Ssh Configuration securisée ?

MatRem · 13/11/2006, 22h55

Bonjour,

Je viens d'installer un serveur openssh sur ma machine linux.
En fait je l'ai installé en rpm sous mandriva 2007.
J'ai ajouté une ligne à mon fichier de config:

AllowUsers user@machine.domain
(bien sur j'ai mis un vrai nom d'utilisateur et de machine distante).

Je voulais savoir ce que je risque avec une configuration comme celle là?
Normalement seul cette utilisateur pourra se connecter à partir de cette machine distante?
En plus il n'aura que les droits de user?

merci.
bonne soirrée.

Katyucha · 14/11/2006, 07h29

Ssh est un très bon outils de connexion sécurisée à distance.
Tu ne remet pas du tout en cause ta sécurité avec cette ligne car tu auras toujours un mot de passe a saisir et complexe évidement

Citation:

AllowUsers
This keyword can be followed by a list of user name patterns,
separated by spaces. If specified, login is allowed only for
user names that match one of the patterns. `*' and `?' can be
used as wildcards in the patterns. Only user names are valid; a
numerical user ID is not recognized. By default, login is
allowed for all users. If the pattern takes the form USER@HOST
then USER and HOST are separately checked, restricting logins to
particular users from particular hosts.

MatRem · 14/11/2006, 13h10

En fait je me doutais bien qu'en ajoutant cette ligne je gagne pluôt en sécurité

, mais je voulais savoir "globalement" ave une config de ce style ce que je risque.

Sinon, j'ai des problèmes pour le X11Forwarding... Quand j'execute un client x sur la machine locale, depuis la machine distante, j'ai le message "cannot connect X server", alors que le X11Forwarding est bien activé sur le serveur ssh de la machine local.

Cependant ma machine locale est derrière un routeur, pour lequel j'ai redirigé le port 22, mais aucun port pour le X11Forwarding. J'avais essayé le 6000 mais sans succés.
Quel pourrait être le problème?

troumad · 18/11/2006, 17h34

Pour le xforwarding, il faut aussi que le client soit configuré pour, regarde /etc/ssh/ssh_config qui doit avoir ForwardX11 yes

Tu peux aussi configurer /etc/hosts.deny et /etc/hosts.allow pour interdire à tous le ssh et après ne le permettre qu'à certain utilisateur.

Tu peux aussi vérifier le paramètre PermitRootLogin de /etc/ssh/sshd_config qui doit être à no...

MatRem · 18/11/2006, 17h51

Ok merci.

Pour le X11 forwarding, j'ai réglé le problème en utilisant ssh -X.
En fait dans un sens je n'ai pas besoin de le faire, mais dans l'autre si... bizarre.

coca25 · 18/11/2006, 17h51

je sais pas si c'est valable pour mandriva, mais sous fedora, on peut activer le forwardX11 depuis le client avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ssh -Y host

Katyucha · 18/11/2006, 20h21

Que ca soit ssh sous Unix, Bsd, linux ...etc , tant que c'est OpenSSH, c'est la même chose

La seule chose qui change c'est l'OS, pas l'applicatif

13/11/2006, 22h55	#1
MatRem Membre expérimenté Inscription : décembre 2002 Messages : 741 Détails du profil Informations forums : Inscription : décembre 2002 Messages : 741 Points : 591 Points : 591	Ssh Configuration securisée ? Bonjour, Je viens d'installer un serveur openssh sur ma machine linux. En fait je l'ai installé en rpm sous mandriva 2007. J'ai ajouté une ligne à mon fichier de config: AllowUsers user@machine.domain (bien sur j'ai mis un vrai nom d'utilisateur et de machine distante). Je voulais savoir ce que je risque avec une configuration comme celle là? Normalement seul cette utilisateur pourra se connecter à partir de cette machine distante? En plus il n'aura que les droits de user? merci. bonne soirrée. __________________ GPU oriented programming
	00

14/11/2006, 13h10	#3
MatRem Membre expérimenté Inscription : décembre 2002 Messages : 741 Détails du profil Informations forums : Inscription : décembre 2002 Messages : 741 Points : 591 Points : 591	En fait je me doutais bien qu'en ajoutant cette ligne je gagne pluôt en sécurité , mais je voulais savoir "globalement" ave une config de ce style ce que je risque. Sinon, j'ai des problèmes pour le X11Forwarding... Quand j'execute un client x sur la machine locale, depuis la machine distante, j'ai le message "cannot connect X server", alors que le X11Forwarding est bien activé sur le serveur ssh de la machine local. Cependant ma machine locale est derrière un routeur, pour lequel j'ai redirigé le port 22, mais aucun port pour le X11Forwarding. J'avais essayé le 6000 mais sans succés. Quel pourrait être le problème? __________________ GPU oriented programming
	00

18/11/2006, 17h34	#4
troumad Rédacteur/Modérateur Bernard SIAUD Enseignant Inscription : novembre 2003 Messages : 4 400 Détails du profil Informations personnelles : Nom : Bernard SIAUD Âge : 44 Localisation : France, Rhône (Rhône Alpes) Informations professionnelles : Activité : Enseignant Secteur : Enseignement Informations forums : Inscription : novembre 2003 Messages : 4 400 Points : 4 944 Points : 4 944	Pour le xforwarding, il faut aussi que le client soit configuré pour, regarde /etc/ssh/ssh_config qui doit avoir ForwardX11 yes Tu peux aussi configurer /etc/hosts.deny et /etc/hosts.allow pour interdire à tous le ssh et après ne le permettre qu'à certain utilisateur. Tu peux aussi vérifier le paramètre PermitRootLogin de /etc/ssh/sshd_config qui doit être à no... __________________ Modérateur Mandriva Linux Amicalement VOOotre Troumad Alias Bernard SIAUD à découvrir sur http://troumad.org Mes tutoriels
	00

18/11/2006, 17h51	#5
MatRem Membre expérimenté Inscription : décembre 2002 Messages : 741 Détails du profil Informations forums : Inscription : décembre 2002 Messages : 741 Points : 591 Points : 591	Ok merci. Pour le X11 forwarding, j'ai réglé le problème en utilisant ssh -X. En fait dans un sens je n'ai pas besoin de le faire, mais dans l'autre si... bizarre. __________________ GPU oriented programming
	00

18/11/2006, 17h51	#6
coca25 Membre actif Inscription : novembre 2006 Messages : 194 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 194 Points : 197 Points : 197	je sais pas si c'est valable pour mandriva, mais sous fedora, on peut activer le forwardX11 depuis le client avec Code : Sélectionner tout - Visualiser dans une fenêtre à part ssh -Y host
	00

18/11/2006, 20h21	#7
Katyucha Expert Confirmé Inscription : mars 2004 Messages : 3 109 Détails du profil Informations personnelles : Âge : 31 Localisation : Allemagne Informations forums : Inscription : mars 2004 Messages : 3 109 Points : 3 313 Points : 3 313	Que ca soit ssh sous Unix, Bsd, linux ...etc , tant que c'est OpenSSH, c'est la même chose La seule chose qui change c'est l'OS, pas l'applicatif __________________ Ancien Rédacteur Linux && Unix / Nouveau retraité de DVP The UNIX way of sex: gunzip;strip;touch;finger;mount;fsck;more;yes;umount;sleep Je ne réponds ni aux messages privées, ni aux messages plein de fautes...
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email