Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Shop Recherche
857 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Logiciels

  Interdire su root uniquement en SSH

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Interdire su root uniquement en SSH

n°1132490
redvivi
Posté le 02-05-2009 à 20:38:01  profilanswer
 

Bonjour à tous !
 
          Je voudrais savoir s'il est possible d'interdire su root uniquement lors d'une session SSH, c'est à dire pouvoir se logger en root uniquement depuis le PC, physiquement ?
 
Merci à tous !
RedVivi

mood
Publicité
Posté le 02-05-2009 à 20:38:01  profilanswer
 

n°1132493
Le_Tolier
Hello IT ?
Posté le 02-05-2009 à 20:58:35  profilanswer
 

tu peux interdire a root  de se logguer a distance (ssh root@....) mais pour moi, si un user est connecté en ssh tu peux pas l 'empecher de faire su - ....


---------------
Never f**k with your systems administrator. Why? Because they know what you do with all that free time! |?? | SAVE Jericho !
n°1132501
redvivi
Posté le 02-05-2009 à 21:41:50  profilanswer
 

Le système ne fait aucune différence entre un tty initié par ssh ou en local ? Il me semblait que j'avais lu quelquechose à ce sujet mais je ne peux plus remettre la main dessus...

n°1132549
blazkowicz
Posté le 03-05-2009 à 06:50:36  profilanswer
 

tu peux carrément interdire le su, ce qui laisse l'option de se logguer en root en local sur une console texte, ou n'autoriser le su que pour un utilisateur ou des utilisateurs (ou un groupe) sous lequel tu ne pourrais pas te logguer en ssh.

n°1132641
High Plain​s Drifter
Posté le 03-05-2009 à 14:51:27  profilanswer
 

Hum perso si je devait faire ça je regarderait du coté de pam_group.
Sachant que su fonctionne qui si l'user est dans le groupe wheel...

n°1132643
redvivi
Posté le 03-05-2009 à 15:16:16  profilanswer
 

High Plains Drifter a écrit :

Hum perso si je devait faire ça je regarderait du coté de pam_group.
Sachant que su fonctionne qui si l'user est dans le groupe wheel...


 
Peux tu développer ton idée stp ? J'avoue que je vois mal le lien entre pam_groupe et SSH.

n°1132646
High Plain​s Drifter
Posté le 03-05-2009 à 15:32:13  profilanswer
 

L'idée c'est que l'utilisateur ne soit pas membre du groupe wheel si il se connecte via le service sshd.
 
Exemple de conf sous Gentoo (attention Gentoo est réputé pour sa conf, ça peut être plus merdique sous une autre distrib)
 
1: On supprime le groupe wheel pour tous les utilisateurs
2: On édite le fichier /etc/pam.d/system-auth on ajoute :

auth     optional        pam_group.so

3: On édite /etc/security/group.conf on ajoute :

!sshd;*;user1,user2;*;wheel


user1,user2 correspondent aux utilisateurs qui doivent avoir accès au groupe wheel.
 
Bien sûr il faut que ssh utilise pam, mais ça devrait être le cas sur une distrib moderne (>1999 :D). J'ai pas testé donc ca ne marche peut-être pas out-of-the-box mais c'est l'idée.

Message cité 1 fois
Message édité par High Plains Drifter le 03-05-2009 à 16:02:25
n°1132678
[Albator]
MDK un jour, MDK toujours !
Posté le 03-05-2009 à 17:57:49  profilanswer
 

Salut, ça doit être possible de distinguer l'utilisateur "connecté localement" de tous les autres (ssh & co), avec le module "pam_console".
 
Par exemple, sur ma Mandriva, seul l'utilisateur connecté localement peut exécuter l'applet de mise à jour du système. Le même utilisateur connecté à distance (ex VNC, NX ...) n'a pas ce droit.
 
Contenu de /etc/pam.d/urpmi.update:

Citation :

#%PAM-1.0
auth       sufficient   pam_rootok.so
auth       required     pam_console.so
account    required     pam_permit.so
session    optional     pam_xauth.so


n°1132680
redvivi
Posté le 03-05-2009 à 18:01:43  profilanswer
 

High Plains Drifter a écrit :


Exemple de conf sous Gentoo (attention Gentoo est réputé pour sa conf, ça peut être plus merdique sous une autre distrib)

 

Debian aussi...qui n'a pas le groupe wheel  :lol: (comment on fait dans ces cas là ?)

 

Je dois dire que je suis un peu perdu dans tous ces paramètres...


Message édité par redvivi le 03-05-2009 à 18:04:02
n°1132684
High Plain​s Drifter
Posté le 03-05-2009 à 18:14:42  profilanswer
 

Évidement sans wheel ma méthode tombe à l'eau...
Il n'y est pas ou n'est pas utilisé ?
J'ai ça dans mon /etc/pam.d/su  

# Comment this to allow any user, even those not in the 'wheel' group to su
auth       required     pam_wheel.so use_uid


Message édité par High Plains Drifter le 03-05-2009 à 18:15:43
mood
Publicité
Posté le 03-05-2009 à 18:14:42  profilanswer
 

n°1132685
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 03-05-2009 à 18:20:40  profilanswer
 

encore une fois, fais ton traitement anti parano :o


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°1132697
High Plain​s Drifter
Posté le 03-05-2009 à 18:36:53  profilanswer
 

Bon on peut essayer ça:


groupadd nosu
echo "auth    optional    pam_group.so" >> /etc/pam.d/sshd
echo "auth    required    pam_wheel.so deny group=nosu use_uid" >> /etc/pam.d/su
echo "sshd; *; *; *; nosu" >> /etc/security/group.conf


 
Normalement si y'a les modules pam_group et pam_wheel (ls /lib/security/ pour vérifier) et que le nom du module pam de ssh sous Debian est bien sshd ça devrait marcher.
 
À noter que c'est le contraire de ce que j'ai proposé plus haut, les utilisateurs dans le groupe nosu ne peuvent pas utiliser su.
 
[Albator] -> Y'a plus pam_console sous Gentoo, il a été supprimé pour raison de sécurité !? Je ne sait pas exactement ce qu'il en est, mais c'est a voir avant de l'utiliser...


Message édité par High Plains Drifter le 03-05-2009 à 18:41:40

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Logiciels

  Interdire su root uniquement en SSH

 

Sujets relatifs
[SSH] même couple de clé pour 2 serversCywin et Open SSH, peut ils servir de proxy http ?
Cywin et Open SSH, peut ils servir de proxy http ?Permission du répertoire /root
[Bash] Script de création de clés SSH automatique[Debian] Ouverture de ports pour accès SSH et FTP
[Résolu] SSH et longueur de ligneSSH en panne
Chemin de recherche de librairie partagee sans etre rootCopier uniquement les droits d'un fichier
Plus de sujets relatifs à : Interdire su root uniquement en SSH


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR