Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 21/03/2014, à 09:40

hlander10

Utilisateur administrateur

Bonjour,

Question sécurité, j'ai un utilisateur "monadmin", afin de ne pas utiliser l'utilisateur root.

Je désirs maintenant utiliser les clés ssh, pour ne pas avoir à communiquer le password de l'utilisateur monadmin. Par contre je n'arrive pas à avoir les droits nécessaires avec monadmin, pour ne pas avoir a faire sudo xxxxxxx.

J'ai essayé de mettre monadmin dans le groupe sudo, mais j'ai encore besoin de faire des commandes avec sudo.

Comment faire ?

Hors ligne

#2 Le 21/03/2014, à 10:13

tiramiseb

Re : Utilisateur administrateur

Salut,

seul root (*) peut exécuter des commandes système sans utiliser sudo.

afin de ne pas utiliser l'utilisateur root

Pourquoi ne pas utiliser l'utilisateur root ?
En quoi ça pose un problème, pour administrer un système ?
C'est dans quel cadre ?

Et s'il était possible de donner les droits à d'autres utilisateurs sans sudo, quelle différence ça ferait avec root ?

j'ai encore besoin de faire des commandes avec sudo

Et quel est le problème, avec sudo ?



(*) plus précisément, l'utilisateur ayant l'UID 0, le nom "root" est juste une convention.

Hors ligne

#3 Le 21/03/2014, à 10:25

hlander10

Re : Utilisateur administrateur

Précision, cette machine ou ces machines, sont de VM distante.

Je pensais qu'il fallait ne pas permettre a root de se connecter en ssh. Et je n'ai même pas défini de mot de passe pour cette utilisateur.

Le problème de sudo c'est qu'il me demande le mot de passe de l'utilisateur.

Je m'explique 3 personnes font l'admin des machines, et je ne souhaiterais pas communiquer le password, mais mettre en place de clé ssh, donce j'aimerais qu'une fois connecté avec leur clé ssh, il n'ai pas à donnée le pwd.

Si l'un part de la société je désactive sa clé ssh et le tour est joué.

Hors ligne

#4 Le 21/03/2014, à 10:29

tiramiseb

Re : Utilisateur administrateur

Je pensais qu'il fallait ne pas permettre a root de se connecter en ssh.

Ça ne pose pas plus de problème qu'avec un autre utilisateur.
C'est un mythe de la part de gens qui croient sécuriser leur ordinateur alors que ça n'apporte pas grand chose.
C'est un problème uniquement si le mot de passe de root est facilement cassable.

Et je n'ai même pas défini de mot de passe pour cette utilisateur.

C'est très bien.
Moi je te propose de mettre des clés SSH directement à l'utilisateur root.

je ne souhaiterais pas communiquer le password
Si l'un part de la société je désactive sa clé ssh et le tour est joué.

C'est une très très bonne approche. C'est ce que je fais quand je suis dans cette situation. Avec l'utilisateur root.

Hors ligne

#5 Le 21/03/2014, à 11:00

hlander10

Re : Utilisateur administrateur

ok merci pour votre retour, je vais faire la même chose je penses

Hors ligne

#6 Le 21/03/2014, à 11:03

Lork Scorguar

Re : Utilisateur administrateur

Il est tout a fait possible d'utiliser la commande sudo sans avoir de mot de passe à taper.
Il faut modifier le fichiers sudoers pour cela et remplacer la ligne  %sudo ALL=(ALL) ALL par  %sudo ALL=(ALL) NOPASSWD: ALL


Kubuntu 14.10
rMacBook Pro

Hors ligne

#7 Le 21/03/2014, à 11:14

tiramiseb

Re : Utilisateur administrateur

Lork Scorguar: oui mais cette méthode n'est pas plus sécurisée que de se connecter directement en root. Par contre, elle est plus contraignante pour les utilisateurs.

Hors ligne

#8 Le 21/03/2014, à 11:33

Lork Scorguar

Re : Utilisateur administrateur

Elle est plus contaignante car il faut taper le sudo, mais bien plus sécurisante, car on peut gérer les droits des sudoers pour éventuellement limiter leurs actions.
Il faut toujours garder un accès fiable à la machine. Car si on laisse les utilisateurs en root, il suffit à l'un d'eux de changer la clef ssh, changer le mot de passe ou n'importe qu'elle autre connerie pour rendre la machine inutilisable. root doit rester intact, enfin c'est mon avis.


Kubuntu 14.10
rMacBook Pro

Hors ligne

#9 Le 21/03/2014, à 11:47

tiramiseb

Re : Utilisateur administrateur

Oui mais si c'est pour que des personnes puissent administrer la machine dans son ensemble, ta réflexion tombe à l'eau.

Par exemple chez un de mes ex-employeurs, on était une équipe de 5 personnes à administrer quelques centaines de machines, avec chacun sa clé SSH sur le compte root de toutes les machines.
Il eut été aberrant d'utiliser sudo alors que nous avions besoin d'accéder à l'ensemble des machines.

Bien sûr, si l'objectif est de donner des accès limités à certaines commandes uniquement, alors ton approche est tout à fait adaptée. Mais d'après ce qu'a dit hlander10, ce n'est pas ce qu'il souhaite.

Hors ligne