Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[HowTo] Restriction d'accès ssh pour certains users
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
sireyessire
Advocate
Advocate


Joined: 20 Mar 2003
Posts: 2991
Location: back in Paris, France

PostPosted: Sat Sep 25, 2004 6:00 pm    Post subject: [HowTo] Restriction d'accès ssh pour certains users Reply with quote

Imaginons la situation suivante:
2 utilisateurs d'un réseau privé connecté par routeur/NAT sur internet.
Il existe un serveur ssh Serveur_ssh dont le service ssh est autorisé sur l'extérieur. Alors, ce port 22 (ssh par défaut) est forwardé vers Serveur_ssh.
Vous avez 2 utilisateurs: linux (qui a un mot de passe conforme aux règles de sécurité usuelle) et win (dont le mot de passe est d'une affligeante simplicité).
Donc, vous savez que le mot de passe de votre utilisateur win est très médiocre, ne résisterait pas à une attaque brutale et que ce dernier n'a pas besoin de se connecter de l'extérieur, sauf de banquise.tuxmobil.ice . Evidement, vous pouvez imposé le changement de mot de passe vers quelque chose de plus sûr, faites le mais ce n'est pas toujours possible (et 2 solutions valent mieux qu'une).

Une solution consiste à paramétrer votre serveur ssh de manière à accepter votre utilisateur linux de n'importe où, et votre utilisateur win sera restreint au réseau local et à cette adresse.

pour cela direction le fichier de configuration /etc/ssh/sshd_config

et là on rajoute la ligne:
Code:
AllowUsers linux win@192.168.0.* win@banquise.tuxmobil.ice


les entrées sont séparées par des espaces
Il suffit d'ajouter le nom (attention le nom pas de UID) des utilisateurs qui auront accès au service ssh. Si ce nom prend la forme NOM@IP/DOMAIN alors le NOM et l'IP/DOMAIN seront vérifiés séparément. Tous les autres utilisateurs seront refoulés, ainsi que toute tentative de win depuis une autre adresse.

de même, vous pouvez utilisez des restrictions de groupe...
vous trouverez plus d'informations avec man 5 sshd_config.

Mais ce petit truc va me permettre de dormir tranquille maintenant :lol:

N'hésitez pas à faire des commentaires

Ce howto est distribué sous la license FDL.
_________________
I never think of the future. It comes soon enough.
Albert Einstein

Try simpler first
Shockley


Last edited by sireyessire on Sat Sep 25, 2004 7:19 pm; edited 1 time in total
Back to top
View user's profile Send private message
scout
Veteran
Veteran


Joined: 08 Mar 2003
Posts: 1991
Location: France, Paris en Semaine / Metz le W-E

PostPosted: Sat Sep 25, 2004 6:03 pm    Post subject: Reply with quote

Cool, je ne connaissait pas, merci ! :mrgreen:
[EDIT]
sireyessire wrote:
Ce howto est distribué sous la license FDL.

bon bah alors:
Cette réponse est distribué sous la license FDL.
_________________
http://petition.eurolinux.org/ - Petition against ePatents
L'essence de la finesse


Last edited by scout on Sat Sep 25, 2004 9:32 pm; edited 1 time in total
Back to top
View user's profile Send private message
sireyessire
Advocate
Advocate


Joined: 20 Mar 2003
Posts: 2991
Location: back in Paris, France

PostPosted: Sat Sep 25, 2004 6:05 pm    Post subject: Reply with quote

scout wrote:

Cette réponse est distribué sous la license GDL.



LOL :lol: :lol: :lol: :lol: :lol: :mrgreen:
_________________
I never think of the future. It comes soon enough.
Albert Einstein

Try simpler first
Shockley
Back to top
View user's profile Send private message
GNUTortue
Apprentice
Apprentice


Joined: 29 May 2004
Posts: 234
Location: Suisse Pontenet (BE)

PostPosted: Sat Sep 25, 2004 7:17 pm    Post subject: Reply with quote

<HS>
GDL c'est quoi comme licence ? Connais FDL mais GDL jamais vu...
Tiens j'aimerai bien d'ailleur mettre:
Quote:
Copyright (©) 2004 Andrea Blankenstijn

Vous pouvez copier, redistribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU, Version 1.2 ou toute autre version ultérieure publiée par la Free Software Foundation ; avec aucune Section Invariante. Une copie de la licence GNU Free Documentation Licence est incluse.

En signature mais malheureusement c'est trop long...
<HS>
_________________
Jabber : tortue@swissjabber.ch
donc les gentooistes on un penchant pour le japonais... (daywalker, 2004-10-07 à 15:23:57)
Samurai deeper Kyoo
Back to top
View user's profile Send private message
sireyessire
Advocate
Advocate


Joined: 20 Mar 2003
Posts: 2991
Location: back in Paris, France

PostPosted: Sat Sep 25, 2004 7:19 pm    Post subject: Reply with quote

GNUTortue wrote:

GDL c'est quoi comme licence ? Connais FDL mais GDL jamais vu...

GDL c'est un typo mais c'est corrigé now, il fallait lire FDL bien entendu
_________________
I never think of the future. It comes soon enough.
Albert Einstein

Try simpler first
Shockley
Back to top
View user's profile Send private message
Beber
Guru
Guru


Joined: 10 Apr 2004
Posts: 300
Location: Kemper, Lutèce

PostPosted: Sat Sep 25, 2004 8:02 pm    Post subject: Reply with quote

Sympa

mais il y a une facon plus simple et qui permet de moi faire rever les personnes non authorisé : Authentifacation par Clé RSA

Dans le /etc/ssh/sshd_config :

Code:
#PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys
RSAAuthentication yes


ensuite sur le client génére une clé :

Code:
ssh-keygen -t rsa


la passphrase n'est pas nécessaire

puis tu copie la clé publique ~/.ssh/id_rsa.pub sur le server en temps que ~/.ssh/authorized_key

donc je conseille vivement l'utilisation de cat >> ~/.ssh/authorized_key

et voila l'affaire est dans le sac
seul les users aillant la clé RSA peuvent se connecté sur le server et cela sans mot de passe

c'est pas beau ?
Back to top
View user's profile Send private message
sireyessire
Advocate
Advocate


Joined: 20 Mar 2003
Posts: 2991
Location: back in Paris, France

PostPosted: Sat Sep 25, 2004 8:19 pm    Post subject: Reply with quote

Beber wrote:
Sympa

mais il y a une facon plus simple et qui permet de moi faire rever les personnes non authorisé : Authentifacation par Clé RSA

Dans le /etc/ssh/sshd_config :

Code:
#PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys
RSAAuthentication yes


ensuite sur le client génére une clé :

Code:
ssh-keygen -t rsa


la passphrase n'est pas nécessaire

puis tu copie la clé publique ~/.ssh/id_rsa.pub sur le server en temps que ~/.ssh/authorized_key

donc je conseille vivement l'utilisation de cat >> ~/.ssh/authorized_key

et voila l'affaire est dans le sac
seul les users aillant la clé RSA peuvent se connecté sur le server et cela sans mot de passe

c'est pas beau ?

si mais tu as pas toujours ta clé rsa avec toi :lol:
alors que là c'est juste avec un user+password. Mais c'est sur que c'est encore plus sécu mais c'est moins facile à mettre en place à grande échelle.
_________________
I never think of the future. It comes soon enough.
Albert Einstein

Try simpler first
Shockley
Back to top
View user's profile Send private message
Antares
Apprentice
Apprentice


Joined: 04 Apr 2005
Posts: 184
Location: France

PostPosted: Wed Oct 26, 2005 12:12 am    Post subject: Reply with quote

Ce Howto a été retranscris sur fr.gentoo-wiki.org :D
Back to top
View user's profile Send private message
Starch
Guru
Guru


Joined: 26 Feb 2003
Posts: 539
Location: Rennes, France

PostPosted: Wed Oct 26, 2005 8:57 am    Post subject: Reply with quote

Beber wrote:
mais il y a une facon plus simple et qui permet de moi faire rever les personnes non authorisé : Authentifacation par Clé RSA


Et comme toujours la faille d'un truc comme ça c'est la flemme.

- Soit tu fais toutes les clés publiques et privées de tes users, ce qui est un rien terroriste, un peu abusif, et qui fout une flemme pas possible (genre comment tu leur envoies leur clé privée, faut qu'ils commencent par t'envoyer une clé publique pour crypter le mail dans lequel il y'a la clé, le mail suivant dans lequell il y aura le mot de passe).

- Soit tu les laisses les faire et ces cons là pourraient ne pas mettre de passphrase. « la passphrase n'est pas nécessaire » c'est peut-être la pire chose de tout. C'est un peu comme laisser sa voiture ouverte, les clés sur le contact, le moteur allumé dans un quartier mal famé toute une nuit et espérer la retrouver le lendemain intacte.¹

J'ai fini par ne plus accepter que moi sur ma machine, ça reste encore la meilleure solution.

[1] Imagine que tu veux te connecter du boulot. L'administrateur de ta machine peut amplement te pomper ta clé privée. Si elle n'a pas de passphrase c'est fini, pof. Si elle en a une, t'as peut-être une journée pour la virer des authorized keys...
_________________
- Vous aurez beau dire... Y'a pas qu'd'la pomme... Y'aurait pas aussi d'la betterave ?
- Si, y'en a aussi
Back to top
View user's profile Send private message
voltairien
Tux's lil' helper
Tux's lil' helper


Joined: 24 Apr 2004
Posts: 123

PostPosted: Wed Oct 26, 2005 9:56 am    Post subject: Reply with quote

Starch wrote:

- Soit tu les laisses les faire et ces cons là pourraient ne pas mettre de passphrase.


On travaille ensemble ? ... :-D
_________________
[Les Mechants] Voltairien
Back to top
View user's profile Send private message
LostControl
l33t
l33t


Joined: 02 Mar 2004
Posts: 885
Location: La Glane, Suisse

PostPosted: Wed Oct 26, 2005 12:01 pm    Post subject: Reply with quote

Starch wrote:
- Soit tu les laisses les faire et ces cons là pourraient ne pas mettre de passphrase. « la passphrase n'est pas nécessaire » c'est peut-être la pire chose de tout. C'est un peu comme laisser sa voiture ouverte, les clés sur le contact, le moteur allumé dans un quartier mal famé toute une nuit et espérer la retrouver le lendemain intacte.¹

J'ai fini par ne plus accepter que moi sur ma machine, ça reste encore la meilleure solution.

[1] Imagine que tu veux te connecter du boulot. L'administrateur de ta machine peut amplement te pomper ta clé privée. Si elle n'a pas de passphrase c'est fini, pof. Si elle en a une, t'as peut-être une journée pour la virer des authorized keys...

Entièrement d'accord avec toi :D Cependant, le fait de ne pas mettre de passphrase est justement ce qui rend la chose intéressante. Le mieux est, à mon avis, d'avoir ses clés sur un support externe, une clé USB par exemple. Ca permet de plus ou moins toujours se trainer avec et aussi de limiter le risque de se faire pomper ses clés privées.

A noter qu'il existe aussi des théories sur la longueur de la passphrase (bien entendu la longueur ne fait pas tout). Inutile de crypter sa clé privée 1024 bits avec une passphrase de 4 caractères. Une passpharse pour une clé de 2048 bits devrait être plus longue que pour 1024 bits. Cf théorie sur l'entropie si mes souvenirs sont bons :? Je vais essayé de retrouver des sources :wink:
_________________
http://www.jaqpot.net
http://www.fail2ban.org
Back to top
View user's profile Send private message
Starch
Guru
Guru


Joined: 26 Feb 2003
Posts: 539
Location: Rennes, France

PostPosted: Wed Oct 26, 2005 1:18 pm    Post subject: Reply with quote

LostControl wrote:

Entièrement d'accord avec toi :D Cependant, le fait de ne pas mettre de passphrase est justement ce qui rend la chose intéressante. Le mieux est, à mon avis, d'avoir ses clés sur un support externe, une clé USB par exemple. Ca permet de plus ou moins toujours se trainer avec et aussi de limiter le risque de se faire pomper ses clés privées.


moueps... Un clé usb formatée en ext2/3 et cryptée alors :)
Disons que l'avantage du password (la tip de sireyessire est aussi valable avec une authentification par clé si je ne m'abuse), est que tu peux forcer ton user à le changer régulièrement. Un couple de clés c'est plus dur.

EDIT: perso, je ne travaille qu'avec une auth par clé, mais je vois le problème du point de vue d'un mec qui voudrait autoriser l'accès à plusieurs utilisateurs, pour rester un peu dans le cadre du post de base :p

Le désavantage de penser aux problèmes de sécurité, c'est que tu n'en finis jamais :/

LostControl wrote:

A noter qu'il existe aussi des théories sur la longueur de la passphrase (bien entendu la longueur ne fait pas tout). Inutile de crypter sa clé privée 1024 bits avec une passphrase de 4 caractères. Une passpharse pour une clé de 2048 bits devrait être plus longue que pour 1024 bits. Cf théorie sur l'entropie si mes souvenirs sont bons :? Je vais essayé de retrouver des sources :wink:


Intéressant... Je ne savais pas ça.
_________________
- Vous aurez beau dire... Y'a pas qu'd'la pomme... Y'aurait pas aussi d'la betterave ?
- Si, y'en a aussi
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum