Plusieurs utilisateurs Root

Le
Thierry Leurent
Bonjour,

J'ai un système Linux sur le plusieurs sociètés peuvent intervenir à un
moment ou un autre.

Je voudrais différencier les actions que font ces différentes personnes.
La machine n'étant pas encore en production tout le monde utilise Root,
mais dans le futur, je voudrais que chaque personne ayant des droits
d'administration utilise son propre identifiant.

Pour l'instant, j'ai crée un utilisateur root2 ayant comme groupe primaire
root. Mais je constate que beaucoups de fichiers de config sont uniquement
lisible et modifiable par l'utilisateur root et par personne d'autre.

Je pourrais utiliser root pour donner plus de permission mais je me
demande si il n'existe pas d'autres problèmes liés à cet utilisateur comme
un script qui vérifierait les droits d'un fichier.

Je ne sais pas si quelqu'un parmis vous à déjà mis en place ce genre de
solution.

Des idées, des retours d'expérience ?

Merci

--
Thierry Leurent


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Basile STARYNKEVITCH
Le #18344201
Thierry Leurent wrote:
Bonjour,

J'ai un système Linux sur le plusieurs sociètés peuvent intervenir à un
moment ou un autre.

Je voudrais différencier les actions que font ces différentes personnes.


sudo ou super sont faits pour ça. Eviter de créer plusieurs roots sans
raison.

Mais le principal problème demeure la tracabilité. J'ai un peu du mal à
comprendre que l'administration d'un serveur de production soit confié à
plusieurs sociétés différentes. De mon point de vue, c'est courir vers
de serieux ennuis. Qui sera responsable des pepins?
J'ai même du mal à comprendre que des prestataires puissent accepter celà.

Librement.


--
Basile STARYNKEVITCH http://starynkevitch.net/Basile/
email: basile<at>starynkevitch<dot>net mobile: +33 6 8501 2359
8, rue de la Faiencerie, 92340 Bourg La Reine, France
*** opinions {are only mines, sont seulement les miennes} ***
membre de l'APRIL "promouvoir et défendre le logiciel libre"
Rejoignez maitenant pplus de 3900 adhérents http://www.april.org

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Grégory Bulot
Le #18344181
"Thierry Leurent" 2009 14:32:28 +0100 (CET)
Bonjour,

J'ai un système Linux sur le plusieurs sociètés peuvent in tervenir à
un moment ou un autre.

Je voudrais différencier les actions que font ces différentes
personnes. La machine n'étant pas encore en production tout le monde
utilise Root, mais dans le futur, je voudrais que chaque personne
ayant des droits d'administration utilise son propre identifiant.

Pour l'instant, j'ai crée un utilisateur root2 ayant comme groupe
primaire root. Mais je constate que beaucoups de fichiers de config
sont uniquement lisible et modifiable par l'utilisateur root et par
personne d'autre.



dans /etc/passwd, pour mon 2ieme utilisateurs 'comme root' j'ai fait :
admin:x:0:0:Admin local,,,:/home/admin:/bin/bash


ça permet de désactiver son mot de passe si besoin était, sa ns toucher
aux uid/gid

je ne trouve pas ça très 'jolis' mais ça marche

--

Cordialement
Grégory BULOT

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Etienne CROMBEZ
Le #18344191
------=_Part_304036_10974201.1231507870334
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: base64
Content-Disposition: inline
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------=_Part_304036_10974201.1231507870334
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: base64
Content-Disposition: inline

TGUgOSBqYW52aWVyIDIwMDkgMTQ6MzIsIFRoaWVycnkgTGV1cmVudCA8c3BhbiBkaXI9Imx0ciI+
Jmx0OzxhIGhyZWY9Im1haWx0bzp0aGllcnJ5LmxldXJlbnRAYXNnYXJkaWFuLmJlIj50aGllcnJ5
LmxldXJlbnRAYXNnYXJkaWFuLmJlPC9hPiZndDs8L3NwYW4+IGEgw6ljcml0IDo8YnI+PGRpdiBj
bGFzcz0iZ21haWxfcXVvdGUiPjxibG9ja3F1b3RlIGNsYXNzPSJnbWFpbF9xdW90ZSIgc3R5bGU9
ImJvcmRlci1sZWZ0OiAxcHggc29saWQgcmdiKDIwNCwgMjA0LCAyMDQpOyBtYXJnaW46IDBwdCAw
cHQgMHB0IDAuOGV4OyBwYWRkaW5nLWxlZnQ6IDFleDsiPgpCb25qb3VyLDxicj4KPGJyPgpKJiMz
OTthaSB1biBzeXN0w6htZSBMaW51eCBzdXIgbGUgcGx1c2lldXJzIHNvY2nDqHTDqXMgcGV1dmVu
dCBpbnRlcnZlbmlyIMOgIHVuPGJyPgptb21lbnQgb3UgdW4gYXV0cmUuPGJyPgo8YnI+CkplIHZv
dWRyYWlzIGRpZmbDqXJlbmNpZXIgbGVzIGFjdGlvbnMgcXVlIGZvbnQgY2VzIGRpZmbDqXJlbnRl
cyBwZXJzb25uZXMuPGJyPgpMYSBtYWNoaW5lIG4mIzM5O8OpdGFudCBwYXMgZW5jb3JlIGVuIHBy
b2R1Y3Rpb24gdG91dCBsZSBtb25kZSB1dGlsaXNlIFJvb3QsPGJyPgptYWlzIGRhbnMgbGUgZnV0
dXIsIGplIHZvdWRyYWlzIHF1ZSBjaGFxdWUgcGVyc29ubmUgYXlhbnQgZGVzIGRyb2l0czxicj4K
ZCYjMzk7YWRtaW5pc3RyYXRpb24gdXRpbGlzZSBzb24gcHJvcHJlIGlkZW50aWZpYW50LjwvYmxv
Y2txdW90ZT48L2Rpdj48YnI+c3VkbyBlc3QgZmFpdCBwb3VyIMOnYSBub24gPzxicj48YnI+Cg= ------=_Part_304036_10974201.1231507870334--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Kevin Hinault
Le #18344171
Le 9 janvier 2009 14:32, Thierry Leurent
Des idées, des retours d'expérience ?



Bonjour,

A mon avis, la solution sudo est plus ce que vous recherchez : ce sera
beaucoup plus souple que les groupe.

http://fr.wikipedia.org/wiki/Sudo
http://www.lea-linux.org/cached/index/Admin-admin_env-sudo.html

Kévin

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Thierry Leurent
Le #18344361
Merci à tous, il semble que sudo est la commande idéale mais il faut
encore la configurer.

Pourquois confier l'administration d'une machine de prod à plusieurs
sociètés ?
Simplement qu'elle ont en charge une partie des logitiels présents et
qu'il est probabale qu'un jour ou l'autre, elles devront effectuer des
opérations de maintenance sur leurs produits ou pour d'autres opérations.

Si je contente de leur donner le root, je ne peux pas les coller toute la
journée pour voir ce qu'ils font.
Je veux :
- Limiter leur pouvoir sur la machine à leur application et
eventuellement d'autres éléments périphériques.
- Tracer leur modifications.
- Libérer l'accès de ces users en fonction des besoins.

Plusieurs personnes internes peuvent également administrer la machine et
je préfère mettre en place une solution pour différencier l'action de
chacun.
Basile STARYNKEVITCH a écrit :
Thierry Leurent wrote:
Bonjour,

J'ai un système Linux sur le plusieurs sociètés peuvent intervenir à un
moment ou un autre.

Je voudrais différencier les actions que font ces différentes personnes.


sudo ou super sont faits pour ça. Eviter de créer plusieurs roots sans
raison.

Mais le principal problème demeure la tracabilité. J'ai un peu du mal à
comprendre que l'administration d'un serveur de production soit confié à
plusieurs sociétés différentes. De mon point de vue, c'est courir vers
de serieux ennuis. Qui sera responsable des pepins?
J'ai même du mal à comprendre que des prestataires puissent accepter celà.

Librement.


--
Basile STARYNKEVITCH http://starynkevitch.net/Basile/
email: basile<at>starynkevitch<dot>net mobile: +33 6 8501 2359
8, rue de la Faiencerie, 92340 Bourg La Reine, France
*** opinions {are only mines, sont seulement les miennes} ***
membre de l'APRIL "promouvoir et défendre le logiciel libre"
Rejoignez maitenant pplus de 3900 adhérents http://www.april.org

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact







--
Thierry Leurent
Phone : +32 476/20.23.98
E-mail :
Website (en developpement) : http://www.asgardian.be

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
fra-duf-no-spam
Le #18344911
Le 14253ième jour après Epoch,
Thierry Leurent écrivait:

Merci à tous, il semble que sudo est la commande idéale mais il faut
encore la configurer.



Mais attention, si tu dois arbitrer un jour le fait que tel ou tel
prestataire a modifié tel ou tel fichier, ça va pas forcémen t être
simple.

Pourquois confier l'administration d'une machine de prod à plusieurs
sociètés ?
Simplement qu'elle ont en charge une partie des logitiels présents et
qu'il est probabale qu'un jour ou l'autre, elles devront effectuer des
opérations de maintenance sur leurs produits ou pour d'autres
opérations.



Je ne comprends pas non plus que ces sociétés aient accepté d'assurer
la maintenance applicative (avec accès root oO) à plusieurs.

A mon avis, il serait préférable de leur donner accès à chacune à leur
zone applicative bien cloisonnée, et garder l'accès root à u ne seule
personne.

Même au sein d'une seule boite, et pour des admins assez proches, je
me souviens avoir mis en place un mécanisme de configuration à l' aide
de CVS, de commits, et d'un ou deux petits scripts cron pour
l'implantation des droits/privilèges des fichiers de config.

Après, libre à toi de faire ce que tu veux, mais bon...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Yves Rutschle
Le #18345091
On Fri, Jan 09, 2009 at 03:46:50PM +0100, François TOURDE wrote:
A mon avis, il serait préférable de leur donner accès à chacune à leur
zone applicative bien cloisonnée, et garder l'accès root à une seule
personne.



Ouaip, et si l'accès root est indispensable, déplacer chaque
serveur dans une machine virtuelle, une machine virtuelle
par boite.

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Frédéric Massot
Le #18345191
Thierry Leurent a écrit :
Merci à tous, il semble que sudo est la commande idéale mais il faut
encore la configurer.

Pourquois confier l'administration d'une machine de prod à plusieurs
sociètés ?
Simplement qu'elle ont en charge une partie des logitiels présents et
qu'il est probabale qu'un jour ou l'autre, elles devront effectuer des
opérations de maintenance sur leurs produits ou pour d'autres opérations.

Si je contente de leur donner le root, je ne peux pas les coller toute la
journée pour voir ce qu'ils font.
Je veux :
- Limiter leur pouvoir sur la machine à leur application et
eventuellement d'autres éléments périphériques.
- Tracer leur modifications.



sudo enregistre les actions dans le fichier /var/log/auth.log

Maintenant, il faut bien configurer sudo.

--
============================================= | FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto: |
==========================Þbian=GNU/Linux==
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Thierry Leurent
Le #18348961
Je vais mettre en place plusieurs choses :
- Les roots dédiés ne seront activés qu'a la demande.
- Je verrai qui a modifié un fichier et quand.
- Je voudrais utiliser svn pour stocker les modifs.

Les machines ont été achetées clé en main à une so cièté qui sous-traite mais
nous remarquons qu'ils ont certains problèmes au niveau des délai s, que les
applis ne sont pas testées et que la socièté maitre d'oeuvre ne fait pas son
boulot de coordination. Donc les sous-traitants passent pas nous directemen t.
Nous avons peur que si un de socièté doit faire une modif qu'elle fasse des
conneries et que le système se plante. Nous avons des données tr ès
confidentielles et des règles très stictes a appliquer.

Je compte définir plusieurs types d'admin. Les admins internes des roo ts avec
d'autres nom afin de tracer qui fait quoi, des admins externes limités au
domaine de leur boite et des admins internes restreint pour les backup, et
d'autres choses.

Comme nous avons 2 systèmes identiques, 1 de test et 1 de prod, il va falloir
mettre en place toute une politique au niveau des développeur et des m ises en
prods. Mais ça, je dois encore voir.

Je pensais a svn pour stocker l'historique des modifs mais j'ai pas encore
approfondit la chose. Il sera mis en place pour le devel.
Puppet serait peut-être une solution aussi a voir.

On Friday 09 January 2009 15:46:50 François TOURDE wrote:
Le 14253ième jour après Epoch,

Thierry Leurent écrivait:
> Merci à tous, il semble que sudo est la commande idéale mais il faut
> encore la configurer.

Mais attention, si tu dois arbitrer un jour le fait que tel ou tel
prestataire a modifié tel ou tel fichier, ça va pas forcém ent être
simple.

> Pourquois confier l'administration d'une machine de prod à plusieu rs
> sociètés ?
> Simplement qu'elle ont en charge une partie des logitiels présents et
> qu'il est probabale qu'un jour ou l'autre, elles devront effectuer des
> opérations de maintenance sur leurs produits ou pour d'autres
> opérations.

Je ne comprends pas non plus que ces sociétés aient acceptà © d'assurer
la maintenance applicative (avec accès root oO) à plusieurs.

A mon avis, il serait préférable de leur donner accès à   chacune à leur
zone applicative bien cloisonnée, et garder l'accès root à une seule
personne.

Même au sein d'une seule boite, et pour des admins assez proches, je
me souviens avoir mis en place un mécanisme de configuration à l'aide
de CVS, de commits, et d'un ou deux petits scripts cron pour
l'implantation des droits/privilèges des fichiers de config.

Après, libre à toi de faire ce que tu veux, mais bon...



--
---
Thierry Leurent


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Cornichon
Le #18349901
Yves Rutschle a écrit :
On Fri, Jan 09, 2009 at 03:46:50PM +0100, François TOURDE wrote:
A mon avis, il serait préférable de leur donner accès à chacune à leur
zone applicative bien cloisonnée, et garder l'accès root à une seule
personne.



Ouaip, et si l'accès root est indispensable, déplacer chaque
serveur dans une machine virtuelle, une machine virtuelle
par boite.

Y.





+1 +1 et encore +1
accès root partagé = galères à coups sur!
virtualiser les serveurs au moyen de xen, kvm, vmware ou peut-importe me
semble bien plus sécurisé ; et crois en mon expérience, tu t'éviteras
des grandes heures de galère ..

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme