Open maniackcrudelis opened 10 years ago
Je pense que la meilleure solution est encore de changer le mdp root dès l'installation finie. Sinon, n'importe quel user pourra se connecter en ssh avec root en rentrant yunohost.
A l'exception de la version raspberry, la connexion ssh en root est interdite par défaut. Il reste donc impossible de se connecter en root, sauf en se connectant en local avec le compte root.
C'est vrai ! Mais je maintiens que changer le mdp root reste la meilleure des sécurité. Après, virer le wheel aide à la renforcer aussi.
On peut tout à fait forcer le système à demander un nouveau mot de passe root une fois l'installation terminée. Pour celà il faut executer la commande "passwd root --expire" qui fait expirer le mot de passe root et oblige à le changer. Le seul souci c'est qu'il faut se connecter en root pour voir ce message et être obligé de changer de mot de passe.
Se connecter en root en SSH a été désactivé, sauf quand on utilise l'image raspberry Pi. Pour le reste, oui, on peut expirer le mot de passe root à l'install. L'idée était de ne pas compliquer l'installation : L'utilisateur a le mot de passe pour accéder à l'administration, un mot de passe pour se connecter en tant que lui-même, et c'est tout. Évidemment, lorsqu'on est à l'aise avec les systèmes UNIX, tout cela nous paraît bien peu, mais gardez à l'esprit que de n'avoir que deux mots de passe (pour deux usages différent) est très intelligible et libérateur. Ajouter un mot de passe root complexifie le tout pour pas grand chose.
On restera donc sur un admin sudoer jusqu'à nouvel ordre.
Je laisse l'issue ouverte car il sera bon de désactiver root en SSH sur l'image raspberry Pi.
En l'état, n'importe quel user peut se connecter en root avec la commande su root, mdp yunohost.
Pour interdire la connexion root à un user normal, tout en gardant la possibilité d'ouvrir une session en root depuis la machine en local, il suffit de décommenter cette ligne:
# auth required pam_wheel.so
dans le fichier /etc/pam.d/su La modification est effective sans nécessité de redémarrer la machine.