Documentation<Précédent | Table des matières | Suivant>
1.5.1. Accès SSH par les utilisateurs handicapés
Le simple fait de désactiver/verrouiller un compte d'utilisateur n'empêchera pas un utilisateur de se connecter à distance à votre serveur s'il a préalablement configuré l'authentification par clé publique RSA. Ils pourront toujours accéder au shell du serveur, sans avoir besoin de mot de passe. N'oubliez pas de vérifier dans le répertoire d'accueil des utilisateurs les fichiers qui permettront ce type d'accès SSH authentifié, par exemple /home/nom d'utilisateur/.ssh/authorized_keys.
Supprimer ou renommer le répertoire .ssh/ dans le dossier de départ de l'utilisateur pour empêcher d'autres capacités d'authentification SSH.
Assurez-vous de vérifier toutes les connexions SSH établies par l'utilisateur désactivé, car il est possible qu'il ait des connexions entrantes ou sortantes existantes. Tuez tous ceux qui sont trouvés.
qui | nom d'utilisateur grep (pour obtenir le terminal pts/#)
sudo pkill -f pts/#
Restreindre l'accès SSH aux seuls comptes d'utilisateurs qui devraient l'avoir. Par exemple, vous pouvez créer un groupe appelé "sshlogin" et ajouter le nom du groupe comme valeur associée au Autoriser les groupes variable située dans le fichier /etc/ssh/sshd_config.
Autoriser les groupes sshlogin
Ajoutez ensuite vos utilisateurs SSH autorisés au groupe "sshlogin" et redémarrez le service SSH.
sudo adduser nom d'utilisateur sshlogin
sudo systemctl redémarrer sshd.service