Projet

Général

Profil

Proposition Scénario #18651

ne plus se connecter en root sur les serveurs

Ajouté par Thierry Bertrand il y a plus de 7 ans. Mis à jour il y a environ 7 ans.

Statut:
À formaliser
Priorité:
Normal
Assigné à:
-
Catégorie:
-
Version cible:
-
% réalisé:

0%

Demandes liées

Lié à eole-common - Bac à idée #12123: Chaque administrateur doit avoir un compte SSH nominatif et utiliser sudo Nouveau

Historique

#1 Mis à jour par Thierry Bertrand il y a plus de 7 ans

  • Statut changé de Nouveau à À formaliser

A l'heure actuelle, les utilisateurs zephirs se connectent en root avec leurs clés ssh déposées sur le serveur le cas échéant.

Dans le cadre des recommandations ANSSI, il faudrait pouvoir loguer les actions des administrateurs et ne plus utiliser de compte "générique".

Après instance (on peut avoir besoin de se connecter en root avant l'enregistrement), l'idéal serait :
de disposer de comptes locaux identiques aux comptes zephir disposant de droits sudo
de proscrire l'accès ssh par mot de passe
de proscrire l'accès ssh root

#2 Mis à jour par Joël Cuissinat il y a plus de 7 ans

  • Lié à Bac à idée #12123: Chaque administrateur doit avoir un compte SSH nominatif et utiliser sudo ajouté

#3 Mis à jour par Daniel Dehennin il y a environ 7 ans

Il faut noter que la connexion SSH enregistre l’IP du poste client et l’empreinte de la clef SSH qui a permis là connexion :

2017-03-13T11:13:00.672526+01:00 eolebase.ac-test.fr sshd[2063]: Accepted publickey for root from 192.168.230.30 port 60658 ssh2: RSA 7f:8d:1e:77:4f:3c:14:9e:fd:a6:42:4a:f4:b6:55:8a

Formats disponibles : Atom PDF