Logo Khaganat

Wikhan

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
Dernière révisionLes deux révisions suivantes
fr:ssh [2023/06/17 16:06] – maj sur une valeur zatalyzfr:ssh [2024/06/23 20:42] – [Gérer les droits des dossiers et autres bonnes pratiques] zatalyz
Ligne 246: Ligne 246:
 Cela garantit que le serveur vérifie les modes et droits des fichiers de l'utilisateur avant de se connecter.  Cela garantit que le serveur vérifie les modes et droits des fichiers de l'utilisateur avant de se connecter. 
  
-  UsePrivilegeSeparation sandbox # si dispo sinon+  #UsePrivilegeSeparation sandbox # si dispo sinon
   # UsePrivilegeSeparation yes   # UsePrivilegeSeparation yes
  
-La première option, si elle est supportée par votre version de SSH, permet de bien séparer les privilèges et est à privilégier. Si vous avez une version SSH un peu plus ancienne ou ≥7.5((Dans OpenSSH en version 3.2.2 ''UsePrivilegeSeparation'' est encore expérimental. Dans la version 3.3 l'option est à ''yes'' par défaut. En version 5.8 l'option autorise le nouveau paramètre ''sandbox''. Enfin, dans OpenSSH 7.5 ''UsePrivilegeSeparation'' est rendu obsolète car de toute manière c'est activé par défaut en mode ''sandbox'')), la seconde reste très acceptable.+<del>La première option, si elle est supportée par votre version de SSH, permet de bien séparer les privilèges et est à privilégier. Si vous avez une version SSH un peu plus ancienne ou ≥7.5((Dans OpenSSH en version 3.2.2 ''UsePrivilegeSeparation'' est encore expérimental. Dans la version 3.3 l'option est à ''yes'' par défaut. En version 5.8 l'option autorise le nouveau paramètre ''sandbox''. Enfin, dans OpenSSH 7.5 ''UsePrivilegeSeparation'' est rendu obsolète car de toute manière c'est activé par défaut en mode ''sandbox'')), la seconde reste très acceptable.</del> 
 + 
 +Cette option est dépréciée depuis la 7.5 car la séparation des privilèges est maintenant par défaut (et depuis un moment). Cette option n'a de sens que sur de très vieux serveurs, qui feraient mieux de ne pas être exposés à internet.
  
   AllowUsers Pseudo1 Moi Toiaussi   AllowUsers Pseudo1 Moi Toiaussi
Ligne 264: Ligne 266:
  
   KbdInteractiveAuthentication no   KbdInteractiveAuthentication no
-Cela va avec le paramètre précédent et le complète. La meilleure explication (en anglais) est [[https://superuser.com/questions/161609/can-someone-explain-the-passwordauthentication-in-the-etc-ssh-sshd-config-fil/374234#374234|ici]]. Autrefois ''ChallengeResponseAuthentication'', devenu ''KbdInteractiveAuthentication'+Cela va avec le paramètre précédent et le complète. La meilleure explication (en anglais) est [[https://superuser.com/questions/161609/can-someone-explain-the-passwordauthentication-in-the-etc-ssh-sshd-config-fil/374234#374234|ici]]. Autrefois ''ChallengeResponseAuthentication'', devenu ''KbdInteractiveAuthentication''
  
   PermitEmptyPasswords no   PermitEmptyPasswords no
Ligne 329: Ligne 331:
 PermitRootLogin no PermitRootLogin no
 StrictModes yes StrictModes yes
-UsePrivilegeSeparation sandbox # si dispo sinon 
-# UsePrivilegeSeparation yes 
  
 PasswordAuthentication no PasswordAuthentication no
Ligne 360: Ligne 360:
   service ssh restart    service ssh restart 
      
 +==== Gérer les droits des dossiers et autres bonnes pratiques ====
 +Si vous ouvrez un accès SSH à plusieurs personnes sur un serveur, cela ne veux pas dire qu'elles ont le droit de tout faire forcément. Ni de tout voir.
 +
 +<WRAP center round info 90%>
 +Rappel vite fait pour créer une utilisatrice avec son groupe associé, un home et un shell fonctionnel (remplacer ''USER'') :
 +  sudo useradd USER -m -U -s /bin/bash
 +
 +Et penser à lui mettre un mot de passe :
 +  sudo passwd USER
 +</WRAP>
 +
 +Debian crée par défaut des répertoires "home" avec droit de lecture pour tout le monde (other). Enlever ces droits permet déjà d'isoler un peu :
 +
 +  sudo chmod o-rx /home/*
 +
 +Ça n'empêchera pas quelqu'un qui peut passer en root de tout voir au besoin.
 +
 +Si l'objectif est d'ouvrir un accès web, il me semble plus facile de gérer en créant un dossier "web" dans le dossier de l'utilisatrice, puis faire un lien symbolique depuis /var/www, et donner les droits à www-data d'agir dessus :
 +
 +<code>
 +mkdir /home/USER/web
 +sudo chmod ln -s /home/USER/web /var/www/SITE_USER/
 +sudo chown -R www-data:USER  /home/USER/web
 +</code>
 +
 ===== Pour aller plus loin ===== ===== Pour aller plus loin =====
   * [[http://doc.fedora-fr.org/wiki/SSH_:_Authentification_par_cl%C3%A9|Une explication plus complète sur les clés ssh, en français.]]   * [[http://doc.fedora-fr.org/wiki/SSH_:_Authentification_par_cl%C3%A9|Une explication plus complète sur les clés ssh, en français.]]
CC Attribution-Share Alike 4.0 International Driven by DokuWiki
fr/ssh.txt · Dernière modification : 2024/06/23 21:10 de zatalyz
Licences Mentions légales Accueil du site Contact