Hello tout le monde.
Encore une fois, une question de responsabilité.
Cette fois-ci, le big boss me demande les mots de passes admin.
Or, si je lui donne, il faut que je puisse prouver que je le lui ai donné, et qu'il y a donc plusieurs responsable en cas de pépins sur les machines.
Est ce que vous auriez sous la main un modèle qui serait adapté à cette situation, et qui stipulerait que je ne serai plus responsable de l'administration des machines? (après, je ne sais pas ce que je ferai à mon poste, mais c'est une autre histoire).
Merci
Tit'nouille
# Suivant l'objectif: Lettre cachetée
Posté par lolop (site web personnel) . Évalué à 6.
Si c'est pour les avoir au cas où tu aurais un problème, tu peux les mettre dans une lettre cachetée ; tant qu'il n'y en a pas besoin ça restera fermé, et s'ils en ont besoin ils peuvent les avoir et tu peux prouver qu'ils les ont eu.
Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141
# sudo est fait pour ca
Posté par NeoX . Évalué à 9.
le probleme que tu decris et un probleme classique de partage d'administration sur un serveur.
le plus simple etant que tu crees un utilisateur à ton boss, appelons le BOSS
tu ajoutes cet utilisateur au groupe qui peut faire sudo commande
ainsi si ton boss veut faire une manip necessitant les droits admin, il se connecte avec le compte BOSS, et fait sudo lacommande-qui-demande-a-etre-admin
avantage pour toi, tu vois dans les logs que BOSS s'est connecté
tu vois aussi que BOSS a fait sudo lacommande-qui-demande-a-etre-admin
et logiquement, tu dois faire pareil avec ton compte
ainsi chacun est admin de la machine, sans connaitre le mot de passe de l'autre
si l'un de vous s'en va, il suffit de fermer son compte, ca ne gene pas les autres admins
[^] # Re: sudo est fait pour ca
Posté par fearan . Évalué à 6.
bon globalement pour la solution donnée est bonne hein. Elle permet de savoir qui fait des connerie, mais pas qui est mal intentionné et compétant.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
# faire un BL
Posté par kuroineko . Évalué à 1.
créer des comptes alias de root par exemple rootpatron
tjrs avec l'ID=0 tu copie la ligne et tu changes que le nom et le répertoire /rootpatron
tu fais un bon de livraison qu'il te signe pour le compte et password
et après tu es couvert, une connerie faite par lui se verra par des fichiers dont le propriétaire changera et dans son propre .sh_history...
ce qui avec une copie iso du système te protège même juridiquement.
néanmoins je trouves ça idiot comme méthode dans la mesure ou tu peux utiliser des actions SUDO en lui créant un compte "normal" dédié à cet usage... et là aussi en cas de connerie tu peux consulter son .sh_history pour faire la preuve par A+B que c'est lui le responsable.
Dans ce cas aussi tu lui fait un bon de livraison bien sur.
[^] # Re: faire un BL
Posté par Tit'nouille . Évalué à 1.
Merci,
concernant le .bash_history, il suffit de l'éditer, (ou se déloguer, se reloguer, l'éditer).
Tit'nouille
[^] # Re: faire un BL
Posté par nono14 (site web personnel) . Évalué à 3.
syslog distant, noyau durçi avec enregistrement des commandes éxécutées, ...
Système - Réseau - Sécurité Open Source
[^] # Re: faire un BL
Posté par JJD . Évalué à 1.
et pour la propriété des fichiers, ça ne marche pas non plus : si l'ID de rootpatron est 0, il s'agit bien du même user que root et le propriétaire des fichiers créés sera donc le même. Il s'agira du user avec l'UID 0, et le nom affiché dépendra certainement de l'ordre dans /etc/passwd (donc soit root, soit rootpatron, ce qui ne change rien au final).
En plus, quand root se contente de modifier un fichier ne lui appartenant pas, le propriétaire dudit fichier reste inchangé…
JJD
# viré ?
Posté par solsTiCe (site web personnel) . Évalué à 3.
ils ont toujours pas réussi à te virer ? rapport à l'histoire précédente en php.
[^] # Re: viré ?
Posté par Tit'nouille . Évalué à 3.
ha si, c'est en cours, mais je ne voudrais pas avoir une faute grave sur le dos, si je ne l'ai pas faite.
J'ai eu l'entretien préalable au licenciement hier, donc je devrais recevoir par lettre RAR la suite :)
Tit'nouille
[^] # Re: viré ?
Posté par NeoX . Évalué à 3.
alors attend de recevoir le courrier signifiant ton licenciement
ensuite tu donneras les acces
car tu n'en auras plus besoin ;)
[^] # Re: viré ?
Posté par jigso . Évalué à 2.
Alors, on peut l"avoir maintenant l'url du formulaire? :-)
[^] # Re: viré ?
Posté par Zarmakuizz (site web personnel) . Évalué à 3.
Je me disais bien que le titre me rappelait kekchose.
Et t'as un autre emploi en vue ?
Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/
[^] # Re: viré ?
Posté par marseillais (site web personnel) . Évalué à -1.
Par email.
En y spécifiant la ou les procédures pour que ton patron puisse changer les mot de passe lui même afin que tu n'y ais plus accès.
Ceci afin que si dans 2 ans il y ait un problème on ne puisse pas te suspecter ou que si on te suspecte tu puisse dire que de toute façon ton patron n'a pas suivi les règles de base de prudence.
[^] # Re: viré ?
Posté par nono14 (site web personnel) . Évalué à 2.
Penser à enlever les clefs publiques ssh le cas échéant.
Système - Réseau - Sécurité Open Source
# bon courage
Posté par solsTiCe (site web personnel) . Évalué à 2.
bon courage pour la suite
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.