Gestion changements de password root multi-serveurs

Le
David_dev Dev
--047d7b2e42f2b3242c05192ff24d
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour,

Comment gérez-vous la mise à jour régulière des mots de=
passe root sur un
ensemble de serveur, avec en option la mise à jour de ces infos dans u=
ne
base KeePass svp ?

La génération des mots de passe est effectuée avec apg.

David

--047d7b2e42f2b3242c05192ff24d
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<div dir="ltr">Bonjour,<div><br></div><div>Comment gérez-vous la mis=
e à jour régulière des mots de passe root sur un ensemble de=
serveur, avec en option la mise à jour de ces infos dans une base Kee=
Pass svp ?</div><div><br></div><div>La génération des mots de pas=
se est effectuée avec apg.</div><div><br></div><div>David</div></div>

--047d7b2e42f2b3242c05192ff24d--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/CAOOC-XqTaMs1a6==MVBMOijcS=kvOrvr+cgcN1JgXBDQhjxAow@mail.gmail.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 5
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
gagou9
Le #26357737
Hello,


Comment gérez-vous la mise à jour régulière des mots de passe root sur un
ensemble de serveur, avec en option la mise à jour de ces infos dans une
base KeePass svp ?



On utilise sudo :)
Et des mots de passe root très forts, jamais utilisés. Genre jamais.


Sinon, je ne sais pas :)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
David_dev Dev
Le #26357743
--047d7b2e42f20fedb10519312465
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Mais du coup vous ne les mettez jamais à jour ?
Ce qui ne réponds pas aux questions :)

Ma première idée est d'avoir un script qui va se connecter sur to us les
serveurs avec un compte qui a sudo pour changer le mot de passe qu'on a
pré-généré.
Ca, ça sera pas trop compliqué à mettre en place je crois, y a un noeud
d'admin qui a ces accès, et le script ne doit pas être trop tordu à faire.

Mais il y a peut-être mieux ou plus simple.

Et surtout, après c'est la partie KeePass qui m'embête, car vraim ent pas
envie de mettre à jour plusieurs dizaines de mots de passes à la main :)
Surtout qu'on va avoir les compte root dans mysql à faire aussi ensuit e,
aussi dans un KeePass

Le 23 juin 2015 16:29, gagou9
Hello,


> Comment gérez-vous la mise à jour régulière des mot s de passe root sur un
> ensemble de serveur, avec en option la mise à jour de ces infos da ns une
> base KeePass svp ?

On utilise sudo :)
Et des mots de passe root très forts, jamais utilisés. Genre ja mais.


Sinon, je ne sais pas :)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/





--047d7b2e42f20fedb10519312465
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<span class=""><br>
<br>
&gt; Comment gérez-vous la mise à jour régulière des mo ts de passe root sur un<br>
&gt; ensemble de serveur, avec en option la mise à jour de ces infos d ans une<br>
&gt; base KeePass svp ?<br>
<br>
</span>On utilise sudo :)<br>
Et des mots de passe root très forts, jamais utilisés. Genre jama is.<br>
<br>
<br>
Sinon, je ne sais pas :)<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers En cas de soucis, contactez EN ANGLAIS Archive: <br>
</font></span></blockquote></div><br></div>

--047d7b2e42f20fedb10519312465--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/CAOOC-Xo6TQWJRQt0q+Zj-xUr8N3qGr4e=
S
Le #26357747
Le mardi 23 juin 2015 à 17:35, David_dev Dev a écrit :
Mais du coup vous ne les mettez jamais à jour ?
Ce qui ne réponds pas aux questions :)



Non. Mais je ne suis pas admin, c'est pour de la prod perso, les risques
d'attaques sont quand-même plutôt limités.

Et surtout, après c'est la partie KeePass qui m'embête, car vraiment pas
envie de mettre à jour plusieurs dizaines de mots de passes à la main :)
Surtout qu'on va avoir les compte root dans mysql à faire aussi ensuite,
aussi dans un KeePass



Le déploiement automatique de mot de passe c'est compliqué… Soit tu gardes en
mémoire (RAM ou fichier) le mot de passe le temps du déploiement mais c'est pas
idéal niveau sécurité, soit tu le gardes dans ta tête et tu devras le saisir
pour chaque système…

Mais il y a peut-être mieux ou plus simple.



Que cherches-tu à protéger au juste ?

Si c'est des accès SSH, tu peux utiliser des clés.

Sébastien

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Guillaume
Le #26357750
Bonjour,

Le 23/06/2015 17:52, Sébastien NOBILI a écrit :
Si c'est des accès SSH, tu peux utiliser des clés.



et mettre dans le sshd_config:
[...]
PermitRootLogin without-password
[...]

Ce qui va autoriser que l'accès par clés pour root.

--
Guillaume

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Daniel Caillibaud
Le #26357754
Le 23/06/15 à 14:29, gagou9
G> Hello,
G>
G>
G> > Comment gérez-vous la mise à jour régulière des mots de passe root sur un
G> > ensemble de serveur, avec en option la mise à jour de ces infos dans une
G> > base KeePass svp ?
G>
G> On utilise sudo :)
G> Et des mots de passe root très forts, jamais utilisés. Genre jamais.

Le meilleur moyen de ne pas avoir de mot de passe à gérer, c'est de ne pas en avoir du
tout, clés ssh seulement !

--
Daniel

Quand le moi est haïssable, aimer son prochain
comme soi même devient une atroce ironie.
Paul Valéry.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
andre_debian
Le #26357766
On Tuesday 23 June 2015 18:34:12 Daniel Caillibaud wrote:
Le meilleur moyen de ne pas avoir de mot de passe à gérer, c'est de n e pas
en avoir du tout, clés ssh seulement !
Daniel



On est obligé d'avoir un mot de passe pour tout user et root.

Donc interdire l'accès root direct par mot de passe sauf avec clés.

André

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Guillaume
Le #26357779
Le 23/06/2015 18:34, Daniel Caillibaud a écrit :
Le 23/06/15 à 14:29, gagou9
Le meilleur moyen de ne pas avoir de mot de passe à gérer, c'est de ne pas en avoir du
tout, clés ssh seulement !




Vous ne mettez pas de passphrase à vos clés ?

--
Guillaume

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
andre_debian
Le #26357784
On Tuesday 23 June 2015 21:25:51 Erwan David wrote:
Le 23/06/2015 21:09, a écrit :
> On Tuesday 23 June 2015 18:34:12 Daniel Caillibaud wrote:
>> Le meilleur moyen de ne pas avoir de mot de passe à gérer, c 'est de ne
>> pas en avoir du tout, clés ssh seulement !
>> Daniel

> On est obligé d'avoir un mot de passe pour tout user et root :



Je me suis un peu trompé, on peut ne pas mettre de mot de passe,
via le fichier "/etc/shadow", mais c'est prendre un risque...

> Donc interdire l'accès root direct par mot de passe sauf avec cl és.
> André

J'ai une politique de sécurité imposée qui me dit "il faut changer les
mots de passe root tous les 6 mois". Je suis donc bien obligé de le
faire. Pour l'instant je passe par un script qui utilise ssh via clef
pour faire un chpasswd sur toutes les machines. J'étudie la possibli té
de le faire via un outil d'administration comme ansible.



Justement, utilises le login root direct via clés,
son mot de passe n'est donc plus tapé.
Plus la peine de le changer, sinon très rarement.
En général, seule UNE personne doit connaitre le MdP root.

André

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Erwan David
Le #26357783
Le 23/06/2015 22:13, a écrit :
Justement, utilises le login root direct via clés, son mot de passe
n'est donc plus tapé. Plus la peine de le changer, sinon très
rarement. En général, seule UNE personne doit connaitre le MdP root.
André



En théorie le mot de passe de root devrait être au coffre et chaque
admin devrait se connecter avec sn compte personnel, via claf et
utiliser un outil comme sudo ou calife.

En théorie...



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Daniel Caillibaud
Le #26357795
Le 23/06/15 à 22:13, a écrit :

AF> On Tuesday 23 June 2015 21:25:51 Erwan David wrote:
AF> > Le 23/06/2015 21:09, a écrit :
AF> > > On Tuesday 23 June 2015 18:34:12 Daniel Caillibaud wrote:
AF> > >> Le meilleur moyen de ne pas avoir de mot de passe à gérer, c'e st de ne
AF> > >> pas en avoir du tout, clés ssh seulement !
AF> > >> Daniel
AF>
AF> > > On est obligé d'avoir un mot de passe pour tout user et root :
AF>
AF> Je me suis un peu trompé, on peut ne pas mettre de mot de passe,
AF> via le fichier "/etc/shadow", mais c'est prendre un risque...

Lequel ?

Je parlais bien de ne pas mettre de mot de passe (option --disabled-passwor d de adduser), pas
de mettre un mot de passe vide.

Ça interdit la connexion par mot de passe, je vois pas en quoi ça pourr ait représenter un
risque.

--
Daniel

Le mois de l'année où le politicien dit
le moins de conneries c'est le mois de février...
car il n'y a que 28 jours.
Coluche

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Publicité
Poster une réponse
Anonyme