[gull] SSH PermitRootLogin

Marc SCHAEFER schaefer at alphanet.ch
Thu Apr 29 12:11:02 CEST 2004 

On Thu, Apr 29, 2004 at 10:30:14AM +0200, Pierre Keller - BCU Lausanne wrote:
> Il y a dans /etc/ssh/sshd_config le paramètre PermitRootLogin.
> Par défaut, il est à yes.

Il y a une documentation qui explique pourquoi (chez Debian)
les auteurs ont préféré de faire ainsi.

   /usr/share/doc/ssh/README.Debian.gz

Mon point de vue est le suivant:

   - c'est fondamentalement mauvais, mais pour d'autres raisons que l'on
     donne souvent: pour moi c'est un problème d'auditing (qui a fait
     quoi, beaucoup plus facile à assurer si tout accès à root se fait
     via su). On parle bien sûr d'auditing pour des actions non
     malintentionnées (car sinon l'attaquant efface les logs).

   - cela simplifie certaines opérations (p.ex. sauvegarde via rsync
     correcte) sans nécessiter de wrapper

   - on peut mitiger ce problème en bloquant les adresses distantes
     via PAM (login root seulement depuis certaines adresses IP, p.ex.
     réseau interne, avec anti-spoofing sur le firewall).

> D'un point de vue sécuritaire: est-ce une bonne chose ? en d'autres
> termes, peut-on considérer SSH comme suffisamment sûr pour qu'on
> puisse se connecter à un serveur comme root via ce canal ?

En fait, aujourd'hui, c'est plus le problème au niveau du client. Je
pense qu'un virus/worm Windows qui analyserait les connexions SSH effectuées
vers des serveurs (UNIX, GU/Linux, etc) et qui effectuerait un

   rm -rf /

automatiquement dessus n'est pas si éloigné.

Ma solution est alors:

   - jamais de login sur un compte non captif depuis tout poste non
     sécurisé (== tout poste Windows, tout poste non sous mon contrôle,
     etc)

   - sur une machine non contrôlée on peut démarrer knoppix -- une
     version à jour bien sûr.

   - on peut aussi utiliser mon package `simple-otp' qui permet de créer
     un utilisateur spécial qui n'autorise la connexion qu'après
     introduction d'un mot de passe unique (style liste à biffer Yellownet).
     Depuis cet utilisateur on peut ensuite se connecter à tout
     utilisateur via mot de passe, utilisateur *dont l'accès depuis
     l'extérieur est impossible.*

Pour résumer, quand je suis chez un client et que je veux me connecter
chez moi, je branche mon laptop et je fais tout via SSH.  Si je ne peux
pas brancher mon laptop, je me connecte à otpuser at login.alphanet.ch, j'entre
le mot de passe suivant de la liste et je fais su - et j'entre le
mot de passe de root. Ensuite je fais su - USER pour chaque utilisateur
(sans taper le mot de passe). Comme root est configuré pour ne pas
autoriser de connexions externes, c'est assez sûr.

     
> Paranoïaquement vôtre,

More information about the gull mailing list