Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Ssh

gph

Bonjour,

Quelle philosophie adopter pour modifier la config de SSH lorsque l'on est sur une serveur dédié et que SSH est le seul lien d'administration ?

Car si je fais une bétise je suis bon pour ré-installer le serveur totalement !

Je pensais mettre en place un telnetd le temps de la mise au point pour avoir une solution de replis.

A+ Philippe

Neuromancien

Je pensais mettre en place un telnetd le temps de la mise au point pour avoir une solution de replis.

Surtout pas ! c'est comme vouloir rouler en 2CH alors que tu as une porche ^_^
Si tu as un ssh de disponible, tu peut le laisser en place, avec quelques restrictions

Par exemple (non exhaustif)
1/ Empêcher l'utilisateur root de se connecter (en ssh)
2/ Logger toutes les connections refusées, avec pourquoi pas envoie par email / sms
3/ Mettre en place en fail2ban
4/ Installer en blinder un parefeu (mais rien a voir avec SSH)

gph

Certe, mais quand c'est pour aller sur une chemin de terre, la 2CV est moins risquée que la porche :-P
Je prendrais la porche et exclusivement la porche lorsque le chemin sera groudroné !

Mon problème est que je veux mettre en place l'authentification SSH par clé publique.
Si je me plante je n'ai plus accès à mon serveur, je peux juste faire un reset à distance ou réinstaller une FC5 de base.

Je cherche donc une solution pour garder la main en cas de problème et pouvoir revenir à une configuration connue qui marche.

Au passage si vous connaissez un bon tutos sur la config de SSH avec clé je suis preneur 🙂

A+

pingoomax

je comprends pas ce qui te gene avec ssh!

Je vois pas ce qui pose problème?
Avec telnet tu te logues avec un mot de passe? Ben avec ssh c'est pareil!!! A la seule difference qu'il ne trasite pas en clair.

Apres la regle generale, c'est qu'on ne fait pas de tests sur des machines en exploitation.
Donc tu t'entraines à coté (deux machines, c'est qd meme pas dur à trouver), puis quand t'as compris tu fais ca grandeur nature!

gph

Je dois pas parler français ... 🙁

Je reformule :
Rien ne me gène avec SSH que j'ai l'intention d'utiliser !
Mon serveur n'est pas en production et si je flingue ma config SSH je perds mon serveur (il est en France dans un datacenter et le seul lien que j'ai avec c'est SSH) !
Est ce une raison suffisante pour vouloir éviter de faire de conneries ?

Alors essayez de lire et de comprendre le problème avant de répondre pour répondre, merci.

Oui, je m'agace et je m'en excuse mais bon c'est peut être moi qui suis à coté de la plaque.

Le but d'un forum pour moi et de partager des expériences, si c'est pour me dire ssh est mieux que telnet, je sais déjà et c'est pas ma question.
Bref, c'est pas grave, je me démerde.

Je vous dirais quand même comment j'ai procédé.

A+

Neuromancien

Alors essayez de lire et de comprendre le problème avant de répondre pour répondre, merci.

Essai d'etre plus clair dans ce que tu veut faire

Bref, c'est pas grave, je me démerde.

Nous aussi et, pour ma part, je m'en sort plutôt bien

gph

Donc :

J'ai un serveur dédié où est installé une FC5.
Sur ce serveur tourne pour l'instant LAMP.

Je souhaite sécuriser mes connexions SSH par des clé publiques.
Jusque là tout va bien.

Le risque est que SSH est mon seul moyen d'accès au serveur car c'est un serveur dédié.

Lorsque je vais changer le paramétrage de sshd je vais perdre ma connexion et si je me suis trompé dans la config je ne pourrais plus accéder à mon serveur.

Quelle solution puis je mettre en place afin de pourvoir restaurer ma config précédente en cas de mauvais paramétrage.
Sachant que si je n'ai plus de SSH je peux faire un reset ou me connecter sur le serveur WEB.
Donc mes moyens d'actions sont limités.

Après réflexion :
je peux soit faire un cron qui me restaure un sshd.conf au bout d'un temps donnée
soit faire en sorte que rcinit me le restaure si je resette
soit je mets en place telnetd le temps de faire mes manips
soit je fais un script qui se lance par le serveur WEB. (est ce faisbale ?)

Quand pensez vous ?

En espérant avoir été clair cette fois ci.

A+

Neuromancien

En espérant avoir été clair cette fois ci.

Ouaip :-D

le moyen le plus simple est, comme la suggéré @pingomax, de faire des tests sur une machine dont tu
a l'accès physique.

Si tu n'as pas la possibilité d'avoir une machine de test, le cron me parait une bonne alternative.
Tu pourrait aussi lancer deux demons SSHD, mais je ne sais pas si c'est possible.

La mise en place d'un telnetd, ce ne pas la meilleure solution, pourrait etre faite en dernier recours.

Merrick

Je vais peut être dire une connerie, mais le système de clé publique est compatible avec le système de login/password non ?
Il faut que je vérifie ce soir, mais dans un premier temps, tu peux utiliser le sysètme de clé tout en autorisant le login/password. Soit tu as la clé kivabien et ça passe, soit tu fais un login manuel. Donc, tu peux toujours rentrer sur ta machine, même si la gestion de clé ne marche pas.

Une fois que tu as vérifié que ça passe avec la clé, tu interdis le login/password en ssh.

Ca ne résoud pas 100% du problème, mais déjà, ça borde pas mal non ?

gph

Victoire je suis compris ! :hammer:

@Neuromancien :
En effet je ne dispose pas d'autre machine pour faire mes tests.
La seule sous linux à laquelle j'ai physiquement accès est en production ce qui m'interdit toute manip de ce genre.

Venant de changer de portable il faudrait que je ré-installe la FC dessus mais j'ai pas trop le temps en ce moment de tout repartionner sachant que j'ai déjà pour le boulot XP + Vista ! (pas de troll svp)

Le plus rapide est pour moi d'activer telnetd avant de faire mon HUP à sshd.
Je vais certainement faire comme ça si la solution de merrcik de marche pas.

@ Merrick :
Effectivement la solution mixte ne m'était pas apparue comme possible.
Je vais me documenter sur le sujet et ça peut être suffisant pour mon usage.
man sshd ...

Merci pour vos réponses et excusez moi encore de m'être énervé.

Allez un peu de lecture avant généraiton de mes clefs et je vous tiens au courant ...

Merrick

Allez, à tout hasard la doc sur le même site pour la gestion des clés.

gph

Merci pour la lecture elle est fort sympatique car succinte mais efficace.

La lecture des pages de manuel a été plus longue et moins efficace 😉

Bon, la double identification marche en effet.

ce qui permet de jouer avec ses clés sans soucis.

Merci à tous.