Patrick wrote:
Bonjour,
Pouvez-vous m'ouvrir l'esprit? ;o)
En r�gle g�n�ral, le login sous root est d�conseill�
en dehors d'une console locale sous surveillance.
M�me pour SSH, j'ai lu qu'il �tait conseill� de
d�sactiver la connexion sous root et d'utiliser 'sudo'
pour autoriser certaines actions � un utilisateur
accr�dit�.
Si je dois administrer une machine � distance avec
SSH, quelle am�lioration de la s�curit� puis-je
esp�rer avec ce principe?
Et bien il faudra deja que le quidam casse 2 mots de passes: celui du
user, ensuite celui de root.
Un quidam peut arriver � truander le syst�me, faire
usage de mon userid et b�n�ficier des droits que j'ai
gr�ce � 'sudo'.
Non, s'il n'a pas le mot de passe.
De m�me, '/etc' n'est pas prot�g� en lecture et les
fichiers de configurations sont lisibles. Il aura donc
un catalogue des droits qui me sont attribu� par
'sudo'?
Admettons qu'il ai reussi a obtenir le mot de passe root. Crois tu
vraiment que c'est *que* pour lire /etc ;-)?
Merci � vous et joyeuses f�tes � tous.
Donc ce que je fais:
1) tres peu de comptes user sur une machine sensible
2) pas d'acces root par ssh
3) les mots de passe user sont changes *tous* les mois
4) les mots de passe font minimum 8 caracteres, melangent chiffres et
lettres, majuscules et minuscules
5) pour ceux qui se connectent par ssh, installation de leur cle
publique sur le serveur. Donc plus de saisie de mot de passe user donc
s'il y a un sniffer ... perdu ;-)
6) si le user a ses mails sur la machine, rediriger les mails user
console vers ceux de user/mail accede avec un _autre_ mot de passe. Ca
ne sert a rien de fermer toutes les portes au niveau console s'il suffit
de sniffer pop3 pour voir circuler le mot de passe en clair!
Bonnes fetes a toi aussi.
--
: ______ ______ ______ ______ ______ __ [EMAIL PROTECTED]
: /_____// __ // __ //_____// __ // / phone.: +48 32 285 5276
: / / / /_/ // /_/ / / / / /_/ // / fax....: +48 32 285 5276
: /_/ /_____//_____/ /_/ /_/ /_//_/ mobile..: +48 602 284 546
