[Linux-bruxelles] Re: SSH

[Alain Belkadi]

Didier Misson wrote:

>> Autre possibilité utiliser la librairie pam_tally qui te permet de
>> bloquer un compte après X essais ! Moins propre mais rassurant. Ca 
>> marche bien !
>>  
>>
> Très intéressant aussi ça.

Je ne suis pas de cet avis.

Imaginons

L'utilisateur Robert, qui a un compte ssh sur ta machine. Il est 
autorisé à se connecter.

Un script tente de se connecter sur ton serveur ssh avec le compte 
Robert. Tu configures pam pour bloquer le compte après 3 tentatives.

Résultat : le script est bloqué, c'est bien. Le problème, notre bon 
Robert ne sait plus se connecter pendant le laps de temps que tu as 
défini. Robert n'est pas content.

Dans le cas d'une clé ssh :

Robert a sa propre clé ssh. Il se connecte quand il veut sur ton serveur.

Un script tente de se connecter avec le user Robert. Il pourra essayer 
3452525 combinaisons différentes, si il n'a pas de clé privée, il ne 
passera jamais. Pendant ce temps, Robert sait toujours se connecter vu 
que lui a la bonne clé. Robert est content.

Par contre on peut très bien exploiter pam_tally pour par exemple samba, 
n'étant en théorie autorisé que depuis le lan, si le compte se bloque ce 
sera uniquement de la faute de l'utilisateur en théorie.

-- 
[Alain Belkadi]