Comment créer un 'Wheel' utilisateur et désactiver la connexion root pour SSH ? Imprimer

  • 0

Le groupe 'Wheel' est créé pour restreindre la connexion ssh directe du compte root. Il s'agit d'une mesure de sécurité pour durcir la sécurité du serveur.

La procédure consiste à créer un utilisateur Linux normal, à ajouter l'utilisateur au groupe, puis à éditer sshd_conf pour désactiver la connexion root.

Nous devrons donc ensuite nous connecter via l'utilisateur que nous appellerons 'admin', puis su pour nous connecter en tant que root.

 

Créer et définir le mot de passe admin

En root, commande à exécuter pour créer votre utilisateur

# useradd admin

Commande pour définir le mot de passe de cet utilisateur

# passwd admin

 

Vous pouvez vérifier la bonne configuration du compte via la commande id

[root@root ~]# id admin
uid=10018(admin) gid=10018(admin) groups=10018(admin)
[root@root ~]# ls -lad /home/admin/
drwx------ 2 admin admin 4096 Jun 25 16:01 /home/admin/

 

Ajouter des droits à l'utilisateur ou l'ajouter au groupe 'Wheel'

Vous pouvez soit configurer les droits de l'utilisateur dans le fichier de configuration "Sudoers" ou l'ajouter au groupe prédéfini.

 

Pour les autorisations sudo pour votre nouvel utilisateur administrateur, utilisez la commande suivante :

echo 'admin ALL=(ALL) ALL' >> /etc/sudoers

 

Pour ajouter cet utilisateur à ce groupe, voici les commandes

# usermod -aG wheel admin

 

A savoir que sous Ubuntu, le groupe s'appelle sudo et non wheel

 

Petit aparté si vous utilisez WHM, voici la procédure :.

Dans Main >> Security Center >> Manage Wheel Group Users

Sélectionnez l'utilisateur admin sous Ajouter un utilisateur au groupe wheel et Ajouter au groupe

 

Désactiver la connexion root

Avant d'effectuer cette action, assurez-vous que depuis votre utilisateur admin vous êtes bien apte à vous connecter et à basculer en root (via 'su -' ou 'sudo su -'). Sans quoi vous perdrez accès à votre serveur.

 

Editer le fichier sshd_config

 # vi /etc/ssh/sshd_config

 

Trouver la ligne et le paramètre  "PermitRootLogin yes" (Astuce vi, effectuez un slash suivi du texte à rechercher. Ex : /Permit)

Changer le paramètre par "PermitRootLogin no" (appuyer sur 'i' pour éditer)

Sauvegarder et quitter (echap puis wq! et entrer)

 

Redémarrer votre service sshd, dont voici un exemple de commande

[root@root ~]# /etc/init.d/sshd restart
Stopping sshd: [ OK ]
Starting sshd: [ OK ]

 

PS : Pour sécuriser davantage le serveur, changez le port ssh (default 22) en celui que vous souhaitez. Cela évitera du brute force inutile.

 

Autre information, pour exploiter les droits root vous aurez le choix entre su et sudo.  Su vous bascule sur le compte d'utilisateur root et requiert le mot de passe du compte root. Sudo exécute une seule commande avec les privilèges root – il ne passe pas à l'utilisateur root et ne nécessite pas de mot de passe d'utilisateur root distinct.


Cette réponse était-elle pertinente?

« Retour