Journal Accès sécurisé passwd root

Posté par  .
Étiquettes : aucune
-12
22
mar.
2010
Bonjour,

Je suis à la recherche d'un serveur de repository de mot de passe root.
L'idée est :

1 - Le mot de passe est changé périodiquement par ce/ces serveurs.
2 - Si un utilisateur a besoin de ce mot de passe, il fait une requête (https ?) sur un de ces serveurs et reçoit un mot de passe avec une validité de quelques heures (et loggue)
3 - A la fin de cette validité, le mot de passe est changé automatiquement.
4 - Les mots de passes changés doivent être accessibles à tout moment via une procédure spéciale par les responsable sécurité via des machines dédiées.

L'accès root standard se fait via sudo ou autre commande de gestion de droit (avec droit/log en conséquences).

De plus connaissez vous un gestionnaire de clé ssh (qui irait checker le'authorised key de root etc ...

C'est l'idée générale, mais vous comment faites vous pour gérer l'accès au mot de passe root (autre que un serveur ssh centralisé).
  • # Euh...

    Posté par  . Évalué à 1.

    J'ai pas tout compris, mais ce que je comprends, c'est que ce journal a sa place dans les forums. Ce qui est un comble, pour un journal.

    Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

    • [^] # Re: Euh...

      Posté par  . Évalué à -10.

      C'est pas plutôt :

      Tous les nombres impairs sont premiers, sauf un.
      • [^] # Re: Euh...

        Posté par  . Évalué à 1.

        Neuf aussi ?

        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

      • [^] # Re: Euh...

        Posté par  . Évalué à 1.

        9, 15, 21, ... sont des nombres impairs et premiers ?
        • [^] # Re: Euh...

          Posté par  (site web personnel) . Évalué à 9.

          3 est premier,
          5 est premier,
          7 est premier,
          9 est une erreur de mesure,
          11 est premier,
          13 est premier, ...
          • [^] # Re: Euh...

            Posté par  (site web personnel) . Évalué à 1.

            Et tu en as oublié un : deux, mais il est impaire...

            Donc ils sont tous impaires sauf un, deux.
            • [^] # Re: Euh...

              Posté par  (site web personnel) . Évalué à 2.

              Sauf que la blague n'est plus du tout drôle si on commence à compter à 2 (et quand on commence à compter à deux, on s'embrouille vite, ou alors il faut compter à la même vitesse).
              • [^] # Re: Euh...

                Posté par  . Évalué à -1.

                Désolé ! J'ai commis un impair, mais pas deux.
  • # Sudo ?

    Posté par  . Évalué à 7.

    Si je comprends bien tu cherches à autoriser des utilisateurs différents à administrer un serveur pour une durée limitée.

    Au delà du fait que cette manière d'attribuer temporairement des droits root est étrange*, la commande sudo te permettrait probablement de donner l'accès à des commandes sensibles de manière plus fine.
    Au lieu de changer le mot de passe root, tu édites les commandes que tes users peuvent lancer en sudo.

    Il est même possible de désactiver le mot de passe root afin de nécessiter l'utilisation d'un compte standard pour l'administration, ce qui permet d'améliorer la traçabilité des opérations.

    * à partir du moment où un utilisateur a eu un shell root il peut très bien mettre en place une backdoor qui lui permette de revenir plus tard, le fait de changer le mot de passe n'apporte aucune garantie sur ce point.
    • [^] # Re: Sudo ?

      Posté par  . Évalué à -1.

      Mais comment tu fais quand tu dois passer en single au boot ?
      C'est tout le problème en général sudo et ses comparses font l'affaire mais parfois le mdp root est nécessaire.
      Il reste à gérer ce cas où tu es tout seul, que le server est en attente de mdp pour passer en single et que tu dois rentrer le mdp ou booter reseau, changer le shadow ..
      Il faut eviter de disséminer le mdp et en meme temps qu'il soit accessible si besoin est.
      • [^] # Re: Sudo ?

        Posté par  . Évalué à 8.

        Quant tu dois passer Single< au boot, il suffit d'écrabouiller plus fort les pédales. Mais pourquoi le passer au boot alors qu'on peut simplement attendre que son demi-maillon se casse ?

        Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

      • [^] # Re: Sudo ?

        Posté par  . Évalué à 4.

        > Mais comment tu fais quand tu dois passer en single au boot ?

        Ca t'arrive souvent ? Revois tes procédures d'admin, il y a quelque chose qui cloche.
        La fois où ça arrive : "init=/bin/sh" fait ds merveilles...
        • [^] # Re: Sudo ?

          Posté par  . Évalué à 0.

          Que ca arrive souvent ou pas n'est pas le pb, il faut pouvoir couvrir le cas ou le mot de passe root est nécessaire.
        • [^] # Re: Sudo ?

          Posté par  . Évalué à 0.

          Ca t'arrive souvent ? Revois tes procédures d'admin, il y a quelque chose qui cloche.

          Ou alors il gère beaucoup plus de serveurs que toi.
          • [^] # Re: Sudo ?

            Posté par  (site web personnel) . Évalué à 3.

            Je gère pas mal de machine et cela ne m'est arrivé qu'une fois en 4 ans. Et comme je n'avais pas le root de cette machine, j'ai mis un LiveCD de systemrescue et j'ai du viré le mot de passe !

            Le coup de /bin/bash dans init marche très bien aussi et m'a servis plus souvent. En plus, rien à retenir ou presque ! La aussi, tu peux facilement virer le mot de passe sur root et rebooter un coup...

            Bref, j'ai encore un mot de passe root sur mes machines mais je pense sérieusement à le virer dans un avenir proche pour me simplifier la tâche.
            • [^] # Re: Sudo ?

              Posté par  . Évalué à 3.

              Je gère pas mal de machine et cela ne m'est arrivé qu'une fois en 4 ans.
              Machines virtuelles et réelles comprises je gère (avec d'autres) environ 300 machines.
              Je passe souvent en mode root single user, notamment lors des mises à jour de serveurs critiques ou les mises à jour de FreeBSD.
              C'est la bonne façon de faire sous FreeBSD, c'est celle qui est dans le handbook.
              Quand tu as 300 serveurs, bien configurés, sur lesquels tu as un problème grave tous les 3 ans à peu près, tu peux t'attendre à devoir passer (toi ou un collègue) en mode single user une fois par semaine en moyenne.
              Généralement tu as la main sur un vKVM mais pas forcément envie de te déplacer jusqu'au datacenter pour mettre un live CD dans la machine, ni même envie d'uploader une ISO. Parfois single user va plus vite.

              Personnellement je ne cherche pas à me débarrasser du mot de passe root (surtout que sur la plupart des machines même avec le mot de passe root tu vas pas loin) mais de sudo. Et depuis deux ans je ne m'en sers plus du tout, sans impact sur la prod.
              • [^] # Re: Sudo ?

                Posté par  (site web personnel) . Évalué à 2.

                Mon datacenter (enfin, ma salle serveur) n'est pas loin de mon bureau et y aller une fois par mois n'est pas un exercice inutile ;-)

                Le boot sur clef USB (LiveUSB ?) est aussi très rapide et très souple (il y a sur la clef tous les outils nécessaire). Sur les serveurs, le plus long est souvent la phase du bios...

                Sinon, pourquoi veux tu te débarrasser de sudo ? Entre root et sudo, je préfère me débarrasser de root.
                • [^] # Re: Sudo ?

                  Posté par  . Évalué à 2.

                  Sinon, pourquoi veux tu te débarrasser de sudo ? Entre root et sudo, je préfère me débarrasser de root.

                  Sudo m'ennuie car il permet d'exécuter un programme, ou une série de programmes avec des droits root. Donc potentiellement de tirer parti d'une faille pour rebondir sur autre chose.

                  Depuis que les acl existent je n'en vois plus l'utilité.

                  Par contre root le système en a besoin pour tout un tas d'opération de maintenance ou de mise à jour. Et très honnêtement c'est pratique pour récupérer du bout des ongles un système qui part en vrille. Ceci étant j'ai quand même pas mal compliqué la méthode pour se loguer en root "pour de vrai" sur mes machines.
              • [^] # Re: Sudo ?

                Posté par  . Évalué à 1.

                Pour les mises à jour de FreeBSD, le handbook le préconise, mais ce n'est absolument pas nécessaire (hormis si tu joues avec le kern.securelevel, dans ce cas là ya pas le choix, pour ça que le handbook fait un cas genéral en le préconisant). Je n'en ai jamais eu besoin pour mettre à jour les miennes, et je ne connais aucune FreeBSDiste qui en ai eu besoin un jour. Et ça réduit le downtime à un simple reboot sur le nouveau kernel avant de faire l'installworld. :)
                • [^] # Re: Sudo ?

                  Posté par  (Mastodon) . Évalué à 2.

                  en parlant de downtime, ils n'ont pas encore tiré parti chez freebsd du rootfs en zfs pour faire l'équivalent d'un live ugrade de solaris et opensolaris ? Comme ça pas besoin de se poser la question de booter en single user si tu upgrade un clone de ton système.
  • # pki?

    Posté par  . Évalué à 3.

    hello

    je ne suis pas certain d'avoir saisi le fond de l'histoire ni le pourquoi du comment mais un système basé sur les certificats me semble plus approprié à ton problème.

    L'utilisateur ayant besoin d'un acces root temporaire se voit delivrer un certificat dont la date d'échéance est prédéterminée.

    C'est surement un peu 'violent' à mettre en place mais à mon avis plus secure que des mots de passe temporaires.
  • # mais en libre ?

    Posté par  . Évalué à 0.

    du côté du pas libre (et du cher), il y a Enterprise Password vault de Cyber-ark ... mais existe-t-il ce genre d'usine en libre .... ?
  • # Onetime password

    Posté par  . Évalué à 1.

    Ton besoin semble correspondre à celui couvert par les onetime password, où comme son nom l'indique tu génères plein de mot de passe mais ne peut les utiliser qu'une fois. C'est géré via pam, donc transparent, et rien ne t'empeches d'utiliser sudo en plus.

    Sinon avec des clefs ssh ça devrait pouvoir marcher aussi, mais ce sera du bricolage.

    voir http://savannah.nongnu.org/projects/otpasswd/ qui de mémoire ne marche pas trop mal
    • [^] # Re: Onetime password

      Posté par  . Évalué à 1.

      C'est un peu ce genre de solutions que je recherche effectivement.
      EPV a l'air un peu trop surdimensionné pour mon besoin et de plus c'est pas libre.
      Savannah à l'inverse à l'air un peu archaique et en plus c'est de l'alpha :-)
      • [^] # Re: Onetime password

        Posté par  . Évalué à 7.

        Je répète que ta solution est bancale :
        Pourquoi veux-tu avoir des mots de passe temporaires ? Probablement parce que tu ne fais pas confiance aux personnes à qui tu vas communiquer ce mot de passe et que tu souhaites leur limiter l'accès.
        Manque de bol, un user avec un pass root a besoin de 2 minutes pour compromettre une machine en mettant un petit script suid planqué quelque part. Changer le mot de passe root dans la foulée ne réglera pas le problème, sauf à mettre une bardée d'autres solutions techniques complexes en place (tripwire, kill du shell root...)

        Conclusion : si tu ne fais pas confiance à tes utilisateurs, ne leur communique PAS le mot de passe root, même pour 5 minutes.
        Conséquence : cherche une autre solution technique (ex: sudo) ou organisationnelle (faire effectuer l'admin par des personnes de confiance)
    • [^] # Re: Onetime password

      Posté par  (site web personnel) . Évalué à 1.

      En complément et à des fins de traçabilité il est possible de créer des utilisateur avec uid 0 => droits root, mais logins différents.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.