IBM Cloud Docs
Restriction de l'accès SSH pour l'utilisateur root

Restriction de l'accès SSH pour l'utilisateur root

Tout système Linux sur le réseau IBM Cloud® a un utilisateur root doté de droits d'administration. Sous Linux, vous pouvez créer des groupes 'wheel', qui octroient aux utilisateurs des droits similaires à ceux de l'utilisateur root via la commande "sudo" sans nécessiter l'utilisation des données d'identification de l'utilisateur root. Après avoir créé un groupe wheel avec les droits sudo sur l'utilisateur root, vous pouvez refuser l'accès SSH aux utilisateurs figurant dans ce groupe. En limitant l'accès utilisateur ainsi, vous protégez l'appareil des vulnérabilités en matière de sécurité liées à l'accessibilité au réseau. Les utilisateurs faisant partie du groupe wheel peuvent toujours effectuer des fonctions d'administration sur l'appareil à tout moment.

Suivez cette procédure pour empêcher l'accès SSH à l'utilisateur root.

  1. Ouvrez le fichier 'etc/group' et vérifiez s'il contient une ligne qui définit un groupe wheel :

    wheel:x:10:root

    Si cette ligne ne figure pas dans le fichier, ajoutez-la.

  2. Ajoutez au moins un utilisateur (user1) dans la ligne du groupe wheel :

    wheel:x:10:root, user1

    Les utilisateurs ajoutés au groupe wheel ont des droits identiques à ceux de l'utilisateur root, mais ils utilisent leur nom d'utilisateur unique lorsqu'ils accèdent au système.

  3. Exécutez la commande :wq pour sauvegarder les modifications et quitter le fichier.

  4. Ouvrez le fichier /etc/ssh/sshd_config et modifiez la ligne PermitRootLogin yes pour lire PermitRootLogin no.

  5. Exécutez la commande :wq pour sauvegarder les modifications et quitter le fichier.

  6. Entrez visudo sur la ligne de commande pour générer les droits sur les commandes.

  7. Supprimez le signe dièse (#) de la ligne suivante pour supprimer la mise en commentaire de la ligne :

    # %wheel ALL=(ALL) ALL

    La suppression de la mise en commentaire de cette ligne permet à tous les utilisateurs du groupe wheel d'exécuter toutes les commandes.

  8. Exécutez la commande :wq pour sauvegarder les modifications et quitter le fichier.

  9. Exécutez la commande suivante sur la ligne de commande :

    vi /etc/pam.d/su

  10. Supprimez le signe dièse (#) de la ligne suivante pour supprimer la mise en commentaire de la ligne :

#auth required pam_wheel.so use_uid

La suppression de la mise en commentaire de cette ligne nécessite que les utilisateurs fassent partie du groupe wheel pour avoir le droit d'exécuter toutes les commandes.

  1. Exécutez la commande :wq pour sauvegarder les modifications et quitter le fichier.
  2. Exécutez la commande suivante pour sauvegarder toutes les modifications et redémarrer SSH :
# etc/init.d/ssh restart

Etapes suivantes

Après avoir retiré l'accès SSH à l'utilisateur root, cet utilisateur ne peut plus se connecter à SSH. Si un utilisateur a accès au serveur via SSH en tant qu'utilisateur root, la connexion échouera au redémarrage de SSH effectué lors de la procédure précédente. Toutes les tentatives de connexion ultérieures à SSH via l'utilisateur root échoueront. Pour annuler ces modifications, répétez la procédure en remplaçant PermitRootLogin no par PermitRootLogin yes.