Forum Astuces.divers [Terminal] Sécuriser vos terms

Posté par (page perso) .
Tags : aucun
0
19
déc.
2001
Pour un peu pus de sécurité dans vos terms, éditez (en root) le fichier /etc/securetty, et commentez en toutes les entrées. Puis relancez init avec killall -HUP init, et walla: le root ne peut plus se logger directement, mais doit passer par su.
  • # Re: Sécuriser vos terms

    Posté par . Évalué à 1.

    si l'accès à la machine n'est pas sécurisé ou va-t-on !? :)
    • [^] # Re: Sécuriser vos terms

      Posté par (page perso) . Évalué à 1.

      C'est peut-être aussi pour limiter les risques lors d'accès ssh ou ftp ?
      • [^] # Re: Sécuriser vos terms

        Posté par (page perso) . Évalué à 1.

        Si tu lisait un peu tes fichiers de conf dans /etc, tu verrai que la plus part des demons ont une option qui authorise ou interdit au root de se loguer :

        saturne:/mnt/big/bp# cat /etc/ssh/sshd_config | grep oot
        PermitRootLogin yes

        ( ben chez moi c est authorise ... )

        Mais pour bien casser l ambiance, comme d hab, et bien montrer que ce tip ne sert a rien ( comme 40 % des tips de linuxfr ) je vous propose de lire votre /etc/security/access.conf ou vous pourrez a loisire gerer "intelligement" la gestion des moyens de login , en passant par les vrais fichiers de conf, et eviter la petite bidouille qui fait meme pas geek tellement elle craint ...
        • [^] # Re: Sécuriser vos terms

          Posté par (page perso) . Évalué à 1.

          Les tips sont faits pour être précis et rapides : c'est le cas quand on dit "mettre en commentaire un fichier X et lancer la commande Y".

          Evidemment, on peut obtenir le même résultat avec access.conf, mais il faut connaître la syntaxe de ce fichier et utiliser pam pour l'authentification : cela exclue les unix.
      • [^] # Re: Sécuriser vos terms

        Posté par (page perso) . Évalué à 1.

        C'est peut-être aussi pour limiter les risques lors d'accès ssh ou ftp ?
        pas plus: ces demons ont de sfichiers de conf independants
    • [^] # Re: Sécuriser vos terms

      Posté par (page perso) . Évalué à 1.

      La tu me suggere un VRAI tip : commen changer le mot de passe root si tu as l acces locale :
      -1- booter n importequel noyeau linux via n importe kel moyen ( disquette, cd, ou le kernel d origine du disque dur ) soit en demandant au bios de booter autre chose que le dur, soit en modifiant les parametre du noyeau via lilo ( en temps reel, pendant qu il propose de choisir son noyeau ), soit en metant le dur lui meme dans une autre machine en ajoutant aux parametres standart (root=??) l'option magique "init=/bin/bash" . En bref, au lieu de lancer /sbin/init, ca dit qu kernel de lancer comme premier process un bash ...
      -2- mount -o remount,rw /dev/machin /
      -3- passwd
      -4- mount -o remount,ro /
      -5- umount /
      -6- halt

      Evidement, au lieu de changer le mdp root, on peut se contenter de laisser le disque en lecture seul ( pour pas etre tente de le modifier ), et archiver shadow sur une disquette, pour le faire ruminer par john plus tard, ailleur ... mais si vous avez besoind efaire ca, je suppose que a la base, vous tentez qqch que vous etes pas cense etre authorise a faire ;)

      ca peut marcher sur autre chose que des linux ( sun, bsd ... ) tant que l on peut modifier par parametre du noyeau le programme d initialisation.

      J ai la meme pour windows, mais c est pas le lieu ...
      • [^] # Re: Sécuriser vos terms

        Posté par . Évalué à 1.

        Ton astuce peut aussi être utile à ceux qui ont oublié leur mdp root.
        Et puis il y a moyen de s'en prémunir: mdp dans le bios pour interdire de démarrer sur autre chose que le DD, mdp pour grub pour ne pas pouvoir passer d'autre options au noyau ET cadenas sur la caisse pour pas pouvoir réinitialiser le bios ;-)
        Il reste encore la scie à métaux pour ouvrir la caisse, mais je laisse le soin aux paranos de nous expliquer comment avoir une caisse inviolable.
        • [^] # Re: Sécuriser vos terms

          Posté par (page perso) . Évalué à 1.

          je laisse le soin aux paranos de nous expliquer comment avoir une caisse inviolable

          Simple, une grenade dans la caisse avec la goupille attachée à la partie amovible. En plus ca fait IDS. Et oui, si tu entend "boum" et que tu ping plus la machine, c'est qu'il y a eu tentative...

          La sécurité en fait, c'est super simple avec deux trois bricolages ;)
  • # Re: Sécuriser vos terms

    Posté par (page perso) . Évalué à 1.

    Moi j'ai une autre astuce :
    en root, taper userdel -r root comme ça c'est hyper secure.
    • [^] # Re: Sécuriser vos terms

      Posté par (page perso) . Évalué à 1.

      Euh.... marrant mais excessivement dangereux à l'usage :(
    • [^] # Re: Sécuriser vos terms

      Posté par . Évalué à 0.

      Mouais ... m'enfin noublions pas que le login root n'est absolument rien .. c'est l'UID et le GID qui font qu'un login est "super user" donc un login avec UID/GID de 0/0 a les mêmes pouvoirs que root!

      Pour sécuriser.. change le nom de root (en toto, tintin ou même toor) est encore le plus simple !
      • [^] # Re: Sécuriser vos terms

        Posté par . Évalué à 1.

        ouai, et c'est super utile !
        Un utilisateur quelconque fait
        $ grep "0:0" /etc/passwd
        et hop il a le nom du root :o)

        ... en gros ça sert à rien car passwd ne peut pas être caché !
        • [^] # Re: Sécuriser vos terms

          Posté par (page perso) . Évalué à 1.

          C'est vrai, mais ça a la même utilité que d'empêcher root de se loguer directement: si tu n'as pas de compte user, tu ne peux de toute façon pas consulter le fichier /etc/passwd.
          De toute manière, l'intention initiale est d'offrir "un peu plus de sécurité" et non pas "une sécurité absolue"!
          • [^] # Re: Sécuriser vos terms

            Posté par (page perso) . Évalué à 1.

            J'ai jamais osé renommer root : est-ce qu'il n'y a pas des programmes qui vérifient "en dur" que l'on s'appelle bien "root" ?
            • [^] # Re: Sécuriser vos terms

              Posté par (page perso) . Évalué à 1.

              Peut-être pas, mais une chose est sûre, je connais un script qui fait un su root en dur: le script d'install de Wine. Rien de mal à ça, l'utilisateur sait parfaitement ce qui se passe, mais le mot "root" est en dûr dans le script...
              • [^] # Re: Sécuriser vos terms

                Posté par (page perso) . Évalué à 1.

                c'est vrais que sa peut poser quelque problème à l'usage et la sécurité gagné ne vaut pas les ***** potentiels d'autant plus que comme dit au dessus un user normal peut connaitre le nom du root


                mais bon sa permet de personnaliser encore un peu plus son pingouin :D
        • [^] # Re: Sécuriser vos terms

          Posté par . Évalué à 1.

          ben il faut supprimer les autres users alors !!!!!

          (désolé)
          • [^] # Re: Sécuriser vos terms

            Posté par . Évalué à 1.

            Bah, vous y connaissez rien.
            La machine la plus sécurisée c'est celle qui est éteinte avec un disque dur vierge.
  • # Re: Sécuriser vos terms

    Posté par (page perso) . Évalué à 1.

    Allez ... on va tous ajouter a la main le petit # devant les 63 lignes du fichier ... mais bien sure ...
    • [^] # Re: Sécuriser vos terms

      Posté par . Évalué à 1.

      dans vi en mode commande
      :%s/^/#/

      voila....
    • [^] # Re: Sécuriser vos terms

      Posté par (page perso) . Évalué à 1.

      Avec emacs :

      C-espace au debut de la première ligne à commenter
      on va au debut de la dernière ligne à commenter
      puis C-x r t # <entrée>

      (ce qui appel la fonction string-rectangle qui remplace le contenu d'un rectangle par une chaine de caractères).
  • # Pour pinailler

    Posté par . Évalué à 1.

    On peux remplacer "killall -HUP init" par:

    init q

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.