[gull] SSH PermitRootLogin
Marc SCHAEFER
schaefer at alphanet.ch
Thu Apr 29 12:11:02 CEST 2004
On Thu, Apr 29, 2004 at 10:30:14AM +0200, Pierre Keller - BCU Lausanne wrote:
> Il y a dans /etc/ssh/sshd_config le paramètre PermitRootLogin.
> Par défaut, il est à yes.
Il y a une documentation qui explique pourquoi (chez Debian)
les auteurs ont préféré de faire ainsi.
/usr/share/doc/ssh/README.Debian.gz
Mon point de vue est le suivant:
- c'est fondamentalement mauvais, mais pour d'autres raisons que l'on
donne souvent: pour moi c'est un problème d'auditing (qui a fait
quoi, beaucoup plus facile à assurer si tout accès à root se fait
via su). On parle bien sûr d'auditing pour des actions non
malintentionnées (car sinon l'attaquant efface les logs).
- cela simplifie certaines opérations (p.ex. sauvegarde via rsync
correcte) sans nécessiter de wrapper
- on peut mitiger ce problème en bloquant les adresses distantes
via PAM (login root seulement depuis certaines adresses IP, p.ex.
réseau interne, avec anti-spoofing sur le firewall).
> D'un point de vue sécuritaire: est-ce une bonne chose ? en d'autres
> termes, peut-on considérer SSH comme suffisamment sûr pour qu'on
> puisse se connecter à un serveur comme root via ce canal ?
En fait, aujourd'hui, c'est plus le problème au niveau du client. Je
pense qu'un virus/worm Windows qui analyserait les connexions SSH effectuées
vers des serveurs (UNIX, GU/Linux, etc) et qui effectuerait un
rm -rf /
automatiquement dessus n'est pas si éloigné.
Ma solution est alors:
- jamais de login sur un compte non captif depuis tout poste non
sécurisé (== tout poste Windows, tout poste non sous mon contrôle,
etc)
- sur une machine non contrôlée on peut démarrer knoppix -- une
version à jour bien sûr.
- on peut aussi utiliser mon package `simple-otp' qui permet de créer
un utilisateur spécial qui n'autorise la connexion qu'après
introduction d'un mot de passe unique (style liste à biffer Yellownet).
Depuis cet utilisateur on peut ensuite se connecter à tout
utilisateur via mot de passe, utilisateur *dont l'accès depuis
l'extérieur est impossible.*
Pour résumer, quand je suis chez un client et que je veux me connecter
chez moi, je branche mon laptop et je fais tout via SSH. Si je ne peux
pas brancher mon laptop, je me connecte à otpuser at login.alphanet.ch, j'entre
le mot de passe suivant de la liste et je fais su - et j'entre le
mot de passe de root. Ensuite je fais su - USER pour chaque utilisateur
(sans taper le mot de passe). Comme root est configuré pour ne pas
autoriser de connexions externes, c'est assez sûr.
> Paranoïaquement vôtre,
More information about the gull
mailing list