Forum Linux.général Configuration/problèmes SSH

Posté par  .
Étiquettes :
0
9
fév.
2006
Voila, je vous expose mon pb. Je dois acceder a differents serveurs via ssh. J'ai genere une cle DSA avec mot de passe. Pour me simplifier la vie, je charge ma cle via ssh-add pour éviter de taper mon mot de passe a chaque fois. Jusque la, tout va bien.
Seulement, je me suis rendu compte que si je me loggue (sur ma machine) avec un autre compte (via un su) et que je tente d'acceder a un de mes serveurs (ssh root@toto.fr), ca marche.... Et la ca me pose un pb... je ne veux pas que qqn d'autre que moi puisse acceder a ces serveurs.
Donc ma question : est ce normal et peut on éviter ce comportement ?? Je précise que je suis sous Debian et que par défaut, ssh-agent est lancé via gnome ou kde (en l'occurence je suis sous kde). Donc je ne relance pas de nouveau ssh-agent.
Deuxième question : le ssh-add possède l'option -t permettant de spécifier combien de temps la cle reste en mémoire. Cette option est aussi paramétrable via sshd_config... mais je n'ai pas trouvé comment.
Si vous avez une idée ?
Merci

  • # su -

    Posté par  (site web personnel) . Évalué à 2.

    Salut,

    Ce que tu penses craindre est qu'un autre utilisateur en s'authentifiant normalement ai accès à tes serveurs.

    Ta démonstration qui t'inquiette est "faussée". En faisant un su (sans tiret apres) tu hérites de l'environnement depuis lequel tu fais le su.

    Si tu fais un su - [utilisateur] il ne devrait pas y avoir ce comportement. Pour t'en convaincre et tester réellement la chose, logue toi en console avec un autre utilisateur et connecte toi en ssh sur tes serveurs.

    • [^] # Re: su -

      Posté par  . Évalué à 1.

      Merci de ta réponse. Effectivement je n'avais pas pensé a ça.
      Un su - ne permet pas a un autre utilisateur de se connecter. Et en utilisant une console, meme avec mon compte ce n'est pas possible car le ssh-agent est lancé avec kde. Du coup ce ne sont que les applis graphiques qui en profitent. Me voila rassuré :)
      Il ne reste plus qu'a fixer un délai d'expiration pour ma clé dans le ssh-add et je serais plus tranquille....
      Donc, au passage, si qqn sait comment le paramétrer (sans passer par ssh-add -t xxx mais plutot via sshd_config), ca m'intéresse.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.