Project

General

Profile

Proposition Scénario #18651

ne plus se connecter en root sur les serveurs

Added by Thierry Bertrand over 3 years ago. Updated over 3 years ago.

Status:
À formaliser
Priority:
Normal
Assigned To:
-
Category:
-
Target version:
-
% Done:

0%


Related issues

Related to eole-common - Bac à idée #12123: Chaque administrateur doit avoir un compte SSH nominatif et utiliser sudo Nouveau

History

#1 Updated by Thierry Bertrand over 3 years ago

  • Status changed from Nouveau to À formaliser

A l'heure actuelle, les utilisateurs zephirs se connectent en root avec leurs clés ssh déposées sur le serveur le cas échéant.

Dans le cadre des recommandations ANSSI, il faudrait pouvoir loguer les actions des administrateurs et ne plus utiliser de compte "générique".

Après instance (on peut avoir besoin de se connecter en root avant l'enregistrement), l'idéal serait :
de disposer de comptes locaux identiques aux comptes zephir disposant de droits sudo
de proscrire l'accès ssh par mot de passe
de proscrire l'accès ssh root

#2 Updated by Joël Cuissinat over 3 years ago

  • Related to Bac à idée #12123: Chaque administrateur doit avoir un compte SSH nominatif et utiliser sudo added

#3 Updated by Daniel Dehennin over 3 years ago

Il faut noter que la connexion SSH enregistre l’IP du poste client et l’empreinte de la clef SSH qui a permis là connexion :

2017-03-13T11:13:00.672526+01:00 eolebase.ac-test.fr sshd[2063]: Accepted publickey for root from 192.168.230.30 port 60658 ssh2: RSA 7f:8d:1e:77:4f:3c:14:9e:fd:a6:42:4a:f4:b6:55:8a

Also available in: Atom PDF