[gull] SSH PermitRootLogin

[Marc SCHAEFER]

On Thu, Apr 29, 2004 at 09:31:51PM +0200, Guillaume Cottenceau wrote:
> Hum, je pense que ca doit plutot etre la valeur par defaut de ta
> distribution, je vois mal openssh, venant direct des paranoides
> securitaires de openbsd, faire ca par defaut.

D'après la documentation de Debian:

   This is now the default setting (in line with upstream), and people
   who asked for an automatically-generated configuration file when
   upgrading from potato (or on a new install) will have this setting in
   their /etc/ssh/sshd_config file.

en bref, `upstream' ce sont les auteurs -- soit la version portable
d'OpenSSH. Ne pas oublier qu'il y a OpenSSH et OpenSSH portable: la
première version est celle pour OpenBSD, la seconde celle pour les
autres OSes.

   Managing the distribution of OpenSSH is split into two
   teams. One team does strictly OpenBSD-based development,
   aiming to produce code that is as clean, simple, and  
   secure as possible. We believe that simplicity without
   the portability "goop" allows for better code quality  
   control and easier review. The other team then takes the
   clean version and makes it portable, by adding the
   portability "goop" so that it will run on many operating
   systems (these are known as the p releases, and named
   like "OpenSSH 3.8.1p1").

L'idée étant qu'OpenBSD ne veut pas qu'un bug découvert dans OpenSSH dû
à du code nécessaire pour la portabilité porte ombrage au projet
OpenBSD.

Je n'ai pas investigué plus loin pour voir si c'est la version standard
ou portable qui recommande `yes'.

A mon avis, la configuration par défaut de PermitRootLogin n'est pas une
indication du niveau de sécurité d'une distribution. Le nombre
d'exécutables suid et le nombre de programmes pré-installés (p.ex.
clients NFS, portmap, BIND) qui ne devraient pas l'être sans réflexion
est une meilleure indication.

Par exemple, Debian par défaut vient avec portmap configuré, ce qui
n'est vraiment pas une bonne chose.

   apt-get --purge remove portmap