Project

General

Profile

Scénario #13335

Définir une configuration SSH sécurisée et utilisable avant instance

Added by Philippe Caseiro almost 8 years ago. Updated over 7 years ago.

Status:
Partiellement Réalisé
Priority:
Normal
Assigned To:
-
Category:
-
Target version:
sprint 2016 01-03 - Equipe MENESR
Start date:
01/07/2016
Due date:
01/22/2016
% Done:

100%

Estimated time:
(Total: 14.00 h)
Spent time:
1.50 h (Total: 10.58 h)
Story points:
3.0
Remaining (hours):
0.00 hour
Velocity based estimate:
Release:
EOLE 2.5.2
Release relationship:
Auto

Description

Exigence

  • Le serveur SSH doit autoriser la connexion au compte root avant l’instance
  • Le compte utilisateur root doit avoir un mot de passe aléatoire avant l’instanciation
  • Le compte utilisateur eole doit avoir un mot de passe aléatoire avant l’instanciation
  • La transformation d’un serveur Ubuntu en module EOLE ne doit pas changer le mot de passe root si ce n’est pas celui par défaut d’EOLE

Proposition

Générer des mots de passe aléatoires dès l’installation de l’image ISO pour les comptes root et eole.

Tâches :

  • Nécessite de modifier l’affichage du mot de passe sur la console physique. Le fichier est actuellement modifié par le postinst du paquet eole-server (eole-common:source:debian/eole-server.postinst@e618e4d#L89)
  • Nécessite de modifier la procédure de changement de mot de passe à l’instanciation. Actuellement nous vérifions que le mot de passe actuel a bien été changé

Contraintes

  • Nécessite un accès physique au serveur pour transmettre le mot de passe à l’utilisateur distant voulant se connecter en SSH

Contournement pour la 2.5.0 et la 2.5.1

  1. Se connecter avec le compte eole et son mot de passe par défaut $fpmf&123456$
  2. Passer root avec la commande su - et le mot de passe par défaut de root $eole&123456$
  3. Modifier la configuration du serveur SSH
    root@eolebase:~# sed -i -E 's,^(PermitRootLogin).*,\1 yes,' /etc/ssh/sshd_config
  4. Redémarrer le serveur SSH
    root@eolebase:~# service ssh restart

Demande utilisateur

En version 2.5 il est impossible d'ouvrir une session SSH avec l'utilisateur root. Ce qui en soit n'est pas un problème mais ce n'est pas dénué de conséquences.

Il est désormais impossible de configurer un serveur via SSH avant l'instance.

Pour lancer gen_config avant l'instance il faut :

  1. Ouvrir une session avec le compte eole (seul compte disponible) et choisir "Shell_Linux" dans le menu.
  2. Devenir root avec la commande "su -" eole n'a pas de droits "sudo"
  3. Lancer gen_config une fois root.

Le problème est que gen_config ne se lance pas car il n'a pas le droit d'ouvrir le display forwarder.

Conclusion: en 2.5 il est impossible de configurer un serveur via SSH.

Subtasks

Tâche #14566: Ne plus mettre à jour le fichier issue dans le paquet eole-serverNe sera pas résoluDaniel Dehennin

eole-common - Tâche #14661: Créer l’utilisateur « eole » s’il n’existe pasFerméDaniel Dehennin

Tâche #14653: Ne pas définir de mot de passe aléatoire si le mot de passe courant n’est pas celui par défautFerméDaniel Dehennin

creole - Tâche #14645: Gérer le changement de mot de passe durant la phase instanceFerméDaniel Dehennin

eole-common - Tâche #14567: Autoriser les connexions root dès l’installation ISOFerméDaniel Dehennin

eole-common - Tâche #14565: Générer des mots de passe aléatoires à l’installation ISOFerméDaniel Dehennin

Tâche #14633: Infra EOLE: Modifier le mot de passe root avant le redémarrageFerméGilles Grandgérard

Tâche #14643: Exigences et tests squashReportéDaniel Dehennin

Documentations - Tâche #14644: Mettre à jour la documentation d’installationFerméGérald Schwartzmann

Related issues

Related to eole-common - Bac à idée #12123: Chaque administrateur doit avoir un compte SSH nominatif et utiliser sudo Nouveau

History

#1 Updated by Scrum Master almost 8 years ago

  • Tracker changed from Anomalie to Demande

#2 Updated by Thierry Bertrand almost 8 years ago

Cela va nous poser problème au niveau de l'assistance au niveau de l'installation initiale.

Ne pourrait-on pas générer un mdp aléatoire pour root et l'afficher en console pour permettre à nouveau un accès ssh dès l'installation ?

#3 Updated by Scrum Master almost 8 years ago

  • Assigned To set to Daniel Dehennin

#4 Updated by Daniel Dehennin almost 8 years ago

Sur Ubuntu Trusty, seul la connexion par clef publique est autorisée pour le compte root et c’est cette configuration qui est en place avant l’instanciation du serveur.

Il existe plusieurs possibilités en fonction du niveau de sécurité voulue.

Serveur SSH non démarré avant instance

  • Aucune connexion SSH n’est possible par défaut
  • Cette option nécessite soit
    • de faire la configuration et l’instanciation en locale, physiquement devant le serveur
    • de faire configurer manuellement le service SSH et le démarrer pour une configuration et instanciation à distance

Il est aussi possible de :

  • pré-configurer SSH pour autoriser des connexions avec les mots de passe par défaut
  • générer des mots de passe aléatoires

Dans ce cas seul le démarrage manuel du service et la transmission éventuelle du mot de passe est nécessaire à la prise en main à distance.

Serveurs SSH démarré avant l’instance

  • Cette option est le choix historique du projet EOLE.
  • Plusieurs options sont envisageables dans ce mode de fonctionnement

Autoriser des connexions avec les mots de passe par défaut

  • Permet de se connecter en SSH avec mot de passe pour les comptes root et eole
  • Ouvre une fenêtre où le serveur peut être exploité par un mal veillant

Générer des mots de passe aléatoires dès l’installation de l’image ISO

  • Nécessite l’affichage du mot de passe aléatoire sur la console physique, comme c’est actuellement le cas avec le mot de passe par défaut
  • Nécessite de modifier la procédure de changement de mot de passe à l’instanciation
  • Nécessite un accès physique au serveur pour transmettre le mot de passe à l’utilisateur distant voulant se connecter en SSH

#5 Updated by Scrum Master almost 8 years ago

Solution de mot de passe aléatoire retenue par le product owner pour la 2.5.2.

#6 Updated by Daniel Dehennin almost 8 years ago

  • Tracker changed from Demande to Proposition Scénario
  • Subject changed from SSH, gen_config et 2.5 avant instance to Définir une configuration SSH sécurisée et utilisable avant instance
  • Description updated (diff)
  • Assigned To deleted (Daniel Dehennin)

#7 Updated by Daniel Dehennin almost 8 years ago

  • Description updated (diff)

#8 Updated by Scrum Master almost 8 years ago

  • Tracker changed from Proposition Scénario to Scénario
  • Start date deleted (10/02/2015)
  • Release set to EOLE 2.5.2
  • Story points set to 3.0

#9 Updated by Luc Bourdot almost 8 years ago

  • Due date set to 01/22/2016
  • Target version set to sprint 2016 01-03 - Equipe MENESR
  • Start date set to 12/21/2015

#10 Updated by Daniel Dehennin over 7 years ago

Amélioration de la formalisation des tâches :

  • Ajout des procédures de validation

#11 Updated by Daniel Dehennin over 7 years ago

  • Description updated (diff)

#12 Updated by Daniel Dehennin over 7 years ago

  • Status changed from Nouveau to Partiellement Réalisé

#13 Updated by Daniel Dehennin over 7 years ago

ERRATA

Pour les modules EOLE 2.5.0 et 2.5.1, la connexion avec le compte root n’est pas possible avant instance.

Pour contourner:

  1. Se connecter avec le compte eole et son mot de passe par défaut $fpmf&123456$
  2. Passer root avec la commande su - et le mot de passe par défaut de root $eole&123456$
  3. Modifier la configuration du serveur SSH
    root@eolebase:~# sed -i -E 's,^(PermitRootLogin).*,\1 yes,' /etc/ssh/sshd_config
  4. Redémarrer le serveur SSH
    root@eolebase:~# service ssh restart

Also available in: Atom PDF