toor existe, DenyUsers root le permet ?
Je n'ai pas compris votre question.
et plus generalement, c'est possible autant qu'on veut, de creer des
"alias" cad des utilisateurs "differents" qui ont le meme nom, qui
seraient en fait le meme utilisateur pour la machine ?
Je n'ai pas compris non plus. Des utilisateurs différents mais qui ont le
même nom et qui seraient le même utilisateur ?! Vous vouliez peut être
parler d'utilisateurs différents mais avec le même uid ?
Avez-vous un exemple concret de ce que vous voulez dire ?
et dans ce cas, donc, DenyUsers est dangereux parce qu'il faut penser à
les lister tous pour que ca marche ?
Je recommande généralement de n'utiliser que la directive AllowFroups. Par
exemple :
AllowGroups sshd
Ainsi, seuls les utilisateurs membres du groupe sshd sont autorisés à se
logger.
puisque toor existe, "DenyUsers root" permet qu'on se logue en root à
condition d'indiquer toor au lieu de root ?
si par ex on fait toto avec un uid, et titi avec le meme uid,
ben pour le systeme, toto et titi c'est le meme utilisateur, puisque
c'est l'uid qui compte, non ?
et dans ce cas, "DenyUsers toto" ca sert à rien, puisque on peut tjr se
logger en titi et avoir les meme droits ?
(sauf si la personne exterieure n'a pas connaissance du nom titi)
puisque toor existe, "DenyUsers root" permet qu'on se logue en root à
condition d'indiquer toor au lieu de root ?
si par ex on fait toto avec un uid, et titi avec le meme uid,
ben pour le systeme, toto et titi c'est le meme utilisateur, puisque
c'est l'uid qui compte, non ?
et dans ce cas, "DenyUsers toto" ca sert à rien, puisque on peut tjr se
logger en titi et avoir les meme droits ?
(sauf si la personne exterieure n'a pas connaissance du nom titi)
puisque toor existe, "DenyUsers root" permet qu'on se logue en root à
condition d'indiquer toor au lieu de root ?
si par ex on fait toto avec un uid, et titi avec le meme uid,
ben pour le systeme, toto et titi c'est le meme utilisateur, puisque
c'est l'uid qui compte, non ?
et dans ce cas, "DenyUsers toto" ca sert à rien, puisque on peut tjr se
logger en titi et avoir les meme droits ?
(sauf si la personne exterieure n'a pas connaissance du nom titi)
Dans le message
<news:,
*Thomas* tapota sur f.c.o.unix :puisque toor existe, "DenyUsers root" permet qu'on se logue en root à
condition d'indiquer toor au lieu de root ?
'DenyUsers root' interdit à l'utilisateur qui se nomme root, de se logger
mais n'empêche pas à l'utilisateur qui se nomme toor de se logger même si
toor a le même uid que root. La distinction se fait bien au niveau du nom de
login et non pas au niveau de l'uid, contrairement à la directive
PermitRootLogin qui se fie qu'à l'uid.
si par ex on fait toto avec un uid, et titi avec le meme uid,
ben pour le systeme, toto et titi c'est le meme utilisateur, puisque
c'est l'uid qui compte, non ?
Oui et non. Pour le système d'authentification, c'est deux utilisateurs
distincts et donc les règles de filtrage qui s'appliqueraient à
l'utilisateur toto lors de l'authentification ne s'appliqueraient pas
obligatoirement à l'utilisateur titi. Après la phase d'authentification, ces
deux utilisateurs ayant le même uid, sont vu par le système avec le même uid
mais peuvent avoir des droits différents (gid par exemple) mais aussi un
environnement différent (shell, boite mail, répertoire home, ...). Il n'y a
donc pas que l'uid qui compte même s'il définit en général et en grand
partie les droits que possèdent ces utilisateurs.
Dans le message
<news:fantome.forums.tDeContes-3127A0.20110617112004@news11-e.proxad.net>,
*Thomas* tapota sur f.c.o.unix :
puisque toor existe, "DenyUsers root" permet qu'on se logue en root à
condition d'indiquer toor au lieu de root ?
'DenyUsers root' interdit à l'utilisateur qui se nomme root, de se logger
mais n'empêche pas à l'utilisateur qui se nomme toor de se logger même si
toor a le même uid que root. La distinction se fait bien au niveau du nom de
login et non pas au niveau de l'uid, contrairement à la directive
PermitRootLogin qui se fie qu'à l'uid.
si par ex on fait toto avec un uid, et titi avec le meme uid,
ben pour le systeme, toto et titi c'est le meme utilisateur, puisque
c'est l'uid qui compte, non ?
Oui et non. Pour le système d'authentification, c'est deux utilisateurs
distincts et donc les règles de filtrage qui s'appliqueraient à
l'utilisateur toto lors de l'authentification ne s'appliqueraient pas
obligatoirement à l'utilisateur titi. Après la phase d'authentification, ces
deux utilisateurs ayant le même uid, sont vu par le système avec le même uid
mais peuvent avoir des droits différents (gid par exemple) mais aussi un
environnement différent (shell, boite mail, répertoire home, ...). Il n'y a
donc pas que l'uid qui compte même s'il définit en général et en grand
partie les droits que possèdent ces utilisateurs.
Dans le message
<news:,
*Thomas* tapota sur f.c.o.unix :puisque toor existe, "DenyUsers root" permet qu'on se logue en root à
condition d'indiquer toor au lieu de root ?
'DenyUsers root' interdit à l'utilisateur qui se nomme root, de se logger
mais n'empêche pas à l'utilisateur qui se nomme toor de se logger même si
toor a le même uid que root. La distinction se fait bien au niveau du nom de
login et non pas au niveau de l'uid, contrairement à la directive
PermitRootLogin qui se fie qu'à l'uid.
si par ex on fait toto avec un uid, et titi avec le meme uid,
ben pour le systeme, toto et titi c'est le meme utilisateur, puisque
c'est l'uid qui compte, non ?
Oui et non. Pour le système d'authentification, c'est deux utilisateurs
distincts et donc les règles de filtrage qui s'appliqueraient à
l'utilisateur toto lors de l'authentification ne s'appliqueraient pas
obligatoirement à l'utilisateur titi. Après la phase d'authentification, ces
deux utilisateurs ayant le même uid, sont vu par le système avec le même uid
mais peuvent avoir des droits différents (gid par exemple) mais aussi un
environnement différent (shell, boite mail, répertoire home, ...). Il n'y a
donc pas que l'uid qui compte même s'il définit en général et en grand
partie les droits que possèdent ces utilisateurs.
