Empecher root de se connecter en mode graphique sur Debian 11 avec lightdm

osiris · Avril 14, 2022, 8:17am

Bonjour à tous,
j’aimerai empêcher que le compte root puisse se connecter à la bannière d’authentification en mode graphique, je suis sous :
~$ lsb_release -a
Distributor ID: Debian
Description: Debian GNU/Linux 11 (bullseye)
Release: 11
Codename: bullseye

J’ai choisi lors de l’installation Debian MATE comme gestionnaire de bureau
j’ai le fichier de configuration présent :

/etc/lightdm/lightdm.conf

mais je vous avoue que je m’y perds dans toutes ses options et j’ai peur de faire une bêtise

Merci pour vos retours

Osiris73

vbreton · Avril 14, 2022, 10:06am

Bonjour,

@osiris regarde la section 7.1 de lightdm [Wiki ubuntu-fr]
Les options greeter-user= et guest-account-script= ainsi que greeter-hide-users=
Avec session-wrapper= ou greeter-wrapper= tu peux spécifier un script qui empêcherait par exemple la connexion si l’utilisateur est l’utilisateur root par exemple.

Pour éviter de tout casser, rien ne t’empêche de t’entraîner et de tester avant sur une machine virtuelle après avoir installé par exemple Virtualbox que j’utilise depuis très longtemps.

dindoun · Avril 14, 2022, 11:48am

salut
sauf erreur, tu ne risques pas grand chose à changer des options dans lightdm
au pire, tu perds le graphique, tu remet le lightdm.conf sauvegardé et c’est reparti

l’option -c perd l’utilisation d’un lightdm.conf alternatif

j’ai cru lire qu’uen des options spécifies les utilisateurs autorisés

Zargos · Avril 15, 2022, 2:11pm

bonjour,

en fait c’est directement lié au mode d’utilisation des comptes.

Estc-e que Root peut se connecter en local (i.e.: physiquement sur la machine), ou à distance.
si le compte est déjà interdit de connexion à distance, independament de l’interface graphique, alors celle-ci ne permetra pas l’accès distant.

Physiquement sur la machine, il faut t’assurer que si tu interdit le compte root, et que tu n’as que ton compte user ce n’est pas une très bonne pratique.
Car si ton user est compromis ou qu’il y a une erreur tu n’as plus rien ensuite.
dans ma boite chez certains client, la pratique est de desactiver le compte root, d’avoir un compte administrateur avec les droits sudo root, et ensuite des comptes de personnes avec les niveaux de droits nécessaires.
Le compte avec les droits sudo root n’est utilisé qu’en cas de besoin d’urgence.

osiris · Avril 15, 2022, 2:08pm

Merci de m’avoir répondu, j’ai essayé de jouer avec les différents paramètres mais ca ne change rien même après un reboot

Je ne trouve pas ce qu’il me faut

osiris · Avril 15, 2022, 2:11pm

@Zargos il est vrai que je n’avais pas réfléchi à ce point important.

Oui root peut se connecter en local

Merci à tous d’avoir pris le temps de me répondre

Osiris73

vbreton · Avril 15, 2022, 7:12pm

@osiris, les options sont dédiés au mode graphique uniquement. En mode terminal, impossible d’empêcher l’utilisateur root de tenter de se connecter à moins de l’avoir remplacé: sous Ubuntu, j’ai souvenir que l’utilisateur root n’existe pas ou du moins son login a été changé; comme @zargos le mentionne fort bien vers la fin de son message, c’est ce qui se fait chez certains clients (et qui ne sont pas forcément sous Ubuntu).

@zargos étend la réponse dans un contexte de prise à distance; cela me fait penser que tu peux mettre en place openssh et authoriser une connexion à distance uniquement à partir des utilisateurs dûments autorisés dont leurs clefs publiques seraient préalablement enregistrées sur le serveur (poste à prendre à distance).

Zargos · Avril 15, 2022, 7:26pm

les deux options existe, dans SSHD ne pas autoriser les connexions root avec l’option PermitRootLogin no
pour les connexion XRDP il y a une option similaire sessman.ini: AllowRootLogin = [true|false]