Forum Linux.général Comment donner les mots de passes admin, et protéger ses fesses.

Posté par .
Tags :
3
29
avr.
2011

Hello tout le monde.

Encore une fois, une question de responsabilité.

Cette fois-ci, le big boss me demande les mots de passes admin.
Or, si je lui donne, il faut que je puisse prouver que je le lui ai donné, et qu'il y a donc plusieurs responsable en cas de pépins sur les machines.

Est ce que vous auriez sous la main un modèle qui serait adapté à cette situation, et qui stipulerait que je ne serai plus responsable de l'administration des machines? (après, je ne sais pas ce que je ferai à mon poste, mais c'est une autre histoire).

Merci

Tit'nouille

  • # Suivant l'objectif: Lettre cachetée

    Posté par (page perso) . Évalué à 6.

    Si c'est pour les avoir au cas où tu aurais un problème, tu peux les mettre dans une lettre cachetée ; tant qu'il n'y en a pas besoin ça restera fermé, et s'ils en ont besoin ils peuvent les avoir et tu peux prouver qu'ils les ont eu.

    Python 3 - Apprendre à programmer en Python avec PyZo et Jupyter Notebook → https://www.dunod.com/sciences-techniques/python-3

  • # sudo est fait pour ca

    Posté par . Évalué à 9.

    le probleme que tu decris et un probleme classique de partage d'administration sur un serveur.

    le plus simple etant que tu crees un utilisateur à ton boss, appelons le BOSS

    tu ajoutes cet utilisateur au groupe qui peut faire sudo commande

    ainsi si ton boss veut faire une manip necessitant les droits admin, il se connecte avec le compte BOSS, et fait sudo lacommande-qui-demande-a-etre-admin

    avantage pour toi, tu vois dans les logs que BOSS s'est connecté

    tu vois aussi que BOSS a fait sudo lacommande-qui-demande-a-etre-admin

    et logiquement, tu dois faire pareil avec ton compte

    ainsi chacun est admin de la machine, sans connaitre le mot de passe de l'autre

    si l'un de vous s'en va, il suffit de fermer son compte, ca ne gene pas les autres admins

    • [^] # Re: sudo est fait pour ca

      Posté par . Évalué à 6.

      • sudo vi(emacs/nano...)
      • éditer passwd (virer le mdp de boss (après l'avoir copié) )
      • se logger en tant que boss
      • faire des conneries
      • remettre le mdp comme avant ;)
      • bon marche généralement aussi avec init=/bin/bash ou un liveCD

      bon globalement pour la solution donnée est bonne hein. Elle permet de savoir qui fait des connerie, mais pas qui est mal intentionné et compétant.

      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

  • # faire un BL

    Posté par . Évalué à 1.

    créer des comptes alias de root par exemple rootpatron
    tjrs avec l'ID=0 tu copie la ligne et tu changes que le nom et le répertoire /rootpatron
    tu fais un bon de livraison qu'il te signe pour le compte et password

    et après tu es couvert, une connerie faite par lui se verra par des fichiers dont le propriétaire changera et dans son propre .sh_history...

    ce qui avec une copie iso du système te protège même juridiquement.

    néanmoins je trouves ça idiot comme méthode dans la mesure ou tu peux utiliser des actions SUDO en lui créant un compte "normal" dédié à cet usage... et là aussi en cas de connerie tu peux consulter son .sh_history pour faire la preuve par A+B que c'est lui le responsable.

    Dans ce cas aussi tu lui fait un bon de livraison bien sur.

    • [^] # Re: faire un BL

      Posté par . Évalué à 1.

      Merci,

      concernant le .bash_history, il suffit de l'éditer, (ou se déloguer, se reloguer, l'éditer).

      Tit'nouille

      • [^] # Re: faire un BL

        Posté par (page perso) . Évalué à 3.

        syslog distant, noyau durçi avec enregistrement des commandes éxécutées, ...

        Système - Réseau - Sécurité Open Source

      • [^] # Re: faire un BL

        Posté par . Évalué à 1.

        et pour la propriété des fichiers, ça ne marche pas non plus : si l'ID de rootpatron est 0, il s'agit bien du même user que root et le propriétaire des fichiers créés sera donc le même. Il s'agira du user avec l'UID 0, et le nom affiché dépendra certainement de l'ordre dans /etc/passwd (donc soit root, soit rootpatron, ce qui ne change rien au final).

        En plus, quand root se contente de modifier un fichier ne lui appartenant pas, le propriétaire dudit fichier reste inchangé…

        JJD

  • # viré ?

    Posté par (page perso) . Évalué à 3.

    ils ont toujours pas réussi à te virer ? rapport à l'histoire précédente en php.

    • [^] # Re: viré ?

      Posté par . Évalué à 3.

      ha si, c'est en cours, mais je ne voudrais pas avoir une faute grave sur le dos, si je ne l'ai pas faite.

      J'ai eu l'entretien préalable au licenciement hier, donc je devrais recevoir par lettre RAR la suite :)

      Tit'nouille

      • [^] # Re: viré ?

        Posté par . Évalué à 3.

        alors attend de recevoir le courrier signifiant ton licenciement
        ensuite tu donneras les acces

        car tu n'en auras plus besoin ;)

        • [^] # Re: viré ?

          Posté par . Évalué à 2.

          Alors, on peut l"avoir maintenant l'url du formulaire? :-)

      • [^] # Re: viré ?

        Posté par (page perso) . Évalué à 3.

        Je me disais bien que le titre me rappelait kekchose.
        Et t'as un autre emploi en vue ?

        Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

      • [^] # Re: viré ?

        Posté par (page perso) . Évalué à -1.

        Par email.
        En y spécifiant la ou les procédures pour que ton patron puisse changer les mot de passe lui même afin que tu n'y ais plus accès.
        Ceci afin que si dans 2 ans il y ait un problème on ne puisse pas te suspecter ou que si on te suspecte tu puisse dire que de toute façon ton patron n'a pas suivi les règles de base de prudence.

        • [^] # Re: viré ?

          Posté par (page perso) . Évalué à 2.

          Penser à enlever les clefs publiques ssh le cas échéant.

          Système - Réseau - Sécurité Open Source

  • # bon courage

    Posté par (page perso) . Évalué à 2.

    bon courage pour la suite

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.