Ce n'est pas une bonne pratique d'autoriser root en ssh. Ok si c'est en local dans une VM. Mais sinon en production le mieux est d'autoriser un utilisateur et interdire root. Voici mes notes en markdown lorsque je commence à installer debian sur un nouveau serveur. création d'un nouvel utilisateur pour ne pas utiliser root adduser <user> visudo Ajouter le user sous root avec les mêmes droits **Génération des clés SSH** Exemple : ssh-keygen -t ed25519 -f id_ed25519 -o -a 500 ssh-keygen -t rsa -b 4096 -o -a 500 [https://stribika.github.io/2015/01/04/secure-secure-shell.html](https://stribika.github.io/2015/01/04/secure-secure-shell.html) [http://blog.patshead.com/2013/09/generating-new-more-secure-ssh-keys.html](http://blog.patshead.com/2013/09/generating-new-more-secure-ssh-keys.html) [Un peu plus de sécurité sous Linux](http://www.libwalk.so/2015/02/15/more-security.html) [NSA - À propos de BULLRUN ](http://www.libwalk.so/2015/01/25/NSA-bullrun.html) Se connecter sur le serveur avec le user (pas en root) mkdir .ssh En local scp ~/.ssh/id_ecdsa.pub root@<serveur>:/home/<user>/.ssh/ Suivre le tuto de Korben pour sécuriser SSH [http://korben.info/tuto-ssh-securiser.html](http://korben.info/tuto-ssh-securiser.html) cp /etc/ssh/sshd_config /etc/ssh/sshd_config_bck vi /etc/ssh/sshd_config service ssh restart systemctl restart ssh Sur le serveur ne pas faire chmod 0600 .ssh Mais chmod 0700 .ssh Sinon l'accès ne fonctionne pas On 6 March 2016 15:08:59 CET, Jim <jim.joomla@gmail.com> wrote:
Je viens de trouver
dans sshd_config, il faut changer
FROM: PermitRootLogin without-password TO: PermitRootLogin yes
Lla ligne etait bien cachée.
Jim,
Début du message réexpédié :
De: Jim <jim.joomla@gmail.com> Objet: Rép : Configuration un server Dedian Jessie en Firewall / Gateway Date: 6 mars 2016 10:57:42 UTC−3 À: Liste Auto-Hébergement <auto-hebergement-aide@listes.auto-hebergement.fr>
Bonjour,
Comment autoriser root a se connecter en ssh?
Je pose la question car: J’ai une Debian Jessie toutes fraiche installée dans un VM avec juste le minimum. C’est mon server de test, il y a un root et un utilisateur. J’ai une deuxieme VM, avec une autre debian avec juste XFCE et Fwbuilder. De cette machine, j`arrive a me connecter sur la premiere Debian avec l`utilisateur en ssh mais j`ai pas les droit root. je n’ai pas la permission de me connecter avec root via ssh. De fwbuilder, au moment d’installer le firewall sur la machine cible, j’ai juste une fenetre avec utilisateur, mot de passe et l’adresse ip ( ou le mon) de la machine. Cet utilisateur doit donc pouvoir se connecter en ssh ET avoir les droit adiminstrateur sur la machine cible.
J’ai donc un probleme pour injecter les fichiers generer par fwbuilder…
Deux solutions: - Autoriser root a se connecter via ssh… Comment faire? J’ai rien vu dans /etc/ssh/sshd_config - mettre l`utilisateur se connectant en ssh avec les memes droits que root… Comment faire?
Cordialement,
Jim
Le 5 mars 2016 à 20h17, Mrjk <mrjk.78@gmail.com <mailto:mrjk.78@gmail.com>> a écrit :
Yop,
Je ne connais pas spécifiquement fwbuilder, mais je voyais ca comme firewalld, qui lui permet de faire ça. Donc, je me trompe probablement sur le compte de fwbuilder :p
Perso, je te dirais d'essayer Shorewall, qui n'est pas si mal, et permet de garder des choses claires. Après, j'invite les autres membres de la liste à indiquer quelle solution ils utiliseraient, avec le pour et contre.
Cldt
-- MrJK GPG: https://jeznet.org/jez.asc <https://jeznet.org/jez.asc> Le 5 mars 2016 à 16:07, Jim <jim.joomla@gmail.com <mailto:jim.joomla@gmail.com>> a écrit : Je n’avais pas compris que fwbuilder est a faire tourner sur une autre machine, puis servait a exporter le script fini. Cela semble une solution pas trop complexe…
D`apres ce que j`ai compris sur le site fwbuilder.org <http://fwbuilder.org/>, il gere aussi le script de demarrage sur la machine de destination. C’est bien cela?
Jim
Le 5 mars 2016 à 17h48, Mrjk <mrjk.78@gmail.com <mailto:mrjk.78@gmail.com>> a écrit :
Yop,
Non non non, pas d'interface graphique sur un serveur. En ce qui me concerne, tu as trois approches de dispo: - Faire ton propre script iptables: Ca fait tout ce que tu veux, mais ca peut devenir complexe à maintenir. - Utiliser des wrappers (sharewall, fwbuilder, firewalld): Ca simplifie pas mal la gestion, ca permet de garder les choses propres. Cependant, il faut apprendre de nouvelle notion liés à ces outils (notion de zonnage a minima, de blacklist, etc ... bon, c'est assez trivial en général, mais bon ...). En fonction de l'outils, y'a des cas qui peuvent etre un peu alembiqué au final. - Utiliser firewalld/fwbuilder, si tu es confortable avec les GUI. Par contre, n'installe pas de X sur ton serveur, tu as dans les deux cas moyen de travailler en local (ou sur une VM), puis de faire l'export vers ton serveur.
Voiloute voiloute,
-- MrJK GPG: https://jeznet.org/jez.asc <https://jeznet.org/jez.asc> Le 5 mars 2016 à 15:24, Jim <jim.joomla@gmail.com <mailto:jim.joomla@gmail.com>> a écrit : Bonjour,
Je reviens vers vous pour quelques conseils pour configurer une Debian en Firewall / Gateway. La configuration du serveur DNS, du serveur DHCP, du proxy ne me parait pas trop compliquer. La tâche qui m’intimide le plus est la configuration du firewall. Que me conseillez-vous? de passer par webmin ou autre chose? Comme par exemle installer un serveur X, un environement graphique puis passer pas fwbuilder?
A vous lire,
Jim