View previous topic :: View next topic |
Author |
Message |
sireyessire Advocate
Joined: 20 Mar 2003 Posts: 2991 Location: back in Paris, France
|
Posted: Sat Sep 25, 2004 6:00 pm Post subject: [HowTo] Restriction d'accès ssh pour certains users |
|
|
Imaginons la situation suivante:
2 utilisateurs d'un réseau privé connecté par routeur/NAT sur internet.
Il existe un serveur ssh Serveur_ssh dont le service ssh est autorisé sur l'extérieur. Alors, ce port 22 (ssh par défaut) est forwardé vers Serveur_ssh.
Vous avez 2 utilisateurs: linux (qui a un mot de passe conforme aux règles de sécurité usuelle) et win (dont le mot de passe est d'une affligeante simplicité).
Donc, vous savez que le mot de passe de votre utilisateur win est très médiocre, ne résisterait pas à une attaque brutale et que ce dernier n'a pas besoin de se connecter de l'extérieur, sauf de banquise.tuxmobil.ice . Evidement, vous pouvez imposé le changement de mot de passe vers quelque chose de plus sûr, faites le mais ce n'est pas toujours possible (et 2 solutions valent mieux qu'une).
Une solution consiste à paramétrer votre serveur ssh de manière à accepter votre utilisateur linux de n'importe où, et votre utilisateur win sera restreint au réseau local et à cette adresse.
pour cela direction le fichier de configuration /etc/ssh/sshd_config
et là on rajoute la ligne:
Code: | AllowUsers linux win@192.168.0.* win@banquise.tuxmobil.ice |
les entrées sont séparées par des espaces
Il suffit d'ajouter le nom (attention le nom pas de UID) des utilisateurs qui auront accès au service ssh. Si ce nom prend la forme NOM@IP/DOMAIN alors le NOM et l'IP/DOMAIN seront vérifiés séparément. Tous les autres utilisateurs seront refoulés, ainsi que toute tentative de win depuis une autre adresse.
de même, vous pouvez utilisez des restrictions de groupe...
vous trouverez plus d'informations avec man 5 sshd_config.
Mais ce petit truc va me permettre de dormir tranquille maintenant
N'hésitez pas à faire des commentaires
Ce howto est distribué sous la license FDL. _________________ I never think of the future. It comes soon enough.
Albert Einstein
Try simpler first
Shockley
Last edited by sireyessire on Sat Sep 25, 2004 7:19 pm; edited 1 time in total |
|
Back to top |
|
|
scout Veteran
Joined: 08 Mar 2003 Posts: 1991 Location: France, Paris en Semaine / Metz le W-E
|
Posted: Sat Sep 25, 2004 6:03 pm Post subject: |
|
|
Cool, je ne connaissait pas, merci !
[EDIT] sireyessire wrote: | Ce howto est distribué sous la license FDL. |
bon bah alors:
Cette réponse est distribué sous la license FDL. _________________ http://petition.eurolinux.org/ - Petition against ePatents
L'essence de la finesse
Last edited by scout on Sat Sep 25, 2004 9:32 pm; edited 1 time in total |
|
Back to top |
|
|
sireyessire Advocate
Joined: 20 Mar 2003 Posts: 2991 Location: back in Paris, France
|
Posted: Sat Sep 25, 2004 6:05 pm Post subject: |
|
|
scout wrote: |
Cette réponse est distribué sous la license GDL. |
LOL _________________ I never think of the future. It comes soon enough.
Albert Einstein
Try simpler first
Shockley |
|
Back to top |
|
|
GNUTortue Apprentice
Joined: 29 May 2004 Posts: 234 Location: Suisse Pontenet (BE)
|
Posted: Sat Sep 25, 2004 7:17 pm Post subject: |
|
|
<HS>
GDL c'est quoi comme licence ? Connais FDL mais GDL jamais vu...
Tiens j'aimerai bien d'ailleur mettre:
Quote: | Copyright (©) 2004 Andrea Blankenstijn
Vous pouvez copier, redistribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU, Version 1.2 ou toute autre version ultérieure publiée par la Free Software Foundation ; avec aucune Section Invariante. Une copie de la licence GNU Free Documentation Licence est incluse. |
En signature mais malheureusement c'est trop long...
<HS> _________________ Jabber : tortue@swissjabber.ch
donc les gentooistes on un penchant pour le japonais... (daywalker, 2004-10-07 à 15:23:57)
Samurai deeper Kyoo |
|
Back to top |
|
|
sireyessire Advocate
Joined: 20 Mar 2003 Posts: 2991 Location: back in Paris, France
|
Posted: Sat Sep 25, 2004 7:19 pm Post subject: |
|
|
GNUTortue wrote: |
GDL c'est quoi comme licence ? Connais FDL mais GDL jamais vu...
|
GDL c'est un typo mais c'est corrigé now, il fallait lire FDL bien entendu _________________ I never think of the future. It comes soon enough.
Albert Einstein
Try simpler first
Shockley |
|
Back to top |
|
|
Beber Guru
Joined: 10 Apr 2004 Posts: 300 Location: Kemper, Lutèce
|
Posted: Sat Sep 25, 2004 8:02 pm Post subject: |
|
|
Sympa
mais il y a une facon plus simple et qui permet de moi faire rever les personnes non authorisé : Authentifacation par Clé RSA
Dans le /etc/ssh/sshd_config :
Code: | #PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
RSAAuthentication yes |
ensuite sur le client génére une clé :
la passphrase n'est pas nécessaire
puis tu copie la clé publique ~/.ssh/id_rsa.pub sur le server en temps que ~/.ssh/authorized_key
donc je conseille vivement l'utilisation de cat >> ~/.ssh/authorized_key
et voila l'affaire est dans le sac
seul les users aillant la clé RSA peuvent se connecté sur le server et cela sans mot de passe
c'est pas beau ? |
|
Back to top |
|
|
sireyessire Advocate
Joined: 20 Mar 2003 Posts: 2991 Location: back in Paris, France
|
Posted: Sat Sep 25, 2004 8:19 pm Post subject: |
|
|
Beber wrote: | Sympa
mais il y a une facon plus simple et qui permet de moi faire rever les personnes non authorisé : Authentifacation par Clé RSA
Dans le /etc/ssh/sshd_config :
Code: | #PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
RSAAuthentication yes |
ensuite sur le client génére une clé :
la passphrase n'est pas nécessaire
puis tu copie la clé publique ~/.ssh/id_rsa.pub sur le server en temps que ~/.ssh/authorized_key
donc je conseille vivement l'utilisation de cat >> ~/.ssh/authorized_key
et voila l'affaire est dans le sac
seul les users aillant la clé RSA peuvent se connecté sur le server et cela sans mot de passe
c'est pas beau ? |
si mais tu as pas toujours ta clé rsa avec toi
alors que là c'est juste avec un user+password. Mais c'est sur que c'est encore plus sécu mais c'est moins facile à mettre en place à grande échelle. _________________ I never think of the future. It comes soon enough.
Albert Einstein
Try simpler first
Shockley |
|
Back to top |
|
|
Antares Apprentice
Joined: 04 Apr 2005 Posts: 184 Location: France
|
Posted: Wed Oct 26, 2005 12:12 am Post subject: |
|
|
Ce Howto a été retranscris sur fr.gentoo-wiki.org |
|
Back to top |
|
|
Starch Guru
Joined: 26 Feb 2003 Posts: 539 Location: Rennes, France
|
Posted: Wed Oct 26, 2005 8:57 am Post subject: |
|
|
Beber wrote: | mais il y a une facon plus simple et qui permet de moi faire rever les personnes non authorisé : Authentifacation par Clé RSA |
Et comme toujours la faille d'un truc comme ça c'est la flemme.
- Soit tu fais toutes les clés publiques et privées de tes users, ce qui est un rien terroriste, un peu abusif, et qui fout une flemme pas possible (genre comment tu leur envoies leur clé privée, faut qu'ils commencent par t'envoyer une clé publique pour crypter le mail dans lequel il y'a la clé, le mail suivant dans lequell il y aura le mot de passe).
- Soit tu les laisses les faire et ces cons là pourraient ne pas mettre de passphrase. « la passphrase n'est pas nécessaire » c'est peut-être la pire chose de tout. C'est un peu comme laisser sa voiture ouverte, les clés sur le contact, le moteur allumé dans un quartier mal famé toute une nuit et espérer la retrouver le lendemain intacte.¹
J'ai fini par ne plus accepter que moi sur ma machine, ça reste encore la meilleure solution.
[1] Imagine que tu veux te connecter du boulot. L'administrateur de ta machine peut amplement te pomper ta clé privée. Si elle n'a pas de passphrase c'est fini, pof. Si elle en a une, t'as peut-être une journée pour la virer des authorized keys... _________________ - Vous aurez beau dire... Y'a pas qu'd'la pomme... Y'aurait pas aussi d'la betterave ?
- Si, y'en a aussi |
|
Back to top |
|
|
voltairien Tux's lil' helper
Joined: 24 Apr 2004 Posts: 123
|
Posted: Wed Oct 26, 2005 9:56 am Post subject: |
|
|
Starch wrote: |
- Soit tu les laisses les faire et ces cons là pourraient ne pas mettre de passphrase. |
On travaille ensemble ? ... _________________ [Les Mechants] Voltairien |
|
Back to top |
|
|
LostControl l33t
Joined: 02 Mar 2004 Posts: 885 Location: La Glane, Suisse
|
Posted: Wed Oct 26, 2005 12:01 pm Post subject: |
|
|
Starch wrote: | - Soit tu les laisses les faire et ces cons là pourraient ne pas mettre de passphrase. « la passphrase n'est pas nécessaire » c'est peut-être la pire chose de tout. C'est un peu comme laisser sa voiture ouverte, les clés sur le contact, le moteur allumé dans un quartier mal famé toute une nuit et espérer la retrouver le lendemain intacte.¹
J'ai fini par ne plus accepter que moi sur ma machine, ça reste encore la meilleure solution.
[1] Imagine que tu veux te connecter du boulot. L'administrateur de ta machine peut amplement te pomper ta clé privée. Si elle n'a pas de passphrase c'est fini, pof. Si elle en a une, t'as peut-être une journée pour la virer des authorized keys... |
Entièrement d'accord avec toi Cependant, le fait de ne pas mettre de passphrase est justement ce qui rend la chose intéressante. Le mieux est, à mon avis, d'avoir ses clés sur un support externe, une clé USB par exemple. Ca permet de plus ou moins toujours se trainer avec et aussi de limiter le risque de se faire pomper ses clés privées.
A noter qu'il existe aussi des théories sur la longueur de la passphrase (bien entendu la longueur ne fait pas tout). Inutile de crypter sa clé privée 1024 bits avec une passphrase de 4 caractères. Une passpharse pour une clé de 2048 bits devrait être plus longue que pour 1024 bits. Cf théorie sur l'entropie si mes souvenirs sont bons Je vais essayé de retrouver des sources _________________ http://www.jaqpot.net
http://www.fail2ban.org |
|
Back to top |
|
|
Starch Guru
Joined: 26 Feb 2003 Posts: 539 Location: Rennes, France
|
Posted: Wed Oct 26, 2005 1:18 pm Post subject: |
|
|
LostControl wrote: |
Entièrement d'accord avec toi Cependant, le fait de ne pas mettre de passphrase est justement ce qui rend la chose intéressante. Le mieux est, à mon avis, d'avoir ses clés sur un support externe, une clé USB par exemple. Ca permet de plus ou moins toujours se trainer avec et aussi de limiter le risque de se faire pomper ses clés privées.
|
moueps... Un clé usb formatée en ext2/3 et cryptée alors
Disons que l'avantage du password (la tip de sireyessire est aussi valable avec une authentification par clé si je ne m'abuse), est que tu peux forcer ton user à le changer régulièrement. Un couple de clés c'est plus dur.
EDIT: perso, je ne travaille qu'avec une auth par clé, mais je vois le problème du point de vue d'un mec qui voudrait autoriser l'accès à plusieurs utilisateurs, pour rester un peu dans le cadre du post de base :p
Le désavantage de penser aux problèmes de sécurité, c'est que tu n'en finis jamais :/
LostControl wrote: |
A noter qu'il existe aussi des théories sur la longueur de la passphrase (bien entendu la longueur ne fait pas tout). Inutile de crypter sa clé privée 1024 bits avec une passphrase de 4 caractères. Une passpharse pour une clé de 2048 bits devrait être plus longue que pour 1024 bits. Cf théorie sur l'entropie si mes souvenirs sont bons Je vais essayé de retrouver des sources |
Intéressant... Je ne savais pas ça. _________________ - Vous aurez beau dire... Y'a pas qu'd'la pomme... Y'aurait pas aussi d'la betterave ?
- Si, y'en a aussi |
|
Back to top |
|
|
|