Univers Apple

07
Juin
2017

Désactiver l'accès root à distance sur macOS

Publié par sky

Voici une astuce qui ne sera utile que dans certains cas très particulier.

Les attaques sur SSH portent à 99% du temps sur le compte root, pour se protéger le plus simple est de le désactiver, tout en conservant le compte sur une machine macOS (ou Linux) accessible en SSH.

Cette astuce vous sera inutile si :

  • le compte root est désactivé,
  • l'accès SSH est désactivé,
  • si votre Mac n'est pas accessible depuis l'extérieur.

Article skymac : Désactiver l'accès root à distance sur macOS

Voila ... comme je le disais, pour un nombre très limité de cas, mais cela peut cependant être utile pour les rares autres.

Il suffit d'éditer le fichier, en mode super-administrateur :

sudo emacs /etc/ssh/sshd_config

Sur des versions de macOS plus ancienne, il peut se trouver à la racine du dossier etc :

sudo emacs /etc/sshd_config

Pour les Macs en version 10.11 ou inférieur, il suffit de commenter la ligne :

PermitRootLogin yes

pour avoir le résultat

#PermitRootLogin yes

ou de mettre "no" à la place de "yes"

PermitRootLogin no

Pour Sierra, une nouvelle valeur, en plus de yes ou no, est indiquée par défaut.
Par contre, le l'accès est, de base, coupé.

#PermitRootLogin prohibit-password

Pour information la valeur prohibit-password, ou son équivalent without-password, permettent de se connecter en root, mais sans mot de passe, il faudra utiliser une autre méthode d'authentification.

Pour vérifier que l'accès est bien désactivé, le plus simple est de tester, en remplaçant "macpro.local" par le nom de votre machine (disponible dans Préférences Systèmes > Partage), son IP ou son DNS :

ssh root@macpro.local

Si l'insertion du mot de passe root échoue, c'est qu'il est bien désactivé.

Si l'accès root est bien désactivé, le compte, lui, ne l'est pas, et vous pouvez toujours vous connecter avec un compte personel, puis lancer les commandes en les préfixant de sudo pour qu'elles soient exécutées en mode root. Vous êtes ainsi protégé contre la majorité des attaques, et vous limiterez les bêtises faites directement avec le compte root.

 
 
Commentaires
Aucun commentaire pour le moment.

 

Poster un commentaire
En postant sur skymac.org, je m'engage à être courtois et à ce que mon message soit pertinent avec le sujet de l'article.
En outre, j'accepte, sans condition, que mon message soit refusé et supprimé si ces règles ne sont pas appliquées.
Captcha indisponible
Pour valider le formulaire, vous devez confirmer que vous êtes bien une personne. Actuellement, la fonctionnalité est indisponible. Vous devez activer le service ReCaptcha dans le gestionnaire des cookies, et donc consentir à l'utilisation de ses cookies.
Ouvrir le panneau de gestion des cookies
Fermer le panneau
Ce site utilise des cookies pour assurer son bon fonctionnement. Il utilise aussi des cookies issues de services tiers permettant de proposer des fonctionnalités avancées. À tout moment, vous pouvez choisir quels services vous souhaitez activer ou refuser, afin de retirer votre consentement quant à l'utilisation des cookies.
 
Personnalisation des services
Vous êtes libre de choisir quels services vous souhaitez activer. En autorisant ces services tiers, vous acceptez le dépôt et la lecture de cookies et l'utilisation de technologies de suivi nécessaires à leur bon fonctionnement. En retirant votre consentement pour certains de ces services, certaines fonctionnalités du site peuvent ne plus fonctionner.
Navigation du site  En savoir plus
Le site écrit un cookie de session permettant son bon fonctionnement et aidant à la navigation. Il ne peut être désactivé.
Utilisation : 1 cookie, enregistre l'identifiant de la session.
Durée de vie : Le cookie est présent pendant toute la session sur le site. Il devient obsolète après 24 minutes d'inactivité.
Obligatoire
Popup Média
Afficher des vidéos depuis Yoube ou Dailymotion.
ReCaptcha  En savoir plus
Permet de valider que les visiteurs sont bien des humains lorsqu'ils valident des formulaires.
 
Tout accepter Tout refuser Gérer