> Personnellement, je préfère
> PermitRootLogin without-password
>
> qui ne signifie pas du tout ce qu'on croit, mais qu'on ne peut se logger
> root qu'avec une clé publique / clé privée
>
> Il faut ajouter à ~/.ssh/authorized_keys la clé publique de
l'utilisateur
> qui désire se connecter.
>
> Plus précisément : si l'utilisateur à distance toto veut se loger root,
il
> faut mettre dans /root/.ssh/authorized-keys la clé publique de toto.
>
> Ainsi, le mot de passe ne transite même pas sur le réseau (il y a tout
un
> scmhilblic challenge-response pour éviter ça).
Personnellement, je n'aime pas trop cette technique. En effet si
le compte de "toto" sur la machine à distance se fait pirater, l'intrus
aura alors accès sans restriction à toutes les machines que gère "toto",
sans donner aucun mot de passe. Conclusion, en piratant une seule machine,
l'intrus peut en contrôler tout un tas d'autres. C'est à mon sens très
dangereux...
Je préfère avoir une liste de login/password écrite sur une
feuille de papier (enfermée dans un coffre de préférence ! :) ). Mais bon,
c'est aussi un problème de nombre de connexions que tu fais par jour. Si
tu dois te connecter au moins une fois par jours sur des machines à
distance, mieux vaut utiliser un "authorized_keys", c'est moins pénible !
Olivier
