Re: [CBLX] ssh

[ Thread Index | Date Index | More lists.tuxfamily.org/carrefourblinux Archives ]


Comme d'hab Pierre, tu as le choix de l'outil, qui peut varier selon le
goût perso, et ce "goût" peut être fonction de ce qu'on souhaite le plus, la
sécurité / bonne prise en main, ou la facilité/simplicité/plus grande
fluidité, etc; mais tu as aussi et on l'oublie, les bonnes pratiques, je
dirais l'hygiène d'utilisation: et donc dans tous les cas, et peu importe
quelle que soit ton choix de distrib, un usage correct est le seul garant de
ta sécurité. Un bon usage est prioritaire sur le choix de "sa couleur
préférée" de Gnu/Linux.

Aldo. 
 
On Sun, Nov 02, 2014 at 09:00:54PM +0100, Pierre Lorenzon wrote:
> From: Aldo <info@xxxxxxxxxxxx>
> Subject: Re: [CBLX] ssh
> Date: Sun, 2 Nov 2014 11:37:09 +0100
> 
> > Pierre,
> > 
> > quand je formule une réponse, je suis parfois plus generaliste, pour la
> > simple raison que le tout Debian ici n'est plus d'application, et que
> > connaître les toutes petites subtilelité (et là je parle au niveau du sujet
> > root pas root) ne nuit en rien à l'opinion pro ou contra (perso) que tu
> > puisses avoir de l'un ou l'autre O S. C juste que ma réposne soit assez
> > complète, et on n'est pas sensé êetre tous des Debianistes sur la mliste,
> 
>   J'avais bien compris. Mais j'en avais profité pour donner
>   quelques détaills selon le système. Je ne suis pas debianiste
>   mais pas ubentero non plus ! Reste quand-même à savoir de
>   quoi on parle. Pour une machine desktop ubuntu c'est sûrement
>   très bien. On peut ne pas aimer mais c'est subjectif. Pour un
>   serveur c'est déjà plus douteux et je maintiens que mêm si
>   j'ai déjà vu des serveurs tournant sous ubuntu mais des gens
>   que je considère comme sérieux (i.e. la bandes
>   d'administrateurs réseau de mon labo) restent sous
>   debian. Faut dire aussi qu'ils n'utilisent pas des machines
>   dernier cri pour leur serveur, gèrent probablement très peu
>   de périphériques sur lesdits serveur et que du coup une
>   debian même en retard sur telle ou telle puce est
>   optimal. Parce que debian a à coeur de blinder la
>   sécurité. Quand à l'apport à la sécurité qu'offre ce que je
>   comprends comme un système de permissions intermédiaires avec
>   le sudo je ne me suis jamais penché sur la question et je
>   crois même être très incompétent sur ce sujet.
> 
>   En tout cas une petite discusssion sutr sur les questions de
>   sécurité de temps en temps ça ne peut pas faire de mal !
> 
> 
>   Pierre
> 
> 
> 
> > les temps changent !!!!! 
> > 
> > Aldo. 
> > 
> > 
> > On Sun, Nov 02, 2014 at 09:09:24AM +0100, Pierre Lorenzon wrote:
> >> 
> >> Aldo,
> >> 
> >> Je ne sais pas exactement à qui s'adresse la remarque. Si c'est
> >> au gus qui a écrit le tuto alors c'est juste que son login root
> >> n'est pas un vrai login root etc etc ... Si c'est à moi alors
> >> ""ca tombe à côté""" parce que moi ubuntu ne le répète pas trop
> >> mais ça ressemble trop à windows que je ne connais pas ! Le
> >> premier qui dit que je suis d'une affreuse mauvaise foi
> >> .... Bref j'ai un système avec un vrai root toutes les failles
> >> qui vont avec mais aussi la main sur à peu près tout.
> >> 
> >> Si ta remarque était générale pour les utilisateurs d'ubuntu
> >> ... Est-ce qu'ubuntu est plus ou moins sûr que tellle ou tele
> >> distrib .... Question qui peut sans doute faire troller pendant
> >> des semaines. Sauf qu'il me semble que les ""administrateurs de
> >> sites sérieux"" sont en général plutôt sous deb.
> >> 
> >> En tout cas il vaut mieux avoir toujours un oeil sur les
> >> logs. Mais les attaques que j'ai essuyées étaient quand-même
> >> assez bêtes : un essai de log en ssh avec login et mot de passe
> >> identiques ... et moi qui suis encore plus bête j'avais ça sur
> >> un de mes comptes ! Je me suis dépêché de changer ce mot de
> >> passe là !
> >> 
> >> 
> >> P.
> >> 
> >> 
> >> 
> >> 
> >> From: Aldo <info@xxxxxxxxxxxx>
> >> Subject: Re: [CBLX] ssh
> >> Date: Sat, 1 Nov 2014 16:50:51 +0100
> >> 
> >> > standard, sauf si tu en crées expressément.
> >> > 
> >> > Aldo. 
> >> > 
> >> > On Sat, Nov 01, 2014 at 04:10:12PM +0100, Pierre Lorenzon wrote:
> >> >> From: Aldo <info@xxxxxxxxxxxx>
> >> >> Subject: Re: [CBLX] ssh
> >> >> Date: Sat, 1 Nov 2014 14:45:07 +0100
> >> >> 
> >> >> > En root je pense que de toute façon ça ne fonctionne pas, il te faut d'abord
> >> >> 
> >> >>   Ce n'est pas ce que dit le gus qui a écrit le tuto. Lui il
> >> >>   faisait le tuto pour se loguer en root.
> >> >> 
> >> >> 
> >> >> 
> >> >> > un login via un utilisateur; chez moi je sais que ça ça ne fonctionnait pas,
> >> >> > ... mais jsais pas te dire si c chez moi qu'il faut chercher le bug ou si c
> >> >> 
> >> >>   Bug non mais peut-être un réglage de sécurité de ta distrib. 
> >> >> 
> >> >> 
> >> >> 
> >> >> > une simple police de sécurité.
> >> >> > Un truc est sûr, j'avais ajouté à l'ordi que je souhaitais ainsi joinndre le
> >> >> > paquet fail2ban, dans lequel tu peux arranger la conf pour ajouter de la
> >> >> > sécu et compenser les risques pris.
> >> >> 
> >> >>   Ouais. De toute façon mon objectif n'est absolument pas de
> >> >>   faire ça pour root. Je n'automatise que le minimum pour
> >> >>   root. Mieux vaut toujours avoir le maximum de chose à faire
> >> >>   quand on se logue root ça permet de prendre le temps de
> >> >>   réfléchir et d'éviter de faire des bêtises pour rester poli !
> >> >> 
> >> >> 
> >> >> 
> >> >> > Toute façon, s'il s'agit d'un jeu de logins entre ordis sur un réseau local,
> >> >> > et que seul un ordi en particulier est joignable par ssh de l'extérieur, là
> >> >> > aussi y a de quoi bidouiller la sécurité pour que tout ne soit pas permis de
> >> >> > façon trop aisée; à toi de voir selon le cas et situation qui te concernent.
> >> >> 
> >> >>   J'ai vue ! Quand je tente le ssh depuis l'ordi dont l'ip est
> >> >>   référencée pas de mot de passe demandé tandis que quand je le
> >> >>   fais depuis ailleurs et notamment depuis l'extérieur du
> >> >>   réseau là le passwd est demandé ! Donc ça me convient.
> >> >> 
> >> >>   Pierre
> >> >> 
> >> >> 
> >> >> 
> >> >> > 
> >> >> > Aldo. 
> >> >> > 
> >> >> > 
> >> >> > On Sat, Nov 01, 2014 at 11:23:02AM +0100, Pierre Lorenzon wrote:
> >> >> >> 
> >> >> >> Salut Erwin,
> >> >> >> 
> >> >> >> Ravi de te recroiser par ici et surtout avec un conseil
> >> >> >> absoluement pertinent. C'est exactement ce qu'il me
> >> >> >> fallait. Aparemment Aldo connaissait la manip aussi mais le
> >> >> >> tuto que tu m'as indiqué est tout à fait clair. Avec les
> >> >> >> commentaires de tous les grincheux qui disent qu'il ne faut pas
> >> >> >> faire ça !!! Bien sûr sur un compte root c'est un peu limite
> >> >> >> mais sur un unpriviliged user avec le from an plus qui
> >> >> >> n'autorise qu'une ip pour la connection ça me semble quand-même
> >> >> >> assez fermé.
> >> >> >> 
> >> >> >> P.
> >> >> >> 
> >> >> >> 
> >> 
> >> -- 
> >> 
> >>    CarrefourBLinuX MailingListe 
> >>    Pour obtenir de l'aide, envoyez le sujet  help  à: 
> >>    carrefourblinux-request@xxxxxxxxxxxxxxxxxxx
> >>    Archives: 
> >>    http://listengine.tuxfamily.org/lists.tuxfamily.org/carrefourblinux
> >> 
> > 
> > -- 
> >   |  Verstuurd vanaf mijn GNU/Linux  |  Envoyé de mon GNU/Linux  | 
> >   |  -----------------  Sent from GNU/Linux  ------------------  | 
> > 
> > -- 
> > 
> >    CarrefourBLinuX MailingListe 
> >    Pour obtenir de l'aide, envoyez le sujet  help  à: 
> >    carrefourblinux-request@xxxxxxxxxxxxxxxxxxx
> >    Archives: 
> >    http://listengine.tuxfamily.org/lists.tuxfamily.org/carrefourblinux
> > 
> 
> -- 
> 
>    CarrefourBLinuX MailingListe 
>    Pour obtenir de l'aide, envoyez le sujet  help  à: 
>    carrefourblinux-request@xxxxxxxxxxxxxxxxxxx
>    Archives: 
>    http://listengine.tuxfamily.org/lists.tuxfamily.org/carrefourblinux
> 

-- 
  |  Verstuurd vanaf mijn GNU/Linux  |  Envoyé de mon GNU/Linux  | 
  |  -----------------  Sent from GNU/Linux  ------------------  | 

-- 

   CarrefourBLinuX MailingListe 
   Pour obtenir de l'aide, envoyez le sujet  help  à: 
   carrefourblinux-request@xxxxxxxxxxxxxxxxxxx
   Archives: 
   http://listengine.tuxfamily.org/lists.tuxfamily.org/carrefourblinux


Mail converted by MHonArc 2.6.19+ http://listengine.tuxfamily.org/