Ssh root password

Support Debian
#1

Salut,

Dans quel coin j’ai semé la panique pour ne plus pouvoir me connecter par :

$ ssh root@192.168 …
root@… password:
Permission denied, please try again.

#2

Salut,

Le sshd_config du serveur ?

#3

Bonjour,
Si tu n’as jamais toucher à tes fichiers pam, va voir dans le fichier de configuration
/etc/ssh/sshd_config

Recherche la ligne:
PermitRootLogin no

ou

AllowUsers XXX (XXX = nom d’utilisateur)

#4

Salut et merci,

J’étais bien le fautif :astonished:ops

#5

Question :
pourquoi root ?
ssh se pratique en tant qu’usern non ?

#6

Ben je viens d’aller vérifier sur mon sshd_config et en effet, il n’a jamais été modifié et root est à “yes” :005

#7

Salut,
Tu as raison il faut le placer à no…
Ce n’est pas du tout une bonne idée de laisser la configuration par défaut (qui est à yes…)
Rien n’empêche de se mettre en root, le temps de bricoler, après la connexion ssh établie !

#8

Re,

Afin de faire des sauvegardes seul root est autorisé à “fouiner” certains endroits !

var/lib/mysql par exemple :016

#9

[quote=“ggoodluck47”]Re,

Afin de faire des sauvegardes seul root est autorisé à “fouiner” certains endroits !

var/lib/mysql par exemple :016[/quote]

Oui,
Mais il est tout à fait possible de se connecter en ssh avec son utilisateur et ENSUITE de passer root dans le ssh (su -).
Et tu peux alors fouiner ou bon te semble :laughing:

Il n’y a pas de risque d’oublier qu’on autorise une connexion root sur le 22 à Asnières…
…surtout quand la machine est accessible depuis Internet :mrgreen:

#10

Bonjour,

Sinon il est possible de n’autorisé root à se connecter qu’avec échange de clé et donc sans mot de passe en mettant ceci dans le sshd_config :

Les petits malin peuvent continuer de s’exciter avec le compte root car le mot de passe n’est pas autorisé et il est possible d’automatiser des sauvegardes utilisant SSH et nécessitant des droits root sur la machine distante.

#11

Et pour être tranquille tu ne fais que de l’authentification par clef RSA

Si tu veux encore plus de sécurité, tu changes le port d’écoute.

Et tu ajoutes à ça une petit pam_listfile.so dans /etc/pam.d/ssh

Et là, tu es complètement tranquille au niveau de ton authentification ssh.

#12

Et bien entendu, il faut choisir une taille de clé conséquente (minimum 4kbit, même si moi j’utilise des 16kbit parce que je suis parano).
Ne jamais utiliser de clé DSA, celles-ci sont limitées à 1kbit et donc crackables facilement de nos jours. De même pour les clés RSA trop petites.

#13

Salut,

Ceci est nouveau pour moi, et je suppose pour d’autres aussi.

Si tu voulais bien développer :004

#14

[quote=“Knard”]Et pour être tranquille tu ne fais que de l’authentification par clef RSA

[/quote]
C’est mon cas .

#15

Au fait, pour se connecter en tant que root, est-ce que ça marche toujours comme ça :
$ ssh -X ricardo@192.168.0.20
:question:

#16

[quote=“ricardo”]Au fait, pour se connecter en tant que root, est-ce que ça marche toujours comme ça :
$ ssh -X ricardo@192.168.0.20
:question:[/quote]

-X si tu as besoin d’exporter le display (pour lancer une application qui nécessite X)
Et Ricardo si tu as besoin de le préciser. Mais il prend par défaut l’utilisateur connecté dans la console.

Donc si tu es déjà connecte en Ricardo, ceci suffit :

ssh 192.168.0.20

#17

PAM est le module d’authentification utilisé par pratiquement tout le système GNU/Linux.
http://fr.wikipedia.org/wiki/PAM pour plus d’information.

En gros, dans dossier /etc/pam.d, on trouve les fichiers de configuration des divers moyen d’authentification comme gdm, ssh, su, …

Ceci est le fichier de base sans commentaires de /etc/pam.d/sshd

auth required pam_env.so auth required pam_env.so envfile=/etc/default/locale @include common-auth account required pam_nologin.so @include common-account @include common-session session optional pam_motd.so session optional pam_mail.so standard noenv session required pam_limits.so

On peut rajouter un module du type pam_listfile.so en insérant la ligne suivante au début du fichier

Ca aura pour utilité de mettre dans un fichier texte les logins des utilisateurs qui peuvent se connecter.
Voilà, documenter vous avant d’utiliser tout ça, une seule erreur et c’est la catastrophe.

Edit: http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/Linux-PAM_SAG.html pour une documentation complète (Anglais)

#18

Je squatte le fil de Gérard (c’est pas bien :018 ) pour poser une question au sujet de ssh :
comment pratiquer pour n’autoriser une IP distante à se connecter QUE sur un seul dossier :question:
Par exemple, je veux que Lol puisse venir modifier à sa guise un fichier ‘machin’, qui se trouve dans le dossier ‘truc’, lui-même dans /etc/bidule/. Je ne veux pas qu’il puisse aller ailleurs que dans le dossier ‘truc’, sur ma machine.
Je pense qu’avec les droits ça peut se faire mais il faut tout revoir.
Une autre possibilité :question:

#19

[quote=“ricardo”]Je squatte le fil de Gérard (c’est pas bien :018 ) pour poser une question au sujet de ssh :
comment pratiquer pour n’autoriser une IP distante à se connecter QUE sur un seul dossier :question:
Par exemple, je veux que Lol puisse venir modifier à sa guise un fichier ‘machin’, qui se trouve dans le dossier ‘truc’, lui-même dans /etc/bidule/. Je ne veux pas qu’il puisse aller ailleurs que dans le dossier ‘truc’, sur ma machine.
Je pense qu’avec les droits ça peut se faire mais il faut tout revoir.
Une autre possibilité :question:[/quote]

Pour n’autoriser qu’une IP, il faut passer par une configuration de Firewall.

Pour l’autorisation à modifier un fichier précis, tu as plusieurs options, mais au plus facile, j’aurais dit d’utiliser sudo.
Ca te permettra de donner une autorisation restreinte au profile.

#20

ricardo, peut-être que ceci t’aidera :

Chroot SSH :
viewtopic.php?f=1&t=27384

RSSH :
viewtopic.php?p=269993#p269993

Je sais, j’aurais aussi bien pu dupliquer le contenu vu le peu d’informations qu’il y a, mais je préfère te taquiner en donnant des liens du forum. :stuck_out_tongue: