Forum Linux.debian/ubuntu N'autoriser que le SSH

Posté par . Licence CC by-sa
Tags : aucun
2
6
mai
2014

Bonjour,

Je cherche une solution pour ne permettre l'accès à mon serveur (Ubuntu Server) que par SSH et donc que si un utilisateur tente d'entrer l'identifiant et le mot de passe directement sur la machine l'accès lui soit refusé.

Merci d'avance

  • # /etc/init/tty*.conf

    Posté par . Évalué à 1.

    ma solution serait de fermer tout les tty* au démarrage.
    Supprime les du dossier /etc/init/

    • [^] # Re: /etc/init/tty*.conf

      Posté par . Évalué à 2.

      C'est le fichier /etc/inittab qui contient la liste des consoles à activer (lignes commençant par 1 à 6, et T0..n pour les consoles série).

      Préfixer la ligne avec un # pour désactiver.

      Mais ça empêche naturellement toute intervention ultérieure en cas de problème au démarrage ou connexion réseau hors service…

      • [^] # Re: /etc/init/tty*.conf

        Posté par . Évalué à 1.

        Pas chez tout le monde.
        Je n'ai pas ce fichier par exemple.

      • [^] # Re: /etc/init/tty*.conf

        Posté par (page perso) . Évalué à 4.

        Mais ça empêche naturellement toute intervention ultérieure en cas de problème au démarrage ou connexion réseau hors service…

        Non, il suffit de rebooter et via grub, de lancer bash à la place d'init… Je n'en dis pas plus !

      • [^] # Re: /etc/init/tty*.conf

        Posté par . Évalué à 1.

        c'est pas : le caractère de commentaire dans /etc/inittab ?

        C'est le cas sur des unix systemV comme aix…

  • # Clavier et Souris

    Posté par . Évalué à 2.

    Le plus simple parait de retirer clavier et souris.

    Les autres solutions ne me semble pas une bonne idée. Que ce passe-t-il si tu n'as plus de réseau pour une raison ou une autre?

    • [^] # Re: Clavier et Souris

      Posté par . Évalué à 5.

      Oui, et bien sûr, ne pas oublier de mettre de la colle liquide dans tous les ports, puis d'enfermer la machine dans une pièce fermée à clef et de la détruire…

      • [^] # Re: Clavier et Souris

        Posté par . Évalué à 3.

        Plaisanterie mise à part, le seul moyen de sécuriser une machine est effectivement de l'enfermer, sans quoi on ne peut empêcher quiconque de la rebooter avec un CD ou autre, et d'y faire des modifications (et le mot de passe du BIOS n'est pas une sécurité non plus : un tournevis, un reset de la NVRAM et hop).

  • # Authentification par clé ou changer le shell (rssh)

    Posté par . Évalué à 10.

    Il y a la possibilité de n'autoriser que la connexion par clé en SSH, et ne pas définir de mot de passe pour les utilisateurs, qui ne pourront pas se connecter en console, et leur désactiver bien sur la possibilité de mettre un mot de passe.

    Sinon tu peux changer le shell de chaque utilisateur pour un shell ne permettant que la connexion SSH, comme par exemple rssh.

    Ces deux solutions permettent aussi de garder au moins un utilisateur qui peut se connecter en console en cas de problème.

  • # Merci

    Posté par . Évalué à 1.

    Merci pour vos conseil c'est exactement ce qu'il me fallait

  • # pam ?

    Posté par . Évalué à 3.

    Je me demande si on ne pourrait pas aussi faire quelque chose dans /etc/pam.d

    • [^] # Re: pam ?

      Posté par (page perso) . Évalué à 6.

      C'est comme ça que je procéderais. Éditer les fichiers login et gdm3 ou lightdm pour en retirer l'inclusion de common-auth.

      • [^] # Re: pam ?

        Posté par . Évalué à 1.

        Oui :). D'ailleurs PAM est fait pour gérer ce genre de problématiques c'est donc certainement la solution la plus propre.
        Cela a aussi l'avantage de pouvoir continuer à autoriser root à se connecter localement en cas de soucis avec SSH, le réseau ou autre. Ou même un groupe d'utilisateurs précis en utilisant, par exemple, un module comme pam_access.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.