Bonjour à tous !
 
          Je voudrais savoir s'il est possible d'interdire su root uniquement lors d'une session SSH, c'est à dire pouvoir se logger en root uniquement depuis le PC, physiquement ?
 
Merci à tous !
RedVivi

tu peux interdire a root  de se logguer a distance (ssh root@....) mais pour moi, si un user est connecté en ssh tu peux pas l 'empecher de faire su - ....

Le système ne fait aucune différence entre un tty initié par ssh ou en local ? Il me semblait que j'avais lu quelquechose à ce sujet mais je ne peux plus remettre la main dessus...

tu peux carrément interdire le su, ce qui laisse l'option de se logguer en root en local sur une console texte, ou n'autoriser le su que pour un utilisateur ou des utilisateurs (ou un groupe) sous lequel tu ne pourrais pas te logguer en ssh.

Hum perso si je devait faire ça je regarderait du coté de pam_group.
Sachant que su fonctionne qui si l'user est dans le groupe wheel...

 
Peux tu développer ton idée stp ? J'avoue que je vois mal le lien entre pam_groupe et SSH.

L'idée c'est que l'utilisateur ne soit pas membre du groupe wheel si il se connecte via le service sshd.
 
Exemple de conf sous Gentoo (attention Gentoo est réputé pour sa conf, ça peut être plus merdique sous une autre distrib)
 
1: On supprime le groupe wheel pour tous les utilisateurs
2: On édite le fichier /etc/pam.d/system-auth on ajoute :

3: On édite /etc/security/group.conf on ajoute :

user1,user2 correspondent aux utilisateurs qui doivent avoir accès au groupe wheel.
 
Bien sûr il faut que ssh utilise pam, mais ça devrait être le cas sur une distrib moderne (>1999 ). J'ai pas testé donc ca ne marche peut-être pas out-of-the-box mais c'est l'idée.

Salut, ça doit être possible de distinguer l'utilisateur "connecté localement" de tous les autres (ssh & co), avec le module "pam_console".
 
Par exemple, sur ma Mandriva, seul l'utilisateur connecté localement peut exécuter l'applet de mise à jour du système. Le même utilisateur connecté à distance (ex VNC, NX ...) n'a pas ce droit.
 
Contenu de /etc/pam.d/urpmi.update:

Debian aussi...qui n'a pas le groupe wheel   (comment on fait dans ces cas là ?)

Je dois dire que je suis un peu perdu dans tous ces paramètres...

Évidement sans wheel ma méthode tombe à l'eau...
Il n'y est pas ou n'est pas utilisé ?
J'ai ça dans mon /etc/pam.d/su  

encore une fois, fais ton traitement anti parano

Bon on peut essayer ça:

 
Normalement si y'a les modules pam_group et pam_wheel (ls /lib/security/ pour vérifier) et que le nom du module pam de ssh sous Debian est bien sshd ça devrait marcher.
 
À noter que c'est le contraire de ce que j'ai proposé plus haut, les utilisateurs dans le groupe nosu ne peuvent pas utiliser su.
 
[Albator] -> Y'a plus pam_console sous Gentoo, il a été supprimé pour raison de sécurité !? Je ne sait pas exactement ce qu'il en est, mais c'est a voir avant de l'utiliser...