Bonjour,

Je cherche à limiter les connexions en root seulement depuis le réseau local
(homeg.lan).

J'ai essayé ceci sans succès :

PermitRootLogin yes
AllowUsers root@*.homeg.lan

Est-ce possible ? Je n'ai pas trouvé de docs la-dessus.
--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

Michel Grentzinger wrote:
> Bonjour,
>
> Je cherche à limiter les connexions en root seulement depuis le réseau local
> (homeg.lan).
>
> J'ai essayé ceci sans succès :
>
> PermitRootLogin yes
> AllowUsers root@*.homeg.lan
>
> Est-ce possible ? Je n'ai pas trouvé de docs la-dessus.
>
pas à ma connaissance.

Cela dit, il n'y a aucune raison d'autoriser l'accès à root. ca empêche
tout audit. il vaut mieux que chaque utilisateur utilise son propre
compte, et si necessaire fait 'su' (ou sudo).


maintenant, tu peux aussi lancer deux ssh: un pour le réseau local et un
pour le "public". il faut dupliquer la configuration bien entendu (y
compris /etc/pam.d/ssh).



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Michel Grentzinger wrote:
> Bonjour,
>
> Je cherche à limiter les connexions en root seulement depuis le réseau local
> (homeg.lan).
>
> J'ai essayé ceci sans succès :
>
> PermitRootLogin yes
> AllowUsers root@*.homeg.lan
>
> Est-ce possible ? Je n'ai pas trouvé de docs la-dessus.
>
pas à ma connaissance.

Cela dit, il n'y a aucune raison d'autoriser l'accès à root. ca empêche
tout audit. il vaut mieux que chaque utilisateur utilise son propre
compte, et si necessaire fait 'su' (ou sudo).


maintenant, tu peux aussi lancer deux ssh: un pour le réseau local et un
pour le "public". il faut dupliquer la configuration bien entendu (y
compris /etc/pam.d/ssh).



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le samedi 10 février 2007 19:41, mouss a écrit :
> > Je cherche à limiter les connexions en root seulement depuis le réseau
> > local (homeg.lan).
> >
> > J'ai essayé ceci sans succès :
> >
> > PermitRootLogin yes
> > AllowUsers root@*.homeg.lan
> >
> > Est-ce possible ? Je n'ai pas trouvé de docs la-dessus.
> > Â
>
> pas à ma connaissance.
>
> Cela dit, il n'y a aucune raison d'autoriser l'accès à root. caempêche
> tout audit. il vaut mieux que chaque utilisateur utilise son propre
> compte, et si necessaire fait 'su' (ou sudo).

Oui mais pour gérer mon serveur, c'est beaucoup plus pratique d'aller
directement dans le compte root !


--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

Le samedi 10 février 2007 19:41, mouss a écrit :
> > Je cherche à limiter les connexions en root seulement depuis le réseau
> > local (homeg.lan).
> >
> > J'ai essayé ceci sans succès :
> >
> > PermitRootLogin yes
> > AllowUsers root@*.homeg.lan
> >
> > Est-ce possible ? Je n'ai pas trouvé de docs la-dessus.
> > Â
>
> pas à ma connaissance.
>
> Cela dit, il n'y a aucune raison d'autoriser l'accès à root. caempêche
> tout audit. il vaut mieux que chaque utilisateur utilise son propre
> compte, et si necessaire fait 'su' (ou sudo).

Oui mais pour gérer mon serveur, c'est beaucoup plus pratique d'aller
directement dans le compte root !


--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

Michel Grentzinger a écrit :
> [...]
>> Cela dit, il n'y a aucune raison d'autoriser l'accès à root. ca empêche
>> tout audit. il vaut mieux que chaque utilisateur utilise son propre
>> compte, et si necessaire fait 'su' (ou sudo).
>>
>
> Oui mais pour gérer mon serveur, c'est beaucoup plus pratique d'aller
> directement dans le compte root !
>
Pratique pour quoi? "gérer" un serveur demande de l' attention de la
part de l' administrateur: un accès en user suivi d' un sudo comme cela
a été proposé est la meilleure solution en matière de sécurité.

A vous de voir si le pratique doit prendre le pas sur la sécurité.
Quant au "beaucoup", j' en doute ;-)!

--
Daniel Huhardeaux _____ ____ ____ _____ _____ _
enum +48 32 285 5276 (_ __) _ ) _ (_ __) _ _(_)
iaxtel 1-700-849-6983 / / / // / // / / / / /_/ / /
sip/iax:callto 101@voip./_/ ( ___( ___/ /_/ (_/ (_/_/.net FWD# 422493


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Michel Grentzinger a écrit :
> [...]
>> Cela dit, il n'y a aucune raison d'autoriser l'accès à root. ca empêche
>> tout audit. il vaut mieux que chaque utilisateur utilise son propre
>> compte, et si necessaire fait 'su' (ou sudo).
>>
>
> Oui mais pour gérer mon serveur, c'est beaucoup plus pratique d'aller
> directement dans le compte root !
>
Pratique pour quoi? "gérer" un serveur demande de l' attention de la
part de l' administrateur: un accès en user suivi d' un sudo comme cela
a été proposé est la meilleure solution en matière de sécurité.

A vous de voir si le pratique doit prendre le pas sur la sécurité.
Quant au "beaucoup", j' en doute ;-)!

--
Daniel Huhardeaux _____ ____ ____ _____ _____ _
enum +48 32 285 5276 (_ __) _ ) _ (_ __) _ _(_)
iaxtel 1-700-849-6983 / / / // / // / / / / /_/ / /
sip/iax:callto 101@voip./_/ ( ___( ___/ /_/ (_/ (_/_/.net FWD# 422493


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Michel Grentzinger wrote:
> Le samedi 10 février 2007 19:41, mouss a écrit :
>
>>> Je cherche à limiter les connexions en root seulement depuis le réseau
>>> local (homeg.lan).
>>>
>>> J'ai essayé ceci sans succès :
>>>
>>> PermitRootLogin yes
>>> AllowUsers root@*.homeg.lan
>>>
>>> Est-ce possible ? Je n'ai pas trouvé de docs la-dessus.
>>>
>>>
>> pas à ma connaissance.
>>
>> Cela dit, il n'y a aucune raison d'autoriser l'accès à root. ca empêche
>> tout audit. il vaut mieux que chaque utilisateur utilise son propre
>> compte, et si necessaire fait 'su' (ou sudo).
>>
>
> Oui mais pour gérer mon serveur, c'est beaucoup plus pratique d'aller
> directement dans le compte root !
>
>
>

tu lances une instance ssh juste pour ça. cette instance écoutera sur un
port à choisir, autorisera uniquement les connexions à partir du réseau
local, et uniquement pour des comptes à choisir. pour cela, il faut
faire une copie des fichiers ssh. attention au fichier de pid dans
/etc/init.d/ssh (sinon, tu risque d'arrêter le mauvais ssh...).



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Michel Grentzinger wrote:
> Le samedi 10 février 2007 19:41, mouss a écrit :
>
>>> Je cherche à limiter les connexions en root seulement depuis le réseau
>>> local (homeg.lan).
>>>
>>> J'ai essayé ceci sans succès :
>>>
>>> PermitRootLogin yes
>>> AllowUsers root@*.homeg.lan
>>>
>>> Est-ce possible ? Je n'ai pas trouvé de docs la-dessus.
>>>
>>>
>> pas à ma connaissance.
>>
>> Cela dit, il n'y a aucune raison d'autoriser l'accès à root. ca empêche
>> tout audit. il vaut mieux que chaque utilisateur utilise son propre
>> compte, et si necessaire fait 'su' (ou sudo).
>>
>
> Oui mais pour gérer mon serveur, c'est beaucoup plus pratique d'aller
> directement dans le compte root !
>
>
>

tu lances une instance ssh juste pour ça. cette instance écoutera sur un
port à choisir, autorisera uniquement les connexions à partir du réseau
local, et uniquement pour des comptes à choisir. pour cela, il faut
faire une copie des fichiers ssh. attention au fichier de pid dans
/etc/init.d/ssh (sinon, tu risque d'arrêter le mauvais ssh...).



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Jean-Yves F. Barbier wrote:
> Le dimanche 11 février 2007 18:19, Franck Joncourt a écrit :
>> De Leeuw Guy wrote:
>>> Bonjour
>>>
>>> Interdire le root login mais autoriser une connection par clefs
>>> Guy
>> Je pense que autoriser le login root est beaucoup trop dangereux, meme
>> avec une clef publique.
>>
>> Avec quelqu'un de mal intentionne sur le resau local, on est pas a
>> l'abris d'une "replay attack".
>
> Faux, sinon la politique Debian n'aurait pas précédemment
> changée "PermitRootLogin" de "no" vers "yes".
>
> JY
>
>

Qu'est ce qui est considere comme faux ?
1/ le fait de se logguer en root avec mot de passe
2/ le fait de se logguer en root avec une clef publique
3/ 1 & 2
n'est pas sure.

Moi, c'etait mon avis, mais je suis preneur si quelqu'un peut
m'expliquer pourquoi.

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFz3GpxJBTTnXAif4RAo7yAJ0Yux2GwX4HWr0LiHAUUU zYIN0L8QCg0tiL
3Wk0geakiHbdoi/iu00YV2o=
=+NOv
-----END PGP SIGNATURE-----




__________________________________________________ _________
All new Yahoo! Mail "The new Interface is stunning in its simplicity and ease of use." - PC Magazine
http://uk.docs.yahoo.com/nowyoucan.html


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Jean-Yves F. Barbier wrote:
> Le dimanche 11 février 2007 18:19, Franck Joncourt a écrit :
>> De Leeuw Guy wrote:
>>> Bonjour
>>>
>>> Interdire le root login mais autoriser une connection par clefs
>>> Guy
>> Je pense que autoriser le login root est beaucoup trop dangereux, meme
>> avec une clef publique.
>>
>> Avec quelqu'un de mal intentionne sur le resau local, on est pas a
>> l'abris d'une "replay attack".
>
> Faux, sinon la politique Debian n'aurait pas précédemment
> changée "PermitRootLogin" de "no" vers "yes".
>
> JY
>
>

Qu'est ce qui est considere comme faux ?
1/ le fait de se logguer en root avec mot de passe
2/ le fait de se logguer en root avec une clef publique
3/ 1 & 2
n'est pas sure.

Moi, c'etait mon avis, mais je suis preneur si quelqu'un peut
m'expliquer pourquoi.

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFz3GpxJBTTnXAif4RAo7yAJ0Yux2GwX4HWr0LiHAUUU zYIN0L8QCg0tiL
3Wk0geakiHbdoi/iu00YV2o=
=+NOv
-----END PGP SIGNATURE-----




__________________________________________________ _________
All new Yahoo! Mail "The new Interface is stunning in its simplicity and ease of use." - PC Magazine
http://uk.docs.yahoo.com/nowyoucan.html


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bonjour

Interdire le root login mais autoriser une connection par clefs
Guy

Michel Grentzinger a écrit :
> Le samedi 10 février 2007 19:41, mouss a écrit :
>
>>> Je cherche à limiter les connexions en root seulement depuis le réseau
>>> local (homeg.lan).
>>>
>>> J'ai essayé ceci sans succès :
>>>
>>> PermitRootLogin yes
>>> AllowUsers root@*.homeg.lan
>>>
>>> Est-ce possible ? Je n'ai pas trouvé de docs la-dessus.
>>>
>>>
>> pas à ma connaissance.
>>
>> Cela dit, il n'y a aucune raison d'autoriser l'accès à root. ca empêche
>> tout audit. il vaut mieux que chaque utilisateur utilise son propre
>> compte, et si necessaire fait 'su' (ou sudo).
>>
>
> Oui mais pour gérer mon serveur, c'est beaucoup plus pratique d'aller
> directement dans le compte root !
>
>
>


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bonjour

Interdire le root login mais autoriser une connection par clefs
Guy

Michel Grentzinger a écrit :
> Le samedi 10 février 2007 19:41, mouss a écrit :
>
>>> Je cherche à limiter les connexions en root seulement depuis le réseau
>>> local (homeg.lan).
>>>
>>> J'ai essayé ceci sans succès :
>>>
>>> PermitRootLogin yes
>>> AllowUsers root@*.homeg.lan
>>>
>>> Est-ce possible ? Je n'ai pas trouvé de docs la-dessus.
>>>
>>>
>> pas à ma connaissance.
>>
>> Cela dit, il n'y a aucune raison d'autoriser l'accès à root. ca empêche
>> tout audit. il vaut mieux que chaque utilisateur utilise son propre
>> compte, et si necessaire fait 'su' (ou sudo).
>>
>
> Oui mais pour gérer mon serveur, c'est beaucoup plus pratique d'aller
> directement dans le compte root !
>
>
>


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Michel Grentzinger wrote:
> Le dimanche 11 février 2007 18:19, Franck Joncourt a écrit :
>>> Interdire le root login mais autoriser une connection par clefs
>>> Guy
>> Je pense que autoriser le login root est beaucoup trop dangereux, meme
>> avec une clef publique.
>>
>> Avec quelqu'un de mal intentionne sur le resau local, on est pas a
>> l'abris d'une "replay attack".
>>
>> Mais bon,tout depend du contexte dans lequel on se place.
>
> Réseau domestique...
> Donc j'interdis le login root mais je requiers une connexion par clé, c'est
> bien ça ?
> J'aurais accès au root directement ?
>

J'ai jamais effectue de connexion root en ssh! J'ai la directive
''PermitRootLogin'' a no. Je me connecte en ssh via un utilisateur
classique et je me loggue ensuite en root.

Pour te donner la bonne configuration je ne suis donc pas le mieux place
Mais, moi j'essayerais :

PermitRootLogin forced-commands-only
PubkeyAuthentication yes
PasswordAuthentication yes

Cela devrait pouvoir te permettre de te logguer avec un mot de passe
pour les utilisateurs classiques et uniquement par clef publique pour
l'utilisateur root.

Y aurait-il quelqu'un dans l'assistance avec une telle configuration ?

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFz29MxJBTTnXAif4RAuNbAJoD6iVzut+XSf1+TrtQO7 dvor2g0wCePhxI
HvWT+yv3it1CmGuNyYxRXyo=
=+QYb
-----END PGP SIGNATURE-----


__________________________________________________ _________
Try the all-new Yahoo! Mail. "The New Version is radically easier to use" – The Wall Street Journal
http://uk.docs.yahoo.com/nowyoucan.html


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Michel Grentzinger wrote:
> Le dimanche 11 février 2007 18:19, Franck Joncourt a écrit :
>>> Interdire le root login mais autoriser une connection par clefs
>>> Guy
>> Je pense que autoriser le login root est beaucoup trop dangereux, meme
>> avec une clef publique.
>>
>> Avec quelqu'un de mal intentionne sur le resau local, on est pas a
>> l'abris d'une "replay attack".
>>
>> Mais bon,tout depend du contexte dans lequel on se place.
>
> Réseau domestique...
> Donc j'interdis le login root mais je requiers une connexion par clé, c'est
> bien ça ?
> J'aurais accès au root directement ?
>

J'ai jamais effectue de connexion root en ssh! J'ai la directive
''PermitRootLogin'' a no. Je me connecte en ssh via un utilisateur
classique et je me loggue ensuite en root.

Pour te donner la bonne configuration je ne suis donc pas le mieux place
Mais, moi j'essayerais :

PermitRootLogin forced-commands-only
PubkeyAuthentication yes
PasswordAuthentication yes

Cela devrait pouvoir te permettre de te logguer avec un mot de passe
pour les utilisateurs classiques et uniquement par clef publique pour
l'utilisateur root.

Y aurait-il quelqu'un dans l'assistance avec une telle configuration ?

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFz29MxJBTTnXAif4RAuNbAJoD6iVzut+XSf1+TrtQO7 dvor2g0wCePhxI
HvWT+yv3it1CmGuNyYxRXyo=
=+QYb
-----END PGP SIGNATURE-----


__________________________________________________ _________
Try the all-new Yahoo! Mail. "The New Version is radically easier to use" – The Wall Street Journal
http://uk.docs.yahoo.com/nowyoucan.html


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le dimanche 11 février 2007 18:19, Franck Joncourt a écrit :
> > Interdire le root login mais autoriser une connection par clefs
> > Guy
>
> Je pense que autoriser le login root est beaucoup trop dangereux, meme
> avec une clef publique.
>
> Avec quelqu'un de mal intentionne sur le resau local, on est pas a
> l'abris d'une "replay attack".
>
> Mais bon,tout depend du contexte dans lequel on se place.

Réseau domestique...
Donc j'interdis le login root mais je requiers une connexion par clé, c'est
bien ça ?
J'aurais accès au root directement ?

--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

Le dimanche 11 février 2007 18:19, Franck Joncourt a écrit :
> > Interdire le root login mais autoriser une connection par clefs
> > Guy
>
> Je pense que autoriser le login root est beaucoup trop dangereux, meme
> avec une clef publique.
>
> Avec quelqu'un de mal intentionne sur le resau local, on est pas a
> l'abris d'une "replay attack".
>
> Mais bon,tout depend du contexte dans lequel on se place.

Réseau domestique...
Donc j'interdis le login root mais je requiers une connexion par clé, c'est
bien ça ?
J'aurais accès au root directement ?

--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

Le dimanche 11 février 2007 18:19, Franck Joncourt a écritÂ:
> De Leeuw Guy wrote:
> > Bonjour
> >
> > Interdire le root login mais autoriser une connection par clefs
> > Guy
>
> Je pense que autoriser le login root est beaucoup trop dangereux, meme
> avec une clef publique.
>
> Avec quelqu'un de mal intentionne sur le resau local, on est pas a
> l'abris d'une "replay attack".

Faux, sinon la politique Debian n'aurait pas précédemment
changée "PermitRootLogin" de "no" vers "yes".

JY

Le dimanche 11 février 2007 18:19, Franck Joncourt a écritÂ:
> De Leeuw Guy wrote:
> > Bonjour
> >
> > Interdire le root login mais autoriser une connection par clefs
> > Guy
>
> Je pense que autoriser le login root est beaucoup trop dangereux, meme
> avec une clef publique.
>
> Avec quelqu'un de mal intentionne sur le resau local, on est pas a
> l'abris d'une "replay attack".

Faux, sinon la politique Debian n'aurait pas précédemment
changée "PermitRootLogin" de "no" vers "yes".

JY

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

De Leeuw Guy wrote:
> Bonjour
>
> Interdire le root login mais autoriser une connection par clefs
> Guy
>
>

Je pense que autoriser le login root est beaucoup trop dangereux, meme
avec une clef publique.

Avec quelqu'un de mal intentionne sur le resau local, on est pas a
l'abris d'une "replay attack".

Mais bon,tout depend du contexte dans lequel on se place.

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFz1AWxJBTTnXAif4RAuLuAJ9e4Dxpp+4y3sA3G0Pz/WzQ4nTO8ACdGamU
imsVmmtlL/p7CE/7b/HS+dc=
=Bgfz
-----END PGP SIGNATURE-----


__________________________________________________ _________
All New Yahoo! Mail – Tired of Vi@gr@! come-ons? Let our SpamGuard protect you. http://uk.docs.yahoo.com/nowyoucan.html


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

De Leeuw Guy wrote:
> Bonjour
>
> Interdire le root login mais autoriser une connection par clefs
> Guy
>
>

Je pense que autoriser le login root est beaucoup trop dangereux, meme
avec une clef publique.

Avec quelqu'un de mal intentionne sur le resau local, on est pas a
l'abris d'une "replay attack".

Mais bon,tout depend du contexte dans lequel on se place.

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFz1AWxJBTTnXAif4RAuLuAJ9e4Dxpp+4y3sA3G0Pz/WzQ4nTO8ACdGamU
imsVmmtlL/p7CE/7b/HS+dc=
=Bgfz
-----END PGP SIGNATURE-----


__________________________________________________ _________
All New Yahoo! Mail – Tired of Vi@gr@! come-ons? Let our SpamGuard protect you. http://uk.docs.yahoo.com/nowyoucan.html


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Franck Joncourt wrote:
> Jean-Yves F. Barbier wrote:
>> Le dimanche 11 février 2007 18:19, Franck Joncourt a écrit :
>>> De Leeuw Guy wrote:
>>>> Bonjour
>>>>
>>>> Interdire le root login mais autoriser une connection par clefs
>>>> Guy
>>> Je pense que autoriser le login root est beaucoup trop dangereux, meme
>>> avec une clef publique.
>>>
>>> Avec quelqu'un de mal intentionne sur le resau local, on est pas a
>>> l'abris d'une "replay attack".
>> Faux, sinon la politique Debian n'aurait pas précédemment
>> changée "PermitRootLogin" de "no" vers "yes".
>
>> JY

Et bien j'ai fait quelques recherches et j'en deduis que j'avais tord.
L'authentification par clef publique semble tout a fait fiable (a
l'exception d'une vulnerabilite face aux attaques de types MITM -
http://fr.wikipedia.org/wiki/Attaque...mme_du_milieu).

Desole pour le bruit mais on apprend tous les jours

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFz41PxJBTTnXAif4RAr4zAJ9ikWO0bu6gSAV4pDRwHo YdRqQNQACgh8sT
nITU8tMU/hqhEJ01j7QWW+8=
=J+Ug
-----END PGP SIGNATURE-----




__________________________________________________ _________
All new Yahoo! Mail "The new Interface is stunning in its simplicity and ease of use." - PC Magazine
http://uk.docs.yahoo.com/nowyoucan.html


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Franck Joncourt wrote:
> Jean-Yves F. Barbier wrote:
>> Le dimanche 11 février 2007 18:19, Franck Joncourt a écrit :
>>> De Leeuw Guy wrote:
>>>> Bonjour
>>>>
>>>> Interdire le root login mais autoriser une connection par clefs
>>>> Guy
>>> Je pense que autoriser le login root est beaucoup trop dangereux, meme
>>> avec une clef publique.
>>>
>>> Avec quelqu'un de mal intentionne sur le resau local, on est pas a
>>> l'abris d'une "replay attack".
>> Faux, sinon la politique Debian n'aurait pas précédemment
>> changée "PermitRootLogin" de "no" vers "yes".
>
>> JY

Et bien j'ai fait quelques recherches et j'en deduis que j'avais tord.
L'authentification par clef publique semble tout a fait fiable (a
l'exception d'une vulnerabilite face aux attaques de types MITM -
http://fr.wikipedia.org/wiki/Attaque...omme_du_milieu).

Desole pour le bruit mais on apprend tous les jours

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFz41PxJBTTnXAif4RAr4zAJ9ikWO0bu6gSAV4pDRwHo YdRqQNQACgh8sT
nITU8tMU/hqhEJ01j7QWW+8=
=J+Ug
-----END PGP SIGNATURE-----




__________________________________________________ _________
All new Yahoo! Mail "The new Interface is stunning in its simplicity and ease of use." - PC Magazine
http://uk.docs.yahoo.com/nowyoucan.html


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org