J’ai un problème particulier car pour sauvegarder mon serveur (machine 2)
sur un DDext avec rsync et clefs pub et priv
à partir de ma Sid fonctionnelle (machine 1)
Je suis obligé de paramétrer /etc/ssh/sshd_config de machine 1 avec
PermitRootLogin yes
Sur le serveur, ce même PermitRootLogin est bien à “no”
Y-a-t-il un danger réel à laisser ce “yes” permanent ou dois-je ne l’y laisser que le temps de ma sauvegarde 
Salut,
C’est sur ton Lan ?
La machine ou tu souhaites mettre PermitRootLogin yes est accessible depuis Internet ?
Si j’ai bien compris ta machine 1 est une sid qui est, je suppose, ton desktop/laptop client. Il n’y a pas trop de danger à permettre le login de root dessus si le mdp est bien robuste et qu’elle ne reste pas des heures avec le port ssh ouvert sur l’extérieur.
Si cela te pose un problème particulier, tout le monde ayant le droit d’être paranoïaque, tu peux également envisager de changer ta stratégie de sauvegarde.
Par contre je n’ai pas bien compris si le HDDext est branché sur le serveur ou sur le client sid.
[quote=“DjKlaus”]Si j’ai bien compris ta machine 1 est une sid qui est, je suppose, ton desktop/laptop client. Il n’y a pas trop de danger à permettre le login de root dessus si le mdp est bien robuste et qu’elle ne reste pas des heures avec le port ssh ouvert sur l’extérieur.
Si cela te pose un problème particulier, tout le monde ayant le droit d’être paranoïaque, tu peux également envisager de changer ta stratégie de sauvegarde.
Par contre je n’ai pas bien compris si le HDDext est branché sur le serveur ou sur le client sid.[/quote]
Oui, c’est le client par lequel je me branche en SSH sur le serveur afin de faire les sauvegardes.
Le DDext est branché sur cette machine 1 on peut donc considérer qu’il en fait partie.
Il ne faut pas chercher les alternatives, il n’y en a pas, Syam a travaillé un bon bout de temps sur ce problème et je lui fais confiance. je suis obligé d’avoir une liaison possible en root pour pouvoir faire avec rsync.
Pour ce qui est de mes MDP, ils sont très costauds.
Bien sûr, je peux faire un petit script qui permettra root juste le temps de la sauvegarde et qui rétablira ensuite son interdiction.
@ LOl : oui, c’est ma machine principale.
C’est justement à ça que sert sudo. Tu donnes à ton utilisateur lambda l’autorisation d’utiliser rsync avec privilège root (mais juste rsync, pas ALL!).
Je connais sudo et j’utilise beaucoup mais en l’occurrence, ce n’est pas possible.
Et la technique d’avoir deux serveurs SSH distincts, un super sécurisé accessible de l’extérieur et un plus relax accessible uniquement de ton LAN ? (avec filtrage iptables en fonction de l’adresse source histoire de bien blinder le truc)
Oui mais en fait, je ne vais pas me casser la tête plus que ça car j’effectue la sauvegarde serveur qu’une fois par mois (il ne bouge pratiquement pas).
Je vais tous simplement faire un petit script ou un raccourci simple pour pouvoir rapidement modifier “PermitRootLogin” de no vers yes et “service ssh restart” puis l’inverse une fois la sauvegarde terminée.
Pour sécuriser complètement, pendant toute l’opération, je débranche la liaison ETH et je fais exclusivement en LAN (je suis pratiquement le seul à me servir du serveur donc 5 mn/mois non relié web, ça ne gênera pas grand monde; Et puis, quand il y a une panne de FreeBox, elle dure parfois plus longtemps 
Au pire y’a toujours mon T&A (charge à toi de le retrouver 
) qui explique comment monter un deuxième serveur SSH temporaire exclusivement réservé à l’IP qui le demande.
OK, je regarderai au cas où.
je coche résolu car ce que j’ai écrit plus haut me semble le plus simple.
Je ne peux que confirmer tout ce qui a été dit au paravant.
Sur un poste client pas de souci pour que cette option soit à “Yes”.
Sur un serveur il est recommandé de la mettre à “No”. Pourquoi ? Car le couple identifiant/mdp est plus difficile a trouvé si on ne connais pas l’identifiant 
C’est pour cela que je proposait sudo avec un utilisateur dédié à la sauvegarde , et uniquement à cela (c’est la bonne pratique UNIX)
Merci pour les explications.
J’ai résolu l’affaire en intégrant 3 ou 4 lignes sup à mon script de sauvegarde de façon à mettre à “yes” le temps de la sauvegarde et à replacer à “no”, une fois celle-là terminée.
Ça ne me coûte pas d’intervention perso.
Au regard de ce que tu as raconté avant ta solution semble la plus pertinente. Tout le reste ne servirait qu’à te faire plaisir techniquement.
[quote=“DjKlaus”]Au regard de ce que tu as raconté avant ta solution semble la plus pertinente. Tout le reste ne servirait qu’à te faire plaisir techniquement.[/quote]Ça m’arrive quand je ne sais pas quoi faire mais par principe, j’aime bien faire au plus simple et ce que je comprends.
Le copié/collé tout bête m’intéresse rarement.