J'ai relevé dans /var/log/messages des tentatives de connexion
sur mon ordinateur par ssh, plusieurs utilisateurs sont essayés,
test, guest, admin, etc...
Apparament j'ai un certain nombre d'utilisateur qui on été
créé lors de l'installation de la Mandrake 10. notament :
bin,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,operator,
games,nobody,rpm,vcsa,rpc,xfs,apache,rpcuser,ftp,mysql,
postgres, etc...
Je n'ai jamais configuré aucun mot de passe pour ces comptes,
il semble que pour certain des shells soient associés.
il y t'il un risque de pénétration de mon système avec l'un de ces
comptes ?.
Comment peut ont interdire la connexion à ces comptes ?
Peut on supprimer les shells de connexions qui leurs sont
associés ?.
Je ne souhaite pas supprimer ssh, c'est le seul moyen que
j'ai pour me connecter à distance (j'ai limité les ports
par un firewall).
J'ai relevé dans /var/log/messages des tentatives de connexion sur mon ordinateur par ssh, plusieurs utilisateurs sont essayés, test, guest, admin, etc... Apparament j'ai un certain nombre d'utilisateur qui on été créé lors de l'installation de la Mandrake 10. notament : bin,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,operator, games,nobody,rpm,vcsa,rpc,xfs,apache,rpcuser,ftp,mysql, postgres, etc... Je n'ai jamais configuré aucun mot de passe pour ces comptes, il semble que pour certain des shells soient associés.
Normal, ce sont des comptes par défaut. A part postgres, rares sont ceux qui doivent disposer d'un mot de passe par défaut: du coup, ils sont généralement désactivés au niveau login.
il y t'il un risque de pénétration de mon système avec l'un de ces comptes ?. Comment peut ont interdire la connexion à ces comptes ? Peut on supprimer les shells de connexions qui leurs sont associés ?.
Pas forcément: faut bien comprendre à quoi servent ces comptes avant. Certains ont effectivement bien besoin de disposer d'un shell ponctuellement. Il est assez rare qu'une distribution crée des comptes avec un shell sans raison particulière ou besoin.
Je ne souhaite pas supprimer ssh, c'est le seul moyen que j'ai pour me connecter à distance (j'ai limité les ports par un firewall).
Généralement, je n'autorise que l'identification via clés privée/publique depuis l'extérieur. Sinon, tu peux limiter les utilisateurs ayant droit de se connecter via ssh.
-- Raphaël 'SurcouF' Bordet http://debianfr.net/ | surcouf at debianfr dot net
Rémi wrote:
Salut,
J'ai relevé dans /var/log/messages des tentatives de connexion
sur mon ordinateur par ssh, plusieurs utilisateurs sont essayés,
test, guest, admin, etc...
Apparament j'ai un certain nombre d'utilisateur qui on été
créé lors de l'installation de la Mandrake 10. notament :
bin,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,operator,
games,nobody,rpm,vcsa,rpc,xfs,apache,rpcuser,ftp,mysql,
postgres, etc...
Je n'ai jamais configuré aucun mot de passe pour ces comptes,
il semble que pour certain des shells soient associés.
Normal, ce sont des comptes par défaut. A part postgres, rares sont ceux
qui doivent disposer d'un mot de passe par défaut: du coup, ils sont
généralement désactivés au niveau login.
il y t'il un risque de pénétration de mon système avec l'un de ces
comptes ?.
Comment peut ont interdire la connexion à ces comptes ?
Peut on supprimer les shells de connexions qui leurs sont
associés ?.
Pas forcément: faut bien comprendre à quoi servent ces comptes avant.
Certains ont effectivement bien besoin de disposer d'un shell
ponctuellement. Il est assez rare qu'une distribution crée des comptes
avec un shell sans raison particulière ou besoin.
Je ne souhaite pas supprimer ssh, c'est le seul moyen que
j'ai pour me connecter à distance (j'ai limité les ports
par un firewall).
Généralement, je n'autorise que l'identification via clés
privée/publique depuis l'extérieur.
Sinon, tu peux limiter les utilisateurs ayant droit de se connecter via ssh.
--
Raphaël 'SurcouF' Bordet
http://debianfr.net/ | surcouf at debianfr dot net
J'ai relevé dans /var/log/messages des tentatives de connexion sur mon ordinateur par ssh, plusieurs utilisateurs sont essayés, test, guest, admin, etc... Apparament j'ai un certain nombre d'utilisateur qui on été créé lors de l'installation de la Mandrake 10. notament : bin,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,operator, games,nobody,rpm,vcsa,rpc,xfs,apache,rpcuser,ftp,mysql, postgres, etc... Je n'ai jamais configuré aucun mot de passe pour ces comptes, il semble que pour certain des shells soient associés.
Normal, ce sont des comptes par défaut. A part postgres, rares sont ceux qui doivent disposer d'un mot de passe par défaut: du coup, ils sont généralement désactivés au niveau login.
il y t'il un risque de pénétration de mon système avec l'un de ces comptes ?. Comment peut ont interdire la connexion à ces comptes ? Peut on supprimer les shells de connexions qui leurs sont associés ?.
Pas forcément: faut bien comprendre à quoi servent ces comptes avant. Certains ont effectivement bien besoin de disposer d'un shell ponctuellement. Il est assez rare qu'une distribution crée des comptes avec un shell sans raison particulière ou besoin.
Je ne souhaite pas supprimer ssh, c'est le seul moyen que j'ai pour me connecter à distance (j'ai limité les ports par un firewall).
Généralement, je n'autorise que l'identification via clés privée/publique depuis l'extérieur. Sinon, tu peux limiter les utilisateurs ayant droit de se connecter via ssh.
-- Raphaël 'SurcouF' Bordet http://debianfr.net/ | surcouf at debianfr dot net
Thunderheart
Je ne souhaite pas supprimer ssh, c'est le seul moyen que j'ai pour me connecter à distance (j'ai limité les ports par un firewall). tu peux déjà sécuriser ssh en effectuant les modifications suivantes sur
le fichier de config de ssh, en général /etc/ssh/sshd_config: - accepter uniquement le protocole ssh 2: générer des paires de clés ssh2 avec passphrase les utilisateurs commenter la ligne "Protocol 2,1" utiliser "Protocol 2" - commenter la ligne "HostKey /etc/ssh/ssh_host_key" pour ne laisser que les lignes localisant les clés du protocole ssh2 (dsa et rsa) - ne pas autoriser les connexions avec le compte root "PermitRootLogin no" - autoriser uniquement les connexions par échanges de clés "PasswordAuthentication no" - si tu te connectes à partir d'un ip fixe, autoriser le ssh distant uniquement à partir de cette ip
Je ne souhaite pas supprimer ssh, c'est le seul moyen que
j'ai pour me connecter à distance (j'ai limité les ports
par un firewall).
tu peux déjà sécuriser ssh en effectuant les modifications suivantes sur
le fichier de config de ssh, en général /etc/ssh/sshd_config:
- accepter uniquement le protocole ssh 2:
générer des paires de clés ssh2 avec passphrase les utilisateurs
commenter la ligne "Protocol 2,1"
utiliser "Protocol 2"
- commenter la ligne "HostKey /etc/ssh/ssh_host_key" pour ne laisser que
les lignes localisant les clés du protocole ssh2 (dsa et rsa)
- ne pas autoriser les connexions avec le compte root
"PermitRootLogin no"
- autoriser uniquement les connexions par échanges de clés
"PasswordAuthentication no"
- si tu te connectes à partir d'un ip fixe, autoriser le ssh distant
uniquement à partir de cette ip
Je ne souhaite pas supprimer ssh, c'est le seul moyen que j'ai pour me connecter à distance (j'ai limité les ports par un firewall). tu peux déjà sécuriser ssh en effectuant les modifications suivantes sur
le fichier de config de ssh, en général /etc/ssh/sshd_config: - accepter uniquement le protocole ssh 2: générer des paires de clés ssh2 avec passphrase les utilisateurs commenter la ligne "Protocol 2,1" utiliser "Protocol 2" - commenter la ligne "HostKey /etc/ssh/ssh_host_key" pour ne laisser que les lignes localisant les clés du protocole ssh2 (dsa et rsa) - ne pas autoriser les connexions avec le compte root "PermitRootLogin no" - autoriser uniquement les connexions par échanges de clés "PasswordAuthentication no" - si tu te connectes à partir d'un ip fixe, autoriser le ssh distant uniquement à partir de cette ip
TiChou
Dans le message <news:4173ee90$0$553$, *Rémi* tapota sur f.c.o.l.configuration :
Salut,
Bonjour,
J'ai relevé dans /var/log/messages des tentatives de connexion sur mon ordinateur par ssh, plusieurs utilisateurs sont essayés, test, guest, admin, etc... Apparament j'ai un certain nombre d'utilisateur qui on été créé lors de l'installation de la Mandrake 10. notament : bin,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,operator, games,nobody,rpm,vcsa,rpc,xfs,apache,rpcuser,ftp,mysql, postgres, etc... Je n'ai jamais configuré aucun mot de passe pour ces comptes, il semble que pour certain des shells soient associés.
il y t'il un risque de pénétration de mon système avec l'un de ces comptes ?.
Non car générallement ces comptes ne sont pas des comptes shell et/ou vérouillés car aucun mot de passe définit. On ne peut donc pas en principe se logger avec ces comptes.
Comment peut ont interdire la connexion à ces comptes ?
On peut configurer le serveur OpenSSH pour qu'il n'autorise que les comptes ou groupes que l'on souhaite grace aux options AllowUsers/DenyUsers et AllowGroups/DenyUsers du fichier de configuration sshd_config.
Par exemple, si on ne veut autoriser que les utilisateurs toto et tata à se logger en ssh et interdire tous les autres comptes, il suffit simplement de mettre :
AllowUsers toto,tata
Si on veut juste interdire certains comptes :
DenyUsers root,titi,apache,mysql,nobody
Pour ma part, sur mes serveurs OpenSSH je n'autorise à se logger que les comptes qui sont membres du groupe sshd :
AllowGroups sshd
Cela permet d'interdire à la fois tous les comptes et d'autoriser les comptes de façon plus fine sans être obligé à chaque fois de modifier la configuration de sshd et de le relancer.
Peut on supprimer les shells de connexions qui leurs sont associés ?.
En général oui, il suffit de faire des essais et voir si les services qui tournent sous ces comptes là fonctionnent toujours correctement en leur mettant le faux shell /bin/false ou /dev/null.
Merci.
De rien.
-- TiChou
Dans le message <news:4173ee90$0$553$626a14ce@news.free.fr>,
*Rémi* tapota sur f.c.o.l.configuration :
Salut,
Bonjour,
J'ai relevé dans /var/log/messages des tentatives de connexion
sur mon ordinateur par ssh, plusieurs utilisateurs sont essayés,
test, guest, admin, etc...
Apparament j'ai un certain nombre d'utilisateur qui on été
créé lors de l'installation de la Mandrake 10. notament :
bin,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,operator,
games,nobody,rpm,vcsa,rpc,xfs,apache,rpcuser,ftp,mysql,
postgres, etc...
Je n'ai jamais configuré aucun mot de passe pour ces comptes,
il semble que pour certain des shells soient associés.
il y t'il un risque de pénétration de mon système avec l'un de ces
comptes ?.
Non car générallement ces comptes ne sont pas des comptes shell et/ou
vérouillés car aucun mot de passe définit. On ne peut donc pas en principe
se logger avec ces comptes.
Comment peut ont interdire la connexion à ces comptes ?
On peut configurer le serveur OpenSSH pour qu'il n'autorise que les comptes
ou groupes que l'on souhaite grace aux options AllowUsers/DenyUsers et
AllowGroups/DenyUsers du fichier de configuration sshd_config.
Par exemple, si on ne veut autoriser que les utilisateurs toto et tata à se
logger en ssh et interdire tous les autres comptes, il suffit simplement de
mettre :
AllowUsers toto,tata
Si on veut juste interdire certains comptes :
DenyUsers root,titi,apache,mysql,nobody
Pour ma part, sur mes serveurs OpenSSH je n'autorise à se logger que les
comptes qui sont membres du groupe sshd :
AllowGroups sshd
Cela permet d'interdire à la fois tous les comptes et d'autoriser les
comptes de façon plus fine sans être obligé à chaque fois de modifier la
configuration de sshd et de le relancer.
Peut on supprimer les shells de connexions qui leurs sont
associés ?.
En général oui, il suffit de faire des essais et voir si les services qui
tournent sous ces comptes là fonctionnent toujours correctement en leur
mettant le faux shell /bin/false ou /dev/null.
Dans le message <news:4173ee90$0$553$, *Rémi* tapota sur f.c.o.l.configuration :
Salut,
Bonjour,
J'ai relevé dans /var/log/messages des tentatives de connexion sur mon ordinateur par ssh, plusieurs utilisateurs sont essayés, test, guest, admin, etc... Apparament j'ai un certain nombre d'utilisateur qui on été créé lors de l'installation de la Mandrake 10. notament : bin,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,operator, games,nobody,rpm,vcsa,rpc,xfs,apache,rpcuser,ftp,mysql, postgres, etc... Je n'ai jamais configuré aucun mot de passe pour ces comptes, il semble que pour certain des shells soient associés.
il y t'il un risque de pénétration de mon système avec l'un de ces comptes ?.
Non car générallement ces comptes ne sont pas des comptes shell et/ou vérouillés car aucun mot de passe définit. On ne peut donc pas en principe se logger avec ces comptes.
Comment peut ont interdire la connexion à ces comptes ?
On peut configurer le serveur OpenSSH pour qu'il n'autorise que les comptes ou groupes que l'on souhaite grace aux options AllowUsers/DenyUsers et AllowGroups/DenyUsers du fichier de configuration sshd_config.
Par exemple, si on ne veut autoriser que les utilisateurs toto et tata à se logger en ssh et interdire tous les autres comptes, il suffit simplement de mettre :
AllowUsers toto,tata
Si on veut juste interdire certains comptes :
DenyUsers root,titi,apache,mysql,nobody
Pour ma part, sur mes serveurs OpenSSH je n'autorise à se logger que les comptes qui sont membres du groupe sshd :
AllowGroups sshd
Cela permet d'interdire à la fois tous les comptes et d'autoriser les comptes de façon plus fine sans être obligé à chaque fois de modifier la configuration de sshd et de le relancer.
Peut on supprimer les shells de connexions qui leurs sont associés ?.
En général oui, il suffit de faire des essais et voir si les services qui tournent sous ces comptes là fonctionnent toujours correctement en leur mettant le faux shell /bin/false ou /dev/null.
Merci.
De rien.
-- TiChou
nicolas
J'ai eu la même tentative ce matin. Ça vient de Corée selon whois et j'ai envoyé une plainte à qui de droit.
nicolas patrois : pts noir asocial -- SPROTCH !
P : Non, y a rien de plus immonde que de chier sur la moquette... M : Pas d'accord... A pire... Chier sous la moquette... H : ?!!
J'ai eu la même tentative ce matin. Ça vient de Corée selon whois et
j'ai envoyé une plainte à qui de droit.
nicolas patrois : pts noir asocial
--
SPROTCH !
P : Non, y a rien de plus immonde que de chier sur la moquette...
M : Pas d'accord... A pire... Chier sous la moquette...
H : ?!!
J'ai eu la même tentative ce matin. Ça vient de Corée selon whois et j'ai envoyé une plainte à qui de droit.
nicolas patrois : pts noir asocial -- SPROTCH !
P : Non, y a rien de plus immonde que de chier sur la moquette... M : Pas d'accord... A pire... Chier sous la moquette... H : ?!!
Jerome Lambert
Le Mon, 18 Oct 2004 19:14:19 +0200, Rakotomandimby Mihamina a écrit :
On Mon, 18 Oct 2004 18:48:42 +0200, Raphaël 'SurcouF' Bordet wrote:
Sinon, tu peux limiter les utilisateurs ayant droit de se connecter via ssh.
comment on fait ça ?
man sshd_config ;-)
-- Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles ou non. Lire la doc, c'est le Premier et Unique Commandement de l'informaticien. -+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Le Mon, 18 Oct 2004 19:14:19 +0200, Rakotomandimby Mihamina a écrit :
On Mon, 18 Oct 2004 18:48:42 +0200, Raphaël 'SurcouF' Bordet wrote:
Sinon, tu peux limiter les utilisateurs ayant droit de se connecter via ssh.
comment on fait ça ?
man sshd_config ;-)
--
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Le Mon, 18 Oct 2004 19:14:19 +0200, Rakotomandimby Mihamina a écrit :
On Mon, 18 Oct 2004 18:48:42 +0200, Raphaël 'SurcouF' Bordet wrote:
Sinon, tu peux limiter les utilisateurs ayant droit de se connecter via ssh.
comment on fait ça ?
man sshd_config ;-)
-- Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles ou non. Lire la doc, c'est le Premier et Unique Commandement de l'informaticien. -+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
TiChou
Dans le message <news:, *Rakotomandimby Mihamina* tapota sur f.c.o.l.configuration :
Raphaël 'SurcouF' Bordet wrote:
Sinon, tu peux limiter les utilisateurs ayant droit de se connecter via ssh.
comment on fait ça ?
Voir ma réponse. :)
On pourrait aussi faire du filtrage au niveau de Netfilter en utilisant le match owner de la commande iptables.
-- TiChou
Dans le message <news:pan.2004.10.18.17.14.19.672787@mail.rktmb.org>,
*Rakotomandimby Mihamina* tapota sur f.c.o.l.configuration :
Raphaël 'SurcouF' Bordet wrote:
Sinon, tu peux limiter les utilisateurs ayant droit de se connecter via
ssh.
comment on fait ça ?
Voir ma réponse. :)
On pourrait aussi faire du filtrage au niveau de Netfilter en utilisant le
match owner de la commande iptables.
Dans le message <news:, *Rakotomandimby Mihamina* tapota sur f.c.o.l.configuration :
Raphaël 'SurcouF' Bordet wrote:
Sinon, tu peux limiter les utilisateurs ayant droit de se connecter via ssh.
comment on fait ça ?
Voir ma réponse. :)
On pourrait aussi faire du filtrage au niveau de Netfilter en utilisant le match owner de la commande iptables.
-- TiChou
Rakotomandimby Mihamina
On Mon, 18 Oct 2004 18:48:42 +0200, Raphaël 'SurcouF' Bordet wrote:
Sinon, tu peux limiter les utilisateurs ayant droit de se connecter via ssh.
comment on fait ça ? -- ASPO Infogérance - http://aspo.rktmb.org/activites/infogerance Unofficial FAQ fcolc - http://faq.fcolc.eu.org/ Linux User Group sur Orléans et alentours. Tél: + 33 2 38 76 43 65 (France)
On Mon, 18 Oct 2004 18:48:42 +0200, Raphaël 'SurcouF' Bordet wrote:
Sinon, tu peux limiter les utilisateurs ayant droit de se connecter via ssh.
comment on fait ça ?
--
ASPO Infogérance - http://aspo.rktmb.org/activites/infogerance
Unofficial FAQ fcolc - http://faq.fcolc.eu.org/
Linux User Group sur Orléans et alentours.
Tél: + 33 2 38 76 43 65 (France)
On Mon, 18 Oct 2004 18:48:42 +0200, Raphaël 'SurcouF' Bordet wrote:
Sinon, tu peux limiter les utilisateurs ayant droit de se connecter via ssh.
comment on fait ça ? -- ASPO Infogérance - http://aspo.rktmb.org/activites/infogerance Unofficial FAQ fcolc - http://faq.fcolc.eu.org/ Linux User Group sur Orléans et alentours. Tél: + 33 2 38 76 43 65 (France)
Rakotomandimby Mihamina
On Mon, 18 Oct 2004 19:03:07 +0200, TiChou wrote:
AllowUsers
Juste une precision, j'ai pas vu dans le man ce qui m'arange. Est ce que je peux faire 'DenyUsers all' (ou bien 'All' ?) Puis ensuite AllowUsers mihamina . -- ASPO Infogérance - http://aspo.rktmb.org/activites/infogerance Unofficial FAQ fcolc - http://faq.fcolc.eu.org/ Linux User Group sur Orléans et alentours. Tél: + 33 2 38 76 43 65 (France)
On Mon, 18 Oct 2004 19:03:07 +0200, TiChou wrote:
AllowUsers
Juste une precision, j'ai pas vu dans le man ce qui m'arange.
Est ce que je peux faire 'DenyUsers all' (ou bien 'All' ?)
Puis ensuite AllowUsers mihamina .
--
ASPO Infogérance - http://aspo.rktmb.org/activites/infogerance
Unofficial FAQ fcolc - http://faq.fcolc.eu.org/
Linux User Group sur Orléans et alentours.
Tél: + 33 2 38 76 43 65 (France)
Juste une precision, j'ai pas vu dans le man ce qui m'arange. Est ce que je peux faire 'DenyUsers all' (ou bien 'All' ?) Puis ensuite AllowUsers mihamina . -- ASPO Infogérance - http://aspo.rktmb.org/activites/infogerance Unofficial FAQ fcolc - http://faq.fcolc.eu.org/ Linux User Group sur Orléans et alentours. Tél: + 33 2 38 76 43 65 (France)
steph hellknights
J'ai eu la même tentative ce matin. Ça vient de Corée selon whois et j'ai envoyé une plainte à qui de droit.
nicolas patrois : pts noir asocial
peut être un de ces 500 hackers nord coréens dont on a parlé ces dernieres semaines
