YunoHost / packages_old

[not used anymore] YunoHost Debian package sources
http://yunohost.org
8 stars 7 forks source link

Ne pas autoriser n'importe quel user à se connecté en root. #26

Open maniackcrudelis opened 10 years ago

maniackcrudelis commented 10 years ago

En l'état, n'importe quel user peut se connecter en root avec la commande su root, mdp yunohost.

Pour interdire la connexion root à un user normal, tout en gardant la possibilité d'ouvrir une session en root depuis la machine en local, il suffit de décommenter cette ligne:

# auth required pam_wheel.so

dans le fichier /etc/pam.d/su La modification est effective sans nécessité de redémarrer la machine.

dolanor commented 10 years ago

Je pense que la meilleure solution est encore de changer le mdp root dès l'installation finie. Sinon, n'importe quel user pourra se connecter en ssh avec root en rentrant yunohost.

maniackcrudelis commented 10 years ago

A l'exception de la version raspberry, la connexion ssh en root est interdite par défaut. Il reste donc impossible de se connecter en root, sauf en se connectant en local avec le compte root.

dolanor commented 10 years ago

C'est vrai ! Mais je maintiens que changer le mdp root reste la meilleure des sécurité. Après, virer le wheel aide à la renforcer aussi.

solarus0 commented 10 years ago

On peut tout à fait forcer le système à demander un nouveau mot de passe root une fois l'installation terminée. Pour celà il faut executer la commande "passwd root --expire" qui fait expirer le mot de passe root et oblige à le changer. Le seul souci c'est qu'il faut se connecter en root pour voir ce message et être obligé de changer de mot de passe.

Kloadut commented 10 years ago

Se connecter en root en SSH a été désactivé, sauf quand on utilise l'image raspberry Pi. Pour le reste, oui, on peut expirer le mot de passe root à l'install. L'idée était de ne pas compliquer l'installation : L'utilisateur a le mot de passe pour accéder à l'administration, un mot de passe pour se connecter en tant que lui-même, et c'est tout. Évidemment, lorsqu'on est à l'aise avec les systèmes UNIX, tout cela nous paraît bien peu, mais gardez à l'esprit que de n'avoir que deux mots de passe (pour deux usages différent) est très intelligible et libérateur. Ajouter un mot de passe root complexifie le tout pour pas grand chose.

On restera donc sur un admin sudoer jusqu'à nouvel ordre.

Je laisse l'issue ouverte car il sera bon de désactiver root en SSH sur l'image raspberry Pi.