Connexion SSH

[Thomaslas44]

Bonjour,

je souhaite créer un serveur SSH chez moi pour faire du PortForwarding a fin d'accéder à une machine Windows en RDP.

 

1) J'ai installer un DNS Dynamique sur ma Livebox (avec DynDNS)

Ca fontionne

 

2) J'ai fait un redirection de port sur ma livebox pour la connexion SSH et ai modifier le port SSH du serveur

Ca fonctionne

 

3) J'ai limité l'accès SSH à un utilisateur qui a un mot de passe assez compliqué.

 

Je souhaite que l'utilisateur connecté en SSH ai le moins de droits possible. Il devrait juste pouvoir faire un su - superutilisateur.

Comment faire ?

Faut il faire un chroot pour qu'il se retrouve dans une prison ?

 

Merci d'avance de vos réponses.

 

PS: Je sais pas si j'ai posté au bon endroit

[KewlCat]

le moins de droits possible (...) pouvoir faire un su - superutilisateur

Soit c'est paradoxal, soit je n'ai pas compris ce que tu veux faire...

Qu'est-ce qui t'empêche de déclarer que cet utilisateur fait partie d'un groupe qui n'a pas les droits d'exécution sur autre chose que... bin... ce à quoi tu souhaites limiter leur accès !

 

Qui plus est, il est question de Windows et de RDP et tu ne parles que de ssh et su... Tu as installé cygwin ou une autre couche POSIX, avec les outils GNU / OpenSSH et tout le bazar ??

[Thomaslas44]

Admettons un pirrate trouve mon mot de passe pour utilisateur qui a l'accès SSH, il se connecte mais après, il faut qu'il trouve login et le mot de passe du superutilisateur pour faire des modifications.

 

Mais le souci est que j'aimerais que l'utilisateur SSH ne puisse pas pouvoir lire dans /etc/

(si il lit /etc/passwd il peut trouver mon login admin)

J'aimerais qui vois juste son répertoire $HOME.

 

Mon but final est de faire du RDP par un tunnel SSH pour accéder à mon XP par internet avec une connexion sécurisé.

[KewlCat]

Quels sont les droits sur /etc ?

[Greywolf]

ssh -L [port-local]:[adresse_du_PC_XP]:3389 [adresse publique serveur SSH]

 

c'est comme ça qu'on crée un tunnel, pas besoin d'ouvrir un shell

 

dans /etc/passwd tu rajoutes /bin/false comme shell de l'utilisateur censé créer le tunnel afin qu'il ne se connecte pas à SSH

[KewlCat]

Ca fait longtemps que je n'ai pas essayé, mais il me semble que même avec /bin/false comme shell déclaré dans /etc/passwd, il est possible de lancer des commandes directement dans la ligne de commande de ssh (à vérifier)

Perso les connexions SSH je les sécurise avec des couples de clés privée / publique, et les comptes utilisateurs n'ont pas accès au "su -", uniquement à quelques commandes bien choisies déclarées dans /etc/sudoers.

 

Je ne comprends toujours pas le coup de Windows / RDP à grands coups de /etc/passwd ... mais bon....

[Greywolf]

Perso les connexions SSH je les sécurise avec des couples de clés privée / publique

 

[Thomaslas44]

 

C'est à dire ? Peux tu préciser comment tu fais exactement ?

[Thomaslas44]

J'ai entendu parler qu'il était facile de craquer un mot de passe root sur certains système :

Remote Exploit http://formation-debian.via.ecp.fr/securite-reseau.html

Je sais plus le nom.

Quelqu'un sait comment éviter cette faille de sécurité ?

Modifié le 21 juin 2009 par Thomaslas44

[Greywolf]

utilisation de clés assymétriques et ssh-agent si on ne veut pas taper systématiquement la clé de déchiffrage de la clé DSA

http://mah.everybody.org/docs/ssh

 

pour les failles de sécurité, utiliser les versions stables et éprouvées des softs, patcher son kernel avec les correctifs au besoin, limiter les droits des utilisateurs, superviser son système...