Ubuntu-fr

nold88

N'autoriser que le SSH

Bonjour,

Je cherche une solution pour ne permettre l'accès à mon serveur (Ubuntu Server) que par SSH et donc que si un utilisateur tente d'entrer l'identifiant et le mot de passe directement sur la machine l'accès lui soit refusé.

Merci d'avance

casperfr

Re : N'autoriser que le SSH

Bonjour

un utilisateur tente d'entrer l'identifiant et le mot de passe directement sur la machine l'accès lui soit refusé

dans ce cas essais de faire au plus simple, pas de clavier sur la machine. peut etre que l'on peut désactivé le clavier par ligne de commande et tu peux le réactivé par ssh

bruno

Re : N'autoriser que le SSH

Bonjour,

Je ne comprends pas bien l'objectif, peux-tu expliquer pourquoi tu voudrais faire cela ?
Note bien que si tu arrivais à le faire tu serais alors dans l'incapacité de dépanner ta machine si pour une raison ou une autre elle n'est plus accessible sur le réseau.

nold88

Re : N'autoriser que le SSH

En fait, c'est pas vraiment que j'en ai  besoin mais je chercher par curiosité à savoir si y'a un moyen d'effectuer cette configuration.

Dernière modification par nold88 (Le 06/05/2014, à 16:31)

bruno

Re : N'autoriser que le SSH

À ma connaissance non.
Par contre tu peux limiter certains utilisateurs en leur donnant rssh comme shell.

jplemoine

Re : N'autoriser que le SSH

Je pense que personne ne l'a fait car au cas où le ssh ne fonctionnerait plus, il faut bien un accès "physique" à la machine.
Ce que tu peux faire c'est mettre en route pamusb et mettre la clé en required.
- il faut que "LA" clé soit insérer pour permettre l'accès au poste de travail.
Mais il faut que tu bloques la possibilité de démarrer via un CD/DVD ou USB --> sinon, on peut toujours démarrer une session live.

---

Ce compte ne servira plus : vous pouvez le supprimer si le coeur vous en dit...
Laissé par l'auteur pour historique.

nold88

Re : N'autoriser que le SSH

Merci beaucoup pour vos réponses

casperfr

Re : N'autoriser que le SSH

bonjour a tous,

juste par curiosité et culture personnel, quand on a un poste serveur donc uniquement en mode console, sur la machine physique il est possible d'accédé a cette machine uniquement par interface ssh ?
si on fait une liaison ssh par clé on peut mettre cette clé sur une clé usb par exemple ce qui fait qu'on ne pourrait pas démarrer l'accès a la console tant que la clé n'est pas inserrer ?

jplemoine

Re : N'autoriser que le SSH

Non. ce n'est pas tout à fait ça.
- tu laisses le mode ssh tel quel.
- tu mets un module pam_usb en required.
--> le mode ssh n'est pas modifié.
--> le mode console n'est accessible que si on insère sur le serveur un clé USB préconfigurée.

Dans ton post #8, tu modifie le ssh mais il me semble que ça n'impacte pas le mode console.

Sinon, il y a aussi la double authentification (exemple là). Il faut un jeton (6 chiffres) qui change toutes les  30secondes.
Pour le trouver, il faut une application sur un smartphone.
Contrairement à la doc, tu ne touches pas au ssh mais à l'accès en console.

---

Ce compte ne servira plus : vous pouvez le supprimer si le coeur vous en dit...
Laissé par l'auteur pour historique.

Pseudo supprimé

Re : N'autoriser que le SSH

Je cherche une solution pour ne permettre l'accès à mon serveur (Ubuntu Server) que par SSH et donc que si un utilisateur tente d'entrer l'identifiant et le mot de passe directement sur la machine l'accès lui soit refusé.

Si tu recherches un backend pam, tu as l'embarras du choix.

sudo apt-cache search libpam

par exemple, libpam-dotfile - A PAM module which allows users to have more than one password; un mot de passe pour chaque service ( session, ssh, messagerie ... )

Par ailleurs, dans le /etc/ssh/ssh_config, tu peux définir telle condition/contexte pour tel host/réseau

refusé

je ne pense pas que ce soit possible et si c'est la cas, en localhost, le procédé est inefficace et dangereux.. Contre les accès physiques, il n'y a pas grand chose à faire. Au delà de mettre un mot de passe dans le Bios, les solutions sont restreintes: LVM chiffré & TPM.
En clair, la problématique des accès physiques n'a aucun rapport avec celle des accès services.

Dernière modification par Titouan (Le 07/05/2014, à 12:35)