[Linux-bruxelles] Re: SSH
Alain Belkadi
xigulor at linuxbeach.be
Mar 28 Mar 20:31:10 CEST 2006
Didier Misson wrote:
>> Autre possibilité utiliser la librairie pam_tally qui te permet de
>> bloquer un compte après X essais ! Moins propre mais rassurant. Ca
>> marche bien !
>>
>>
> Très intéressant aussi ça.
Je ne suis pas de cet avis.
Imaginons
L'utilisateur Robert, qui a un compte ssh sur ta machine. Il est
autorisé à se connecter.
Un script tente de se connecter sur ton serveur ssh avec le compte
Robert. Tu configures pam pour bloquer le compte après 3 tentatives.
Résultat : le script est bloqué, c'est bien. Le problème, notre bon
Robert ne sait plus se connecter pendant le laps de temps que tu as
défini. Robert n'est pas content.
Dans le cas d'une clé ssh :
Robert a sa propre clé ssh. Il se connecte quand il veut sur ton serveur.
Un script tente de se connecter avec le user Robert. Il pourra essayer
3452525 combinaisons différentes, si il n'a pas de clé privée, il ne
passera jamais. Pendant ce temps, Robert sait toujours se connecter vu
que lui a la bonne clé. Robert est content.
Par contre on peut très bien exploiter pam_tally pour par exemple samba,
n'étant en théorie autorisé que depuis le lan, si le compte se bloque ce
sera uniquement de la faute de l'utilisateur en théorie.
--
[Alain Belkadi]
Plus d'informations sur la liste de diffusion Linux-bruxelles