Je me remets à vous pour une petite aide dans les possibilités que nous offre sshd.
Jusqu'à maintenant, tous mes utilisateurs unix pouvaient se connecter en ssh à l'aide d'un mot de passe, mais également d'une clef publique/privé de type RSA en protocole 2 pour ne pas avoir à le taper.
Maintenant, j'aimerai pouvoir interdire toute saisie de mot de passe, de faire en sorte que quoi que l'on saisisse, le mot de passe sera considéré comme incorrect. La seule possibilité de se connecter en ssh, sera à l'aide d'une clef publique/privé.
Les avantages sont nombreux, plus besoin de s'identifier manuellement pour intervenir sur le serveur, les méthodes de brute-force de cassage de mot de passe ne servirons plus à rien et finalement, très pratique pour les sauvegardes en temps réelles tel que rsync.
Voilà ce que j'ai trouvé pour faire ça uniquement au niveau du root (que je n'ai pas encore réussi à mettre en place) :
PermitRootLogin [Spécifie si root peut se connecter par ssh(1). L'argument est « yes », « without-password », « forced-commands-only » ou « no ». Par défaut « yes ».
Si cette option est réglée à «forced-commands-only », les connexions de root sont autorisées avec une authentification par clef publique, mais seulement si l'option "command" est spécifiée (ce qui peut être utile pour effectuer des sauvegardes à distance même si les connexions de root sont normalement interdites). Toutes les autres méthodes d'authentification sont désactivées pour root.
Ma question est, qu'est ce que l'option "command", est ce que le (1) correspond au premier protocole de Ssh, la v1 et est ce que l'on peut faire ça pour l'ensemble de tout les utilisateurs unix.
Si vous pouviez m'éclairer sur ça, ca serez sympathique.
# Type d'authentification
Posté par Nicolas (site web personnel) . Évalué à 2.
De quelle manière comptes-tu authentifier les personnes souhaitant se connecter ? Soit les personnes s'authentifient par login/mot de passe, soit on les reconnait avec leur clé public que l'on a stocké dans le fichier authorized_keys.
Ce n'est pas une bonne idée d'authoriser les connexions en tant que root. Il faut à mon avis se connecter sous un autre utilisateur puis si vraiment il y a besoin acquérir les droits de root.
# ok
Posté par un compte supprimé . Évalué à 1.
il faut mettre : PermitRootLogin without-password
Je pensai que "without-password" fesai une connexion au root sans mot de passe, donc en accès direct, une porte grande ouverte, mais en fait, pas du tout.
Et pour le reste de mes users, je les bloque par : AllowUsers root
# Interdire les autres méthodes
Posté par monsieur ploploop . Évalué à 3.
Protocol 2
PubkeyAuthentication yes
HostbasedAuthentication no
PasswordAuthentication no
ChallengeResponseAuthentication no
KerberosAuthentication no
PAMAuthenticationViaKbdInt no
Puis "PermitRootLogin forced-commands-only" pour ta sauvegarde via rsync.
Non ?
[^] # Re: Interdire les autres méthodes
Posté par un compte supprimé . Évalué à 1.
Enfin de compte, on change un peu de politique, comme on est que deux admin, on se connecte obligatoirement root en DSA, et on bloque tout les autres user par la methode AllowUsers root.
Je sais, c'est pas bien d'utiliser un compte root, mais comme c'est un serveur et non une machine où l'on ouvre tout et n'importe quoi et que l'on connais ce que l'on y ajoute, pas de soucis.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.