On Thu, Jan 22, 2004 at 10:03:17AM +0100, schaefer wrote:
> SSH permet de faire AllowGroups ou DenyGroups: cr�er un groupe
J'ajouterai qu'avec cette m�thode il faut faire attention aux autres
mani�res de se connecter sur le syst�me (console, FTP, etc). Dans ces
cas-l�, la m�thode historique �tait de mettre un shell non list� dans
/etc/shells (ou pour FTP de mettre l'utilisateur dans /etc/ftpusers).
Des versions modernes de FTP permettent des configurations plus fines
ainsi que des �quivalents de DenyGroup.
Tout cela est fort complexe et il est facile de faire des erreurs. C'est
pour cela que PAM a �t� cr�� (Pluggable Authentification Modules).
L'id�e �tait de sortir la partie identification des programmes, de
mani�re � pouvoir facilement corriger des probl�mes de s�curit� et
ajouter de nouvelles m�thodes d'authentification globalement.
Les biblioth�ques PAM sont des fichiers .so (shared objects, objets
partag�s: sorte de biblioth�ques partag�es charg�es � la demande, les
personnes sous Microsoft Windows compareront au concept de DLL).
PAM se configure en g�n�ral dans le fichier /etc/pam.conf. Certaines
distributions (p.ex. Debian) ont plut�t un r�pertoire /etc/pam.d/ dont
chacun des fichiers -- � la mode de /etc/cron.d/ par exemple appartient
� un package donn� (p.ex. ssh, proftpd, etc) et contient les
configurations par d�faut de ce package.
Il y a aussi une configuration particulier, others, situ� dans ce cas
dans /etc/pam.d/others et qui donne les param�tres par d�faut lorsque
rien n'est sp�cifi�.
En tous cas sur la Debian et pour SSH, par d�faut c'est others qui
s'applique car toutes les configurations sp�cifiques dans /etc/pam.d/ssh
sont comment�es.
On pourrait donc modifier /etc/pam.d/others pour interdire certains
utilisateurs globalement, et adapter si n�cessaire pour POP et/ou FTP
par exemple.
Exemple simple: (� ajouter dans /etc/pam.d/ssh)
interdire les utilisateurs list�s dans un fichier donn�, sinon passer
par authentification UNIX
auth required /usr/lib/security/pam_unix_auth.so
auth required pam_listfile.so \
onerr=succeed item=user sense=deny \
file=/etc/blacklisted_users
Autre exemple:
interdire les connexions sous `root' via SSH ne provenant pas
de machines sp�cifiquement list�es.
/etc/security/access.conf
-:root:ALL EXCEPT 1.2.3.4
/etc/pam.d/ssh
account required pam_access.so
Malgr� tout, comme on joue avec l'identification syst�me globalement, il
est conseill� de faire des essais de connexion (console, SSH, su) avant de
quitter sa session `root' si on modifie la configuration PAM.
Je n'ai pas v�rifi� s'il faut red�marrer les daemons concern�s (p.ex.
/etc/init.d/ssh reload ou restart) si l'on modifie PAM.
Plus d'informations dans le package libpam-doc (en tous cas sous
Debian), notamment sur chacun des modules existants.
_______________________________________________
gull mailing list
[EMAIL PROTECTED]
http://lists.alphanet.ch/mailman/listinfo/gull
