Ubuntu, ssh et PermitRootLogin...

Laurent — Sat, 06 Oct 2007 00:29:00 +0200

Ca pourrait être le titre d'une sitcom comme "Amour, Gloire et Beauté" ^[1] mais c'est plutôt quelque chose qui m'a déçu légèrement auprès d'Ubuntu : "par défaut" le serveur ssh est configuré avec PermitRootLogin à on. Pour ceux qui ne parlent pas le ssh couramment, cela veut dire que ssh autorise un utilisateur externe à se connecter à la machine directement en superutilisateur (avec tous les droits) à condition bien sûr qu'il donne le bon mot de passe. Mais comme Ubuntu n'active pas le mot de passe root -"par défaut"- c'est donc quelque chose d'impossible (sauf si l'administrateur de la machine a installé un mot de passe pour root). L'honneur est donc sauf ?

Pour moi, clairement non: deux précautions valent mieux qu'une et quand on voit le nombre de tentatives faites directement sur le compte root^[2], je pense franchement que c'est un peu tirer le diable par la queue. Malheureusement ce n'est pour l'instant pas l'avis des mainteneurs Ubuntu de ssh (et manifestement de ceux d'OpenBSD).

Moralité: être parano en matière de sécurité, ne pas faire aveuglement confiance dans les réglages faits par d'autres (fussent-ils les mainteneurs de ma distribution préférée).

PS: PermitRootLogin ne prend pas uniquement "on" et "off" comme valeurs, il prend aussi "without-password" qui autorise l'authentification par clef publique uniquement et "forced-commands-only" qui autorise uniquement l'authentification par clef publique et l'execution d'une commande précise (à préciser dans le fichier authorized_keys, potentiellement utile pour lancer un backup par exemple)

Notes

[1] Je viens d'ailleurs de comprendre que "Amour, Gloire et Beauté" sur France 2 et "Top Models" sur RTL9 sont en fait la même série

[2] ne pensez pas que votre compte "toto" soit à l'abri, il est juste essayé moins frequemment

Le blog de Laurent - ubuntu

Ubuntu, ssh et PermitRootLogin...

Notes