2 votes

JeffFoster avatar

Deuxième mot de passe pour l'accès SSH uniquement

Demandé el 12 de Décembre, 2015
Quand la question a-t-elle été
174 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

TL;DR : Je veux avoir un mot de passe simple pour déverrouiller mon ordinateur avec un accès physique et un mot de passe complexe pour me connecter par ssh. Ceci, en utilisant le même compte.

Je suis à la recherche d'une solution pour gérer l'accès à mon ordinateur. Pour quelqu'un qui a un accès physique à mon ordinateur (comme moi-même et quelques amis qui l'utilisent de temps en temps), j'aimerais avoir un mot de passe simple et court qui empêche de parfaits inconnus d'entrer. Cependant, j'aimerais avoir un autre mot de passe complexe pour le serveur SSH, parce que ce dernier sera accessible depuis l'Internet public de temps en temps et qu'un mot de passe simple serait un trop grand risque pour la sécurité.

J'ai examiné l'authentification sans mot de passe à l'aide de clés ssh, mais ce n'est pas ce que je recherche, car je veux pouvoir accéder à mon ordinateur par ssh à partir de n'importe quel périphérique. (Et d'après ce que je comprends, mon ordinateur devrait avoir une liste de clés ssh de confiance).

Idéalement, je voudrais donc avoir un mot de passe simple pour déverrouiller mon ordinateur avec un accès physique et un mot de passe complexe pour me connecter par ssh.

Demandé el 12 de Décembre, 2015 par JeffFoster

Réponses

Trop de publicités?

2voto

agentroadkill avatar
agentroadkill Points 1466

Je pense que la vraie solution est de créer un compte non-administrateur auquel on peut accéder via ssh (on peut supposer que le compte que vous voulez utiliser via l'accès physique aura des privilèges sudo). Le compte ssh ne devrait pas vraiment avoir quelque chose ou être capable de faire autre chose que de laisser un utilisateur se connecter. Vous pouvez alors su de cet utilisateur vers le compte que vous voulez utiliser, ce qui vous donnera une couche de sécurité supplémentaire et une meilleure journalisation des accès au système (ou des tentatives d'accès).

Répondu el 12 de Décembre, 2015 par agentroadkill (1466 Points )

0 votes

Avatar de agentroadkill

Bien que ce ne soit pas strictement pertinent pour la question à l'examen : Je suggère également de changer votre port ssh de 22 (ou tout autre port connu). Un numéro élevé près de 5000 est hors de portée de nombreux script et réduira considérablement le nombre de tentatives de connexion que vous obtiendrez.

Commenté el 12 de Décembre, 2015 par agentroadkill

0 votes

Avatar de JeffFoster

J'aime cette solution ! :) Est-il possible de restreindre l'accès à ce compte ssh, sauf pour l'exécution de la commande ? su ?

Commenté el 12 de Décembre, 2015 par JeffFoster

0 votes

Avatar de agentroadkill

Vous pouvez le rendre vraiment aussi restreint que vous le souhaitez. C'est vous qui décidez de l'effort que vous voulez fournir pour y arriver. Si c'était moi, je m'assurerais simplement qu'il n'a pas d'accès sudo. Vous pouvez aller jusqu'à restreindre l'accès à /usr/bin ou modifier le PATH, si vous le souhaitez.

Commenté el 12 de Décembre, 2015 par agentroadkill

1voto

Jakuje avatar
Jakuje Points 1520

Ce n'est pas exactement ce que vous décrivez, mais cela devrait résoudre vos problèmes. L'outil s'appelle "single packet authorization" et une très belle implémentation avec description est la suivante fwknop .

Si vous disposez d'un ordinateur dont l'IP est accessible depuis Internet, il est très courant de voir de nombreuses tentatives d'authentification sur SSH et il est très pratique de protéger le service d'une manière ou d'une autre. Se cacher est une bonne approche. Fwknop vous permettra essentiellement de déverrouiller l'accès au service SSH. ssh pour une adresse spécifique à partir de votre téléphone portable (par exemple) et vous pouvez ensuite vous connecter en utilisant votre mot de passe relativement simple sans l'exposer au monde entier.

Si c'est trop compliqué, vous pouvez toujours configurer deux utilisateurs :

  • local :
    • avec un simple mot de passe
    • refus de se connecter à distance
  • à distance :
    • mot de passe complexe
    • a permis la connexion à distance en utilisant AllowUsers option dans sshd_config

et mettre en place sudo passer de la connexion distante à la connexion locale (automatiquement ou manuellement) pour se retrouver dans le même "contexte" qu'avec vos connexions locales.

Répondu el 12 de Décembre, 2015 par Jakuje (1520 Points )

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X