oui, ça enlève le login et donne un... micro avancement.
Il suffit de mettre un fail2ban pour empêcher toute tentative de
connexions multiples et/ou attaque basée sur dictionnaire. Du coup,
l'intérêt n'est pas évident de bloquer le compte root par sshd AMHA.
Sauf bien sûr d'avoir un truc aussi trivial que root/root, les risques
sont ultra-minimes d'être percés par ce moyen.
Parfois,on s'emmerde la vie pour faire un truc qui protège à peine.
J'ai des serveurs qui ont des attaques chaque seconde depuis des
années sans souci. Le truc fait par des abrutis, genre script kiddies,
ne peut marcher que sur une machine mal configurée. Un root avec un
(bon) mot de passe, même ouvert aux quatre vent, avec un fail2ban,
rend virtuellement ce genre d'attaque vouée à l'échec.
En général, les applis hébergées sont de bien meilleures cibles !
PK
Le dim. 21 août 2022 à 19:08, Christian Marillat <marillat@???> a écrit :
>
> On 21 août 2022 18:51, Patrice Karatchentzeff <patrice.karatchentzeff@???> wrote:
>
> > Salut Christian,
>
> Salut Patrice,
>
> [...]
>
> > Autoriser un compte qui a la capacité sudo sur tout ensuite n'est pas
> > plus sécure : si tu as le mot de passe du compte, tu es virtuellement
> > connecté en root...
>
> C'est déjà plus compliqué car il faut trouver le login et il suffit
> d'autoriser le programme qui va faire le backup.
>
> C'est sur que si la personne récupère /etc/shadow avec le logiicel de
> backup, John va vite trouver les mots de passe.
>
> Christian
>
--
|\ _,,,---,,_ Patrice KARATCHENTZEFF
ZZZzz /,`.-'`' -. ;-;;,_ mailto:patrice.karatchentzeff@gmail.com
|,4- ) )-,_. ,\ ( `'-'
'---''(_/--' `-'\_)