Asustor Désactiver root/Admin... oui mais ?

[shaks2022]

"pour info, il est impossible de se connecter en ssh sur un Asustor autrement qu'avec 'root/mdp du compte' admin'."
=>non. tu fais sudo -i, tu ressaisis ton mdp, tu bascules en root et c'est tout (avec admin désactivé)

Exact ! ça fonctionne aussi comme ça.
Donc si je récapitule :
- compte utilisateur peut se connecter en tant que lui même via ssh avec saisie de son mot de passe, à condition d'être dans le groupe des administrateurs du NAS.
- on peut ensuite basculer vers root via sudo.
- connexion directe en ssh vers le compte root seulement possible avec 'root+mot de passe du compte admin', 'admin' en dur, lequel compte ne doit alors pas être désactivé ( donc pas conseillé)
- connexion directe en ssh vers le compte root possible même avec le compte 'admin' désactivé si on se connecte par échange de clés.

- l'échange de clés est à utiliser typiquement comme je l'ai mis en place pour les sauvegardes rsync de nas à nas en mode sécurisé, donc via ssh.
- l'échange de clé est à utiliser depuis une machine de confiance. exemple : votre pc, ou votre smartphone. Dans ce cas, on verrouille la clé rsa avec un mot de passe différent du mot de passe du compte utilisateur.
- la saisie user+mdp puis sudo, c'est seulement en dernière option.

 

[shaks2022]

vous n'hésitez pas à multiplier les comptes et donc à compartimenter vos autorisations plutôt que de tout faire avec un seul compte et vous serez dans la merde car le jour où votre téléphone est volé, vous ne pourrez plus facilement désactiver le compte utilisé par celui-ci téléphone parce que vous l'utilisez également sur tous vos autres appareils.

si ça m'arrive, je désactive le compte associé à mon téléphone ( chez moi , le compartimentage se fait par device) et je retire la clé publique du téléphone du fichier authorized_keys de mon nas .
En plus ,mon téléphone est chiffré avec authentication par empreintes ... donc faudra déjà que le voleur passe ce genre de sécurité .