Forum Linux.redhat Comment rendre /etc/securetty opérant avec SSH ?

Posté par .
Tags : aucun
2
21
sept.
2011

Salut Rum (comme Nal),

voici le cahier des charges :

--> bloquer l'accès au compte root à un shell interactif en SSH

Problématique :

--> Conserver la possibilité de soumettre des remote command en root en SSH

Pistes déjà parcourues :

|| la directive "forced-commands-only" ne me plait guère car la liste des
commandes à autoriser serait trop grande

|| Il n'est pas possible de bloquer l'accès au compte root complètement, car nous vivons dans un monde imparfait où il n'existe pas encore
de profils d'utilisateurs ayant juste les droits qu'il faut pour faire ce dont nous avons besoin....

|| l'utilisation de /etc/securetty serait le bon candidat me semble t-il
car dans le cas de remote command il n'y a pas de tty, du coup les shell ouverts sur /dev/pts seraient bloqués

D'après ce que j'ai pu lire, /etc/securetty est inopérant avec SSH et ce, même si on le force avec PAM (pam_securetty.so).

En revanche, /etc/securetty est opérant lors du vénérable processus de Login, l'astuce consistait donc à forcer SSH à utiliser "login"
pour toute ouverture de session (UseLogin yes), hélas cela ne fonctionne pas, d'après les logs il semblerait que la consultation de /etc/securetty intervienne trop tard...

Je sais que ce besoin est un peu tordu, mais sur d'autres Unix, comme la déclinaison propriétaire de big blue, ce besoin est couvert par une feature native de celui-ci, il serait donc fort appréciable qu'une âme charitable se penche sur cette problématique...

A votre bon ccœur...

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.