Pages : 1
#1 Le 21/03/2014, à 09:40
- hlander10
Utilisateur administrateur
Bonjour,
Question sécurité, j'ai un utilisateur "monadmin", afin de ne pas utiliser l'utilisateur root.
Je désirs maintenant utiliser les clés ssh, pour ne pas avoir à communiquer le password de l'utilisateur monadmin. Par contre je n'arrive pas à avoir les droits nécessaires avec monadmin, pour ne pas avoir a faire sudo xxxxxxx.
J'ai essayé de mettre monadmin dans le groupe sudo, mais j'ai encore besoin de faire des commandes avec sudo.
Comment faire ?
Hors ligne
#2 Le 21/03/2014, à 10:13
- tiramiseb
Re : Utilisateur administrateur
Salut,
seul root (*) peut exécuter des commandes système sans utiliser sudo.
afin de ne pas utiliser l'utilisateur root
Pourquoi ne pas utiliser l'utilisateur root ?
En quoi ça pose un problème, pour administrer un système ?
C'est dans quel cadre ?
Et s'il était possible de donner les droits à d'autres utilisateurs sans sudo, quelle différence ça ferait avec root ?
j'ai encore besoin de faire des commandes avec sudo
Et quel est le problème, avec sudo ?
(*) plus précisément, l'utilisateur ayant l'UID 0, le nom "root" est juste une convention.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#3 Le 21/03/2014, à 10:25
- hlander10
Re : Utilisateur administrateur
Précision, cette machine ou ces machines, sont de VM distante.
Je pensais qu'il fallait ne pas permettre a root de se connecter en ssh. Et je n'ai même pas défini de mot de passe pour cette utilisateur.
Le problème de sudo c'est qu'il me demande le mot de passe de l'utilisateur.
Je m'explique 3 personnes font l'admin des machines, et je ne souhaiterais pas communiquer le password, mais mettre en place de clé ssh, donce j'aimerais qu'une fois connecté avec leur clé ssh, il n'ai pas à donnée le pwd.
Si l'un part de la société je désactive sa clé ssh et le tour est joué.
Hors ligne
#4 Le 21/03/2014, à 10:29
- tiramiseb
Re : Utilisateur administrateur
Je pensais qu'il fallait ne pas permettre a root de se connecter en ssh.
Ça ne pose pas plus de problème qu'avec un autre utilisateur.
C'est un mythe de la part de gens qui croient sécuriser leur ordinateur alors que ça n'apporte pas grand chose.
C'est un problème uniquement si le mot de passe de root est facilement cassable.
Et je n'ai même pas défini de mot de passe pour cette utilisateur.
C'est très bien.
Moi je te propose de mettre des clés SSH directement à l'utilisateur root.
je ne souhaiterais pas communiquer le password
Si l'un part de la société je désactive sa clé ssh et le tour est joué.
C'est une très très bonne approche. C'est ce que je fais quand je suis dans cette situation. Avec l'utilisateur root.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#5 Le 21/03/2014, à 11:00
- hlander10
Re : Utilisateur administrateur
ok merci pour votre retour, je vais faire la même chose je penses
Hors ligne
#6 Le 21/03/2014, à 11:03
- Lork Scorguar
Re : Utilisateur administrateur
Il est tout a fait possible d'utiliser la commande sudo sans avoir de mot de passe à taper.
Il faut modifier le fichiers sudoers pour cela et remplacer la ligne %sudo ALL=(ALL) ALL par %sudo ALL=(ALL) NOPASSWD: ALL
Kubuntu 14.10
rMacBook Pro
Hors ligne
#7 Le 21/03/2014, à 11:14
- tiramiseb
Re : Utilisateur administrateur
Lork Scorguar: oui mais cette méthode n'est pas plus sécurisée que de se connecter directement en root. Par contre, elle est plus contraignante pour les utilisateurs.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#8 Le 21/03/2014, à 11:33
- Lork Scorguar
Re : Utilisateur administrateur
Elle est plus contaignante car il faut taper le sudo, mais bien plus sécurisante, car on peut gérer les droits des sudoers pour éventuellement limiter leurs actions.
Il faut toujours garder un accès fiable à la machine. Car si on laisse les utilisateurs en root, il suffit à l'un d'eux de changer la clef ssh, changer le mot de passe ou n'importe qu'elle autre connerie pour rendre la machine inutilisable. root doit rester intact, enfin c'est mon avis.
Kubuntu 14.10
rMacBook Pro
Hors ligne
#9 Le 21/03/2014, à 11:47
- tiramiseb
Re : Utilisateur administrateur
Oui mais si c'est pour que des personnes puissent administrer la machine dans son ensemble, ta réflexion tombe à l'eau.
Par exemple chez un de mes ex-employeurs, on était une équipe de 5 personnes à administrer quelques centaines de machines, avec chacun sa clé SSH sur le compte root de toutes les machines.
Il eut été aberrant d'utiliser sudo alors que nous avions besoin d'accéder à l'ensemble des machines.
Bien sûr, si l'objectif est de donner des accès limités à certaines commandes uniquement, alors ton approche est tout à fait adaptée. Mais d'après ce qu'a dit hlander10, ce n'est pas ce qu'il souhaite.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
Pages : 1