Securité du serveur

J’étais en train de réfléchir à cette Question/Reponse sur ServerFault.com.

Déjà je me rendais pas compte de la jungle que representait le réseau. .

Là où je suis vraiment embeté, c’est lors de la premiere réponse qui dit:

[ul] - disallow root-login in SSH

• use strong passwords everywhere (also in your web applications)
• for SSH, use public-key authentication if possible and disable password-auth completely[/ul]

Euh… je gère un serveur virtuel dédié… comment je fait pour le gérer si je peux pas me conecter en root dessus pas SSH ? ? ? ?

Et du coup je vous demenderais bien si vous aviez un de vos liens fetiches, ou un bouquin de reference, ou un forum, surlequel vous vous basez pour tenir vos serveurs en sécurité.

Voili voilo.

Tu te log en simple utilisateur et tu utilise su ou sudo.

Salut,

Heureux propriétaire d’un engin sur lequel je ne peux installer sudo (synology) et qui ne me connait que comme root, il refuse ssh-copy gerard@serveur.
Je ne peux donc pas me connecter autrement qu’en root et de toute manière pas me servir de sudo que j’utilise en permanence ?

@ggoodluck47 > Tu peut faire un scp ? Tu as un unix dessus avec un /home pour ton user (ou pour root) ?
Si c’est oui pour les deux question tu as de bonnes chances de pouvoir le faire :

scp fichier.pub login@serveur:
ssh login@serveur
cat fichier.pub >> .ssh/authorized_keys

Re,

Merci mais pas plus de scp que de …
Ah la vie est dure ! Seule consolation ce NAS est derrière mon routeur/parefeu et que tous les clients sont dans mon bureau. Ma curiosité n’est néanmoins pas satisfaite

Tu peux lancer un shell SSH ? Parce que tu peut le faire en copier/coller aussi.

[quote]gerard@debian:~$ ssh root@lmt
root@lmt’s password:

BusyBox v1.16.1 (2011-02-25 19:05:42 CST) built-in shell (ash)
Enter ‘help’ for a list of built-in commands.

lmt>

lmt> help
Built-in commands:

    . : [ [[ alias break cd chdir continue eval exec exit export
    false getopts hash help let local printf pwd read readonly return
    set shift source test times trap true type ulimit umask unalias
    unset wait

[/quote]

Tu n’aurais pas un
PermitRootLogin no
dans /etc/sshd_config

Salut,

Non mais :
#PermitRootLogin yes ce qui doit vouloir dire la même chose !

Et cet engin est si sensible que j’ai un peu peur de modifier

Si tu n’a pas d’autre ligne venant contredire celle-là, tu pourrais ptet essayer de décommenter.
À condition, bien sûr, d’avoir la possibilité de refaire un ‘passwd’ en cas de merdage.

[quote=“ricardo”]Si tu n’a pas d’autre ligne venant contredire celle-là, tu pourrais ptet essayer de décommenter.
À condition, bien sûr, d’avoir la possibilité de refaire un ‘passwd’ en cas de merdage.[/quote]

Cette ligne semble autoriser root à se connecter et comme c’est déjà le cas (il est même les eul à pouvoir le faire)
Je laisse mon parefeu fermé en ssh vers l’extérieur et je surveille la chaise en face de façon à ce que seul mon chat ait le droit de squatter

Ben il ne me semble pas car c’est commenté :
#PermitRootLogin yes
moi je traduis ça comme ligne non prise en compte, càd que le yes n’est pas valable et
si pas ‘yes’ donc ‘no’ ???

EDIT :

Peux-tu envoyer ici le
/root/.bashrc

[quote=“ricardo”]Ben il ne me semble pas car c’est commenté :
#PermitRootLogin yes
moi je traduis ça comme ligne non prise en compte, càd que le yes n’est pas valable et
si pas ‘yes’ donc ‘no’ ???[/quote]
Je viens de vérifier la page man de sshd_config dit que par défaut l’option est à true.

@ggoodluck47 > Tu peut le faire simplement.
[ul]
[li]Tu génère la clef[/li]
[li]Tu te logue en root sur ton serveur[/li]
[li]Lance la commande suivant pour être sûr que /root/.ssh existe :

[li]Tu lance la commande suivante (cette commande ne te redonne pas la main c’est normal) :

[li]Dans un autre shell tu affiche la clef publique (celle qui a l’extension .pub) par exemple avec cat :

tu peut aussi, simplement l’ouvrir avec un éditeur graphique (gedit, kate,…)[/li]
[li]Tu sélectionne l’ensemble du fichier[/li]
[li]Tu repasse dans le shell ou tu as tapé la commande qui attends toujours et tu fais un clique centrale dessus (si tu n’a pas de clique centrale, tu peut cliquer en même temps sur les deux deux boutons de la souris). Normalement ça colle ce que tu viens de sélectionner.[/li]
[li]Tu tape entrer pour créer un nouvelle ligne (le prompt ne s’affiche toujours pas) et tu tappe Ctrl+d Là tu récupère le prompt.[/li][/ul]

Voila une méthode relativement universelle pour faire un copier/coller à travers SSH.
Ensuite ça devrait marcher, si ça ne marche pas vérifie les droits sur le dossier /root/.ssh.

Ptet que :

/etc/nologin Si ce fichier existe, sshd empêche quiconque de se connecter, à l'exception de root. Le contenu de ce fichier est affiché à quiconque essaie de se connecter, et les connexions non-root sont refusées. Le fichier doit être lisible par tout le monde.

[quote=“ricardo”]Ptet que :

/etc/nologin Si ce fichier existe, sshd empêche quiconque de se connecter, à l'exception de root. Le contenu de ce fichier est affiché à quiconque essaie de se connecter, et les connexions non-root sont refusées. Le fichier doit être lisible par tout le monde. [/quote]
Oui mais il arrive à se loguer en root sans problème.

[quote=“MisterFreez”][quote=“ricardo”]Ptet que :

/etc/nologin [color=#0000FF][b]Si ce fichier existe, sshd empêche quiconque de se connecter, à l'exception de root.[/b][/color] Le contenu de ce fichier est affiché à quiconque essaie de se connecter, et les connexions non-root sont refusées. Le fichier doit être lisible par tout le monde. [/quote]
Oui mais il arrive à se loguer en root sans problème. [/quote]
relis bien !
ce qu’il cherche, justement, c’est de se loguer en tant qu’user.

Salut,

1 - Je me loggue en root sans problème.
2 - Si vous arriviez à me faire logger en user je ne pourrais pas agir, je n’ai pas sudo !

Ben si tu expliquais précisément ce que tu cherches à faire ?

Re,

Ayant lu le début du post “Sécurité du serveur” et me trouvant en contradiction parfaite avec cette sécurité, je cherche à me mettre un peu plus en conformité