Restrictions SSHD : forcer seulement root a utiliser des clefs

Recherche :

Dernière réponse

Sujet : Restrictions SSHD : forcer seulement root a utiliser des clefs

e_esprit

J'ai fini par trouver une solution si y en a que ca interesse.

Mon principal probleme etait que si le module d'atuhentification par PAM etait activé, alors le "PermitRootLogin without-password" ne servait a rien puisque PAM s'appliquait a tout le monde. Comme j'avais absolument besoin de PAM pour les utilisateurs classiques...

La solution etait donc d'interdire l'acces à root par PAM.

Pour cela, dans /etc/pam.d/sshd, j'ai rajouté la ligne suivante :

Citation :

#%PAM-1.0
auth required pam_stack.so service=system-auth
auth required /lib/security/pam_listfile.so onerr=fail\
item=user sense=deny file=/etc/security/nossh
auth required pam_nologin.so
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth

et le fichier /etc/security/nossh contient 'root'.

Et ca marche :D

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

e_esprit

Citation :

et le fichier /etc/security/nossh contient 'root'.

Et ca marche :D

e_esprit

Oui mais non [:spamafote]

burgergold

normalement c'est mal d'alloué root en ssh

faut passer par 1 user qui fait un su, c'est plus safe

e_esprit

Les utilisateurs n'ont pas de shells sur cette machine, si ils se connectent en ssh => zoo dehors :o

jotenakis

quel est l'interet de se connecter en root sur ton serveur ?
user puis su.

e_esprit

C'est bien ce que je craignais :/
C'est quand meme hyper mal foutu cette option "without-password", je n'y vois aucun interet :pfff:

[Albator]

Heu, ça me parait impossible ...
Il faudrait 2 serveurs ssh avec 2 config différentes.

e_esprit

Up du matin :o

e_esprit

Y a-t'il un expert SSH dans la salle ?

Ce que je souhaite faire est tres simple sur le papier :
- interdire la connexion pour root en mode password (ou pam), autoriser seulement l'identification par clefs
- les utilisateurs "classiques" peuvent (doivent) se connecter en utilisant les mots de passe.

Le problème etant que :

Citation :

PermitRootLogin
Specifies whether root can login using ssh(1). The argument must be yes, without-password, forced-commands-only or no. The default
is yes.

If this option is set to without-password password authentication is disabled for root. Note that other authentication methods (e.g.,
keyboard-interactive/PAM) may still allow root to login using a password.

If this option is set to forced-commands-only root login with public key authentication will be allowed, but only if the command option
has been specified (which may be useful for taking remote backups even if root login is normally not allowed). All other authentication
methods are disabled for root.

If this option is set to no root is not allowed to login.

Bref, hum... une idée ? :whistle: