OpenSSH-server : Le client est-il incontournable ? Le sujet est résolu

[dezix]

Bonjour,


Alors que je tente de minimiser la surface d'attaque d'un serveur duquel je pensais (sans-doute à tort )
qu'il n'a pas nécessité à se connecter sur d'autres sites,
je me rends compte que openssh-client est une dépendance de openssh-server.

Pour le moment,
il n'est pas prévu que ce serveur envoie ses sauvegardes vers un autre site,
car elles sont déclenchées et rapatriées localement depuis mon poste d'admin.

Sur les postes clients qui n'ont pas vocation de serveur,
la non-installation du serveur est recommandée.

Je ne vois pas (sauf contingence technique) pourquoi l'inverse ne serait pas plausible.


Merci pour vos explications.

[lol]

Hello,
Réponse un peu à côté mais...
- Je ne vois pas comment passer outre les dépendances d'openssh-server;
- Désinstaller le client SSH n'augmentera pas la sécurité du serveur;
- Tu peux toujours limiter dans /etc/ssh/sshd_config l'usage de ssh à root seulement.

[dezix]

Salut !

comme je ne me suis jusqu'à présent pas trop préoccupé de cette question,
J'étais surpris de ne pas pouvoir supprimer le client sans tout désinstaller.

SSH étant souvent livré "brut d'install" par tasksel,
je n'envisageais pas cette dépendance du serveur.

J'aurais volontiers cru qu'il y aurait eu un paquet genre openssh-common
pour éviter cela.

En tout cas je retiens ta suggestion de restreindre l'usage à root

[lol]

Salut !

comme je ne me suis jusqu'à présent pas trop préoccupé de cette question,
J'étais surpris de ne pas pouvoir supprimer le client sans tout désinstaller.

SSH étant souvent livré "brut d'install" par tasksel,
je n'envisageais pas cette dépendance du serveur.

J'aurais volontiers cru qu'il y aurait eu un paquet genre openssh-common
pour éviter cela.

En tout cas je retiens ta suggestion de restreindre l'usage à root

Ton interrogation est légitime.
Ce n'est pas logique d'avoir des dépendances du serveur dans le client.

[piratebab]

La logique me semble être qu si tu as un serveur, il te faut un client pour au moins tester le fonctionnement en local
et si tu désinstalles le client après coup, il te vire aussi le serveur ?

[dezix]

si tu désinstalles le client après coup, il te vire aussi le serveur ?

Oui, c'est ça.

[PascalHambourg]

Voici ce qu'on peut trouver dans le journal des changements du paquet source openssh :

Code : Tout sélectionner

openssh (1:3.8.1p1-9) experimental; urgency=low

  * Split the ssh binary package into openssh-client and openssh-server
    (closes: #39741). openssh-server depends on openssh-client for some
    common functionality; it didn't seem worth creating yet another package
    for this. openssh-client is priority standard, openssh-server optional.
(...)
 -- Colin Watson <cjwatson@debian.org>  Mon,  2 Aug 2004 20:48:54 +0100

Auparavant le client et le serveur étaient inclus dans un même paquet binaire. Suite à ce changement, il est devenu possible d'installer le client seul, mais il n'a pas été jugé utile de créer un paquet commun pour pouvoir installer le serveur seul.

La logique me semble être qu si tu as un serveur, il te faut un client pour au moins tester le fonctionnement en local

Ah bon ? Depuis quand faut-il installer un navigateur sur un serveur web pour le tester ? Quel intérêt de le tester en local plutôt que depuis une machine distante ?