Journal Accès sécurisé passwd root

• # Euh...

  Posté par 2PetitsVerres le 22 mars 2010 à 17:19. Évalué à 1.

  

  J'ai pas tout compris, mais ce que je comprends, c'est que ce journal a sa place dans les forums. Ce qui est un comble, pour un journal.

  Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

  • [^] # Re: Euh...

    Posté par mixel le 22 mars 2010 à 18:21. Évalué à -10.

    

    C'est pas plutôt :
    
    Tous les nombres impairs sont premiers, sauf un.

    • [^] # Re: Euh...

      Posté par zebra3 le 22 mars 2010 à 18:39. Évalué à 1.

      

      Neuf aussi ?

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

    • [^] # Re: Euh...

      Posté par windu.2b le 22 mars 2010 à 18:43. Évalué à 1.

      

      9, 15, 21, ... sont des nombres impairs et premiers ?

      • [^] # Re: Euh...

        Posté par Amand Tihon (site web personnel) le 22 mars 2010 à 19:20. Évalué à 9.

        

        3 est premier,
        5 est premier,
        7 est premier,
        9 est une erreur de mesure,
        11 est premier,
        13 est premier, ...

        • [^] # Re: Euh...

          Posté par mansuetus (site web personnel) le 22 mars 2010 à 21:21. Évalué à 1.

          

          Et tu en as oublié un : deux, mais il est impaire...
          
          Donc ils sont tous impaires sauf un, deux.

          • [^] # Re: Euh...

            Posté par Amand Tihon (site web personnel) le 22 mars 2010 à 22:53. Évalué à 2.

            

            Sauf que la blague n'est plus du tout drôle si on commence à compter à 2 (et quand on commence à compter à deux, on s'embrouille vite, ou alors il faut compter à la même vitesse).

            • [^] # Re: Euh...

              Posté par mixel le 26 mars 2010 à 18:08. Évalué à -1.

              

              Désolé ! J'ai commis un impair, mais pas deux.

• # Sudo ?

  Posté par Amaury le 22 mars 2010 à 17:21. Évalué à 7.

  

  Si je comprends bien tu cherches à autoriser des utilisateurs différents à administrer un serveur pour une durée limitée.
  
  Au delà du fait que cette manière d'attribuer temporairement des droits root est étrange*, la commande sudo te permettrait probablement de donner l'accès à des commandes sensibles de manière plus fine.
  Au lieu de changer le mot de passe root, tu édites les commandes que tes users peuvent lancer en sudo.
  
  Il est même possible de désactiver le mot de passe root afin de nécessiter l'utilisation d'un compte standard pour l'administration, ce qui permet d'améliorer la traçabilité des opérations.
  
  * à partir du moment où un utilisateur a eu un shell root il peut très bien mettre en place une backdoor qui lui permette de revenir plus tard, le fait de changer le mot de passe n'apporte aucune garantie sur ce point.

  • [^] # Re: Sudo ?

    Posté par manifesto le 22 mars 2010 à 17:28. Évalué à -1.

    

    Mais comment tu fais quand tu dois passer en single au boot ?
    C'est tout le problème en général sudo et ses comparses font l'affaire mais parfois le mdp root est nécessaire.
    Il reste à gérer ce cas où tu es tout seul, que le server est en attente de mdp pour passer en single et que tu dois rentrer le mdp ou booter reseau, changer le shadow ..
    Il faut eviter de disséminer le mdp et en meme temps qu'il soit accessible si besoin est.

    • [^] # Re: Sudo ?

      Posté par 2PetitsVerres le 22 mars 2010 à 17:31. Évalué à 8.

      

      Quant tu dois passer Single< au boot, il suffit d'écrabouiller plus fort les pédales. Mais pourquoi le passer au boot alors qu'on peut simplement attendre que son demi-maillon se casse ?

      Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

    • [^] # Re: Sudo ?

      Posté par Amaury le 22 mars 2010 à 18:00. Évalué à 4.

      

      > Mais comment tu fais quand tu dois passer en single au boot ?
      
      Ca t'arrive souvent ? Revois tes procédures d'admin, il y a quelque chose qui cloche.
      La fois où ça arrive : "init=/bin/sh" fait ds merveilles...

      • [^] # Re: Sudo ?

        Posté par manifesto le 22 mars 2010 à 18:11. Évalué à 0.

        

        Que ca arrive souvent ou pas n'est pas le pb, il faut pouvoir couvrir le cas ou le mot de passe root est nécessaire.

      • [^] # Re: Sudo ?

        Posté par Jerome Herman le 22 mars 2010 à 18:16. Évalué à 0.

        

        Ca t'arrive souvent ? Revois tes procédures d'admin, il y a quelque chose qui cloche.
        
        Ou alors il gère beaucoup plus de serveurs que toi.

        • [^] # Re: Sudo ?

          Posté par Sytoka Modon (site web personnel) le 22 mars 2010 à 21:47. Évalué à 3.

          

          Je gère pas mal de machine et cela ne m'est arrivé qu'une fois en 4 ans. Et comme je n'avais pas le root de cette machine, j'ai mis un LiveCD de systemrescue et j'ai du viré le mot de passe !
          
          Le coup de /bin/bash dans init marche très bien aussi et m'a servis plus souvent. En plus, rien à retenir ou presque ! La aussi, tu peux facilement virer le mot de passe sur root et rebooter un coup...
          
          Bref, j'ai encore un mot de passe root sur mes machines mais je pense sérieusement à le virer dans un avenir proche pour me simplifier la tâche.

          • [^] # Re: Sudo ?

            Posté par Jerome Herman le 23 mars 2010 à 01:03. Évalué à 3.

            

            Je gère pas mal de machine et cela ne m'est arrivé qu'une fois en 4 ans.
            Machines virtuelles et réelles comprises je gère (avec d'autres) environ 300 machines.
            Je passe souvent en mode root single user, notamment lors des mises à jour de serveurs critiques ou les mises à jour de FreeBSD.
            C'est la bonne façon de faire sous FreeBSD, c'est celle qui est dans le handbook.
            Quand tu as 300 serveurs, bien configurés, sur lesquels tu as un problème grave tous les 3 ans à peu près, tu peux t'attendre à devoir passer (toi ou un collègue) en mode single user une fois par semaine en moyenne.
            Généralement tu as la main sur un vKVM mais pas forcément envie de te déplacer jusqu'au datacenter pour mettre un live CD dans la machine, ni même envie d'uploader une ISO. Parfois single user va plus vite.
            
            Personnellement je ne cherche pas à me débarrasser du mot de passe root (surtout que sur la plupart des machines même avec le mot de passe root tu vas pas loin) mais de sudo. Et depuis deux ans je ne m'en sers plus du tout, sans impact sur la prod.

            • [^] # Re: Sudo ?

              Posté par Sytoka Modon (site web personnel) le 23 mars 2010 à 08:41. Évalué à 2.

              

              Mon datacenter (enfin, ma salle serveur) n'est pas loin de mon bureau et y aller une fois par mois n'est pas un exercice inutile ;-)
              
              Le boot sur clef USB (LiveUSB ?) est aussi très rapide et très souple (il y a sur la clef tous les outils nécessaire). Sur les serveurs, le plus long est souvent la phase du bios...
              
              Sinon, pourquoi veux tu te débarrasser de sudo ? Entre root et sudo, je préfère me débarrasser de root.

              • [^] # Re: Sudo ?

                Posté par Jerome Herman le 23 mars 2010 à 10:05. Évalué à 2.

                

                Sinon, pourquoi veux tu te débarrasser de sudo ? Entre root et sudo, je préfère me débarrasser de root.
                
                Sudo m'ennuie car il permet d'exécuter un programme, ou une série de programmes avec des droits root. Donc potentiellement de tirer parti d'une faille pour rebondir sur autre chose.
                
                Depuis que les acl existent je n'en vois plus l'utilité.
                
                Par contre root le système en a besoin pour tout un tas d'opération de maintenance ou de mise à jour. Et très honnêtement c'est pratique pour récupérer du bout des ongles un système qui part en vrille. Ceci étant j'ai quand même pas mal compliqué la méthode pour se loguer en root "pour de vrai" sur mes machines.

            • [^] # Re: Sudo ?

              Posté par peikk0 le 24 mars 2010 à 22:22. Évalué à 1.

              

              Pour les mises à jour de FreeBSD, le handbook le préconise, mais ce n'est absolument pas nécessaire (hormis si tu joues avec le kern.securelevel, dans ce cas là ya pas le choix, pour ça que le handbook fait un cas genéral en le préconisant). Je n'en ai jamais eu besoin pour mettre à jour les miennes, et je ne connais aucune FreeBSDiste qui en ai eu besoin un jour. Et ça réduit le downtime à un simple reboot sur le nouveau kernel avant de faire l'installworld. :)

              • [^] # Re: Sudo ?

                Posté par Psychofox (Mastodon) le 24 mars 2010 à 22:59. Évalué à 2.

                

                en parlant de downtime, ils n'ont pas encore tiré parti chez freebsd du rootfs en zfs pour faire l'équivalent d'un live ugrade de solaris et opensolaris ? Comme ça pas besoin de se poser la question de booter en single user si tu upgrade un clone de ton système.

• # pki?

  Posté par girzmoc le 22 mars 2010 à 19:11. Évalué à 3.

  

  hello
  
  je ne suis pas certain d'avoir saisi le fond de l'histoire ni le pourquoi du comment mais un système basé sur les certificats me semble plus approprié à ton problème.
  
  L'utilisateur ayant besoin d'un acces root temporaire se voit delivrer un certificat dont la date d'échéance est prédéterminée.
  
  C'est surement un peu 'violent' à mettre en place mais à mon avis plus secure que des mots de passe temporaires.

• # mais en libre ?

  Posté par zoolih le 22 mars 2010 à 21:35. Évalué à 0.

  

  du côté du pas libre (et du cher), il y a Enterprise Password vault de Cyber-ark ... mais existe-t-il ce genre d'usine en libre .... ?

• # Onetime password

  Posté par geb le 23 mars 2010 à 05:20. Évalué à 1.

  

  Ton besoin semble correspondre à celui couvert par les onetime password, où comme son nom l'indique tu génères plein de mot de passe mais ne peut les utiliser qu'une fois. C'est géré via pam, donc transparent, et rien ne t'empeches d'utiliser sudo en plus.
  
  Sinon avec des clefs ssh ça devrait pouvoir marcher aussi, mais ce sera du bricolage.
  
  voir http://savannah.nongnu.org/projects/otpasswd/ qui de mémoire ne marche pas trop mal

  • [^] # Re: Onetime password

    Posté par manifesto le 23 mars 2010 à 09:54. Évalué à 1.

    

    C'est un peu ce genre de solutions que je recherche effectivement.
    EPV a l'air un peu trop surdimensionné pour mon besoin et de plus c'est pas libre.
    Savannah à l'inverse à l'air un peu archaique et en plus c'est de l'alpha :-)

    • [^] # Re: Onetime password

      Posté par Amaury le 23 mars 2010 à 13:15. Évalué à 7.

      

      Je répète que ta solution est bancale :
      Pourquoi veux-tu avoir des mots de passe temporaires ? Probablement parce que tu ne fais pas confiance aux personnes à qui tu vas communiquer ce mot de passe et que tu souhaites leur limiter l'accès.
      Manque de bol, un user avec un pass root a besoin de 2 minutes pour compromettre une machine en mettant un petit script suid planqué quelque part. Changer le mot de passe root dans la foulée ne réglera pas le problème, sauf à mettre une bardée d'autres solutions techniques complexes en place (tripwire, kill du shell root...)
      
      Conclusion : si tu ne fais pas confiance à tes utilisateurs, ne leur communique PAS le mot de passe root, même pour 5 minutes.
      Conséquence : cherche une autre solution technique (ex: sudo) ou organisationnelle (faire effectuer l'admin par des personnes de confiance)

  • [^] # Re: Onetime password

    Posté par legranblon (site web personnel) le 23 mars 2010 à 13:46. Évalué à 1.

    

    En complément et à des fins de traçabilité il est possible de créer des utilisateur avec uid 0 => droits root, mais logins différents.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.