Ubuntu, ssh et PermitRootLogin...

Ca pourrait être le titre d'une sitcom comme "Amour, Gloire et Beauté" [1] mais c'est plutôt quelque chose qui m'a déçu légèrement auprès d'Ubuntu : "par défaut" le serveur ssh est configuré avec PermitRootLogin à on. Pour ceux qui ne parlent pas le ssh couramment, cela veut dire que ssh autorise un utilisateur externe à se connecter à la machine directement en superutilisateur (avec tous les droits) à condition bien sûr qu'il donne le bon mot de passe. Mais comme Ubuntu n'active pas le mot de passe root -"par défaut"- c'est donc quelque chose d'impossible (sauf si l'administrateur de la machine a installé un mot de passe pour root). L'honneur est donc sauf ?

Pour moi, clairement non: deux précautions valent mieux qu'une et quand on voit le nombre de tentatives faites directement sur le compte root[2], je pense franchement que c'est un peu tirer le diable par la queue. Malheureusement ce n'est pour l'instant pas l'avis des mainteneurs Ubuntu de ssh (et manifestement de ceux d'OpenBSD).

Moralité: être parano en matière de sécurité, ne pas faire aveuglement confiance dans les réglages faits par d'autres (fussent-ils les mainteneurs de ma distribution préférée).

PS: PermitRootLogin ne prend pas uniquement "on" et "off" comme valeurs, il prend aussi "without-password" qui autorise l'authentification par clef publique uniquement et "forced-commands-only" qui autorise uniquement l'authentification par clef publique et l'execution d'une commande précise (à préciser dans le fichier authorized_keys, potentiellement utile pour lancer un backup par exemple)

Notes

[1] Je viens d'ailleurs de comprendre que "Amour, Gloire et Beauté" sur France 2 et "Top Models" sur RTL9 sont en fait la même série

[2] ne pensez pas que votre compte "toto" soit à l'abri, il est juste essayé moins frequemment

Commentaires

1. Le samedi 6 octobre 2007, 09:44 par Vincent

Merci ! Tu m'as rappelé l'existence des options de restriction pour l'utilisation des clés. Et ça résout un problème que je me posais depuis quelque temps :-)

2. Le samedi 17 novembre 2007, 09:18 par Thierry

Merci Laurent.
Je ne connaissais pas l'option "without-password",
Sous Debian PermitRootLogin est également à Yes par défaut. Je peux te dire que j'ai commencé à modifier la configuration de toutes mes machines.