Forum général.général bonnes pratiques pour le mot de passe root

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
3
29
juil.
2016

Bonjour.
Je vais devoir administrer plusieurs machines pour une petite association. C'est la première fois que je m'occupe d'autre chose que mon PC perso, pour lequel la sécurité est le dernier de mes soucis. Donc questions :

1) À combien de personnes dois-je donner le mot de passe root ? Parmi les quelques membres de l'asso qui sont susceptibles d'y mettre les mains (amateurs comme moi), est-ce que je le donne à tout le monde ? Ou je mets tout le monde sudoer et je reste le seul à l'avoir ? Ou autre ?

2) À quelle fréquence dois-je changer le mot de passe root ?

3) Le bureau de l'asso va probablement me le demander, ça ne me pose aucun problème de leur donner (et de toute façon je suis sûrement obligé légalement), mais juste par curiosité : en entreprise est-ce que ça se fait beaucoup que la direction demande les mots de passe ?

Merci d'avance !

  • # non

    Posté par  . Évalué à 10.

    1) À combien de personnes dois-je donner le mot de passe root ? Parmi les quelques membres de l'asso qui sont susceptibles d'y mettre les mains (amateurs comme moi), est-ce que je le donne à tout le monde ?

    à personne, le mot de passe root sert uniquement pendant l'installation,
    ensuite tu passes par des utilisateurs lambda qui sont eventuellement sudoers sur toutes les commandes, ou uniquement sur certaines.

    sinon comment veux-tu savoir qui a fait quoi et quand ?

    2) À quelle fréquence dois-je changer le mot de passe root ?
    jamais si personne ne se sert du compte et que le mot de passe est fort.

    3) Le bureau de l'asso va probablement me le demander, ça ne me pose aucun problème de leur donner (et de toute façon je suis sûrement obligé légalement), mais juste par curiosité : en entreprise est-ce que ça se fait beaucoup que la direction demande les mots de passe ?

    dans toutes les entreprises que j'ai frequenté, aucune ne m'a demandé les mots de passe root des machines sur lesquelles je travaille.

    au mieux on est plusieurs admins, chacun avec notre compte qui a le droit de faire sudo sur les machines.

    dans l'idée, il faut voir le mot de passe root comme le code d'une carte bleue, ca ne se prete pas, ca ne s'echange pas avec n'importe qui, et on evite de se l'envoyer par email.

    ;)

    • [^] # Re: non

      Posté par  . Évalué à 1.

      OK, je me disais que s'il m'arrivait un accident il ne faudrait pas que le mot de passe root soit définitivement perdu, mais donc en fait ce serait pas grave, puisqu'on s'en sert jamais.

      sinon comment veux-tu savoir qui a fait quoi et quand ?

      C'est vrai, c'est pas du tout un réflexe encore mais effectivement il va falloir que je me mette à ça… je sens que c'est tout un monde merveilleux de logs et de diagnostics qui s'ouvre à moi :-p

      • [^] # Re: non

        Posté par  . Évalué à 10. Dernière modification le 29 juillet 2016 à 17:50.

        Tu marques le mot de passe root sur une feuille, tu mets la feuille dans une enveloppe fermée, et l'enveloppe rangée dans un endroit connu des personnes qui peuvent se connecter en cas d'urgence absolue ou si tu disparais. Si quelqu'un ouvre l'enveloppe, tu dois savoir qui c'est et ensuite tu changes le mot de passe etc.
        + traçabilité des accès sur le serveur (logs sauvegardés etc.).

      • [^] # Re: non

        Posté par  (site web personnel) . Évalué à 4.

        OK, je me disais que s'il m'arrivait un accident il ne faudrait pas que le mot de passe root soit définitivement perdu, mais donc en fait ce serait pas grave, puisqu'on s'en sert jamais.

        Il peut y avoir des situations où un administrateur ou un responsable de l'organisation ait besoin du mot de passe root (rare mais possible).

        Comme pour d'autres informations sensibles, ce que j'ai pu faire là où je travaille est de garder une copie du mot de passe root dans une enveloppe scellée dans un coffre (sachant que très peu de personnes ont accès au coffre en question).

        Ce qui fait qu'en cas de problème majeur (y compris décès de l'administrateur) l'organisation à un moyen de gérer le serveur ou tout autre équipement sensible (commutateur, pare-feu, routeur, …). J'essaye aussi de laisser quelques instructions de base pour les cas de coupure électrique (que redémarrer dans quel ordre, …). Il est aussi recommandé de tester les choses "à froid" (comme pour les exercices d'évacuation incendie).

        C'est le type de "plan B" qu'il peut être bon de préparer pour toute organisation qui dépend de l'informatique pour ses activités régulières. De manière plus formelle, c'est inclus dans le "Plan de reprise d'activité" (PRA).

        • [^] # Re: non

          Posté par  . Évalué à 1.

          OK, merci à tous les deux, l'enveloppe est une bonne idée.
          Et le PRA aussi, peut-être un gros process pour une petite asso, mais autant faire les choses le mieux possible, et puis comme ça on saura déjà le faire si la partie informatique grossit un jour au point de plus pouvoir se débrouiller à vue.

          • [^] # Re: non

            Posté par  . Évalué à 8.

            De toute façon un utilisateur avec sudo peut changer le mot de passe root :

            sudo su
            passwd

            « Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher

            • [^] # Re: non

              Posté par  . Évalué à 4. Dernière modification le 29 juillet 2016 à 21:12.

              Ça c’est si tu utilises sudo comme un bourin…

              Il suffit de faire le tour des commandes que sont amenées à lancer administrateurs, développeurs et opérateurs divers, franchement ça n’est pas très compliqué, et de n’autoriser que celle-ci. Et clairement je ne vois pas quel besoin nécessiterait d’autoriser un utilisateur à lancer su avec les droits root…

              Ensuite clairement le mdp root doit être disponible, dans un coffre-fort, physique ou virtuel, en cas d’urgence ou d’éviscération instantanée de l’admin pendant la nuit. Sachant que si ce n’est pas le cas, le mot de passe root peut être facilement remis à zéro pour quiconque a un accès physique à la machine (tout comme le mot de passe administrateur local d’un Windows). (si la partition n’est pas chiffrée)

              • [^] # Re: non

                Posté par  (site web personnel) . Évalué à 2.

                Ça c’est si tu utilises sudo comme un bourin…

                Exactement.

                Sudo: You're Doing it Wrong vidéo d'une présentation par Michael W Lucas sur cet outil (en anglais).

                Fortement recommandé.

              • [^] # Re: non

                Posté par  . Évalué à 4.

                Mouaif, il y a beaucoup de commandes qui permettent de le faire:

                sudo vim
                :!passwd
                

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: non

                Posté par  . Évalué à 2.

                Je ne signalais pas cela pour dire que sudo c'était une grosse faille lors de l'installation, mais pour réagir à la question : « que se passe-t-il si l'administrateur actuel, qui aurait le mot de passe root, disparaît ? ». Avec une configuration de sudo classique, pas besoin de mettre le mot de passe sur un bout de papier dans un coffre-fort, il suffira qu'un autre admin avec droit sudo, même sans mot de passe root, « prenne le pouvoir ».

                « Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher

            • [^] # Re: non

              Posté par  (Mastodon) . Évalué à 2.

              sudo su

              Pourquoi ce su pléonasmique ?

              • [^] # Re: non

                Posté par  . Évalué à 3.

                pour ouvrir un shell root ?

                mais ca fait probablement la meme chose que sudo bash
                sinon y a sudo su - qui ouvre un vrai shell root avec l'environnement qui va bien.

                • [^] # Re: non

                  Posté par  (Mastodon) . Évalué à 4.

                  pour ouvrir un shell root ?

                  Dans ce cas, pourquoi ne pas utiliser sudo -i qui semble fait pour ça ?

                  • [^] # Re: non

                    Posté par  . Évalué à 5.

                    probablement pour des raisons historiques…

                    avant sudo on faisait su - pour passer root, su - login-user pour passer sous l'utilisateur login-user

                    ensuite est apparu sudo pour lancer une commande en tant que root,
                    les anciens on alors naturellement faire sudo su - plutot que d'apprendre une nouvelle option.

                    les jeunes, eux n'ont pas connu su - et vont alors utiliser directement sudo -i

  • # Pour résumer

    Posté par  . Évalué à 2.

    Il peut y avoir beaucoup de personnes qui connaissent le mot de passe root, ce qui est important c’est qu’elles ne l’utilisent que lorsque cela est vraiment nécessaire et utilise un compte normal pour les tâche quotidiennes d’administration, l’analyse… etc…

    Par exemple, à moins de mettre en place une configuration bien précise de sudo, c’est root qui peut éditer les "sudoers" files, là c’est nécessaire. Mais du coup tu utilises ton accès root juste pour donner un droit bien précis à ton profil d’utilisateur, et au quotidien tu ne te connectes jamais en root…

    J’aurais bien envie de mettre en supervision un check pour savoir si root a une session ouverte… sur tous les serveurs *NIX

    Ça me permettrait de repérer les indésirables qui continuent de travailler à LaRache…

  • # Sudo et c'est tout

    Posté par  . Évalué à 3.

    Mot de passe root ? Quel mot de passe root ?
    root:!:16721:0:::::

    Bon ça règle pas la question de quels users doivent avoir un accès sudo complet.

    • [^] # Re: Sudo et c'est tout

      Posté par  (site web personnel) . Évalué à 0.

      Totalement d'accord : sur une Debian (et sur toutes les distro avec sudo), il n'y a pas de mot de passe root.

      Il y a juste des comptes avec sudo !

      Par contre, effectivement, comme il est dit précédemment, il faut se poser la question à qui accorder le privilège sudoer. Typiquement, les utilisateurs "standards" n'en ont pas besoin : ils exécutent les applications installés et "pis, c'est tout".

      Pour ceux à qui on accorde le droit d'utiliser sudo, on peut se poser la question des commandes autorisées mais bon si en pratique tu ne l'accordes qu'à un petit nombre de personnes de confiance, c'est pas trop la peine de se prendre la tête.

      Ce qui est le plus important, c'est un PRA, même très léger. Et cela, ça veut dire des backups sur des machines distantes. Un simple archivage sur une zone (inaccessible par le web) d'un serveur web suffit.
      Et surtout tester la reprise et une bonne doc : quand tu vas devoir l'utiliser, tu auras du stress et tu auras oublié ce que tu avais prévu, alors il faut l'écrire.

      Bon courage.

      • [^] # Re: Sudo et c'est tout

        Posté par  . Évalué à 5.

        sur une Debian (et sur toutes les distro avec sudo), il n'y a pas de mot de passe root.

        C'est faux pour Debian : lors de l'installation on doit fournir un mot de passe pour root, et le compte est actif tant qu'on n'a rien fait contre.

        • [^] # Re: Sudo et c'est tout

          Posté par  (site web personnel) . Évalué à 1.

          C'est faux pour Debian : lors de l'installation on doit fournir un mot de passe pour root, et le compte est actif tant qu'on n'a rien fait contre.

          Pour debian si tu précise pas de mot de passe root, l'utilisateur que tu crée à l'installation a les droits de sudo

    • [^] # Re: Sudo et c'est tout

      Posté par  . Évalué à 3.

      Et là, tu fais une mauvaise manip et tu rate ta conf sudoers, adieu.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Sudo et c'est tout

        Posté par  . Évalué à 2.

        On peut limiter ça en pensant à utiliser la commande visudo qui vérifie la syntaxe avant d'enregister (et en ouvrant un shell à côté). Reste sinon le single user mode

        Sur mes machines (perso ou serveur), j'ai toujours locké le compte root avec passwd -l et utilisé sudo. Ça évite un mot de passe sensible à retenir en plus.

        Accessoirement, ça peut bloquer une attaque SSH sur le compte root avant de régler ça dans la conf SSH.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.