j'ai un utilisateur 'hervel' dont j'aimerais modifier les privilèges afin
qu'il soit root.
Je fais donc : adduser hervel -g root
J'ai donc ainsi la possibilité de lire le répertoire /root mais je ne peut
lancer des services, killer des processus ou simplement lire des répertoires
d'autres users. J'en déduit que je n'ai pas vraiment les privilège root.
Comment doit je faire pour ajouter un user ayant exactement les mêmes
privilèges que root?
Dans le message <news:406ebd9a$0$16662$, *Philippe Delsol* tapota sur f.c.o.l.configuration :
Une machine n'a pas forcément un seul administrateur mais plusieurs administrateurs. Et chaque administrateur ne désire pas forcément partager ses mots de passe. Chaque administrateur n'utilise pas forcément le même shell de commande, le même profile, etc. Il est donc plus confortable pour chaque administrateur d'avoir son propre compte root.
[Un peu HS ici, serait mieux sur fr.comp.os.linux.débats]
Le problème c'est que ça part très vite en troll, en affrontement et en diverses rivalités là bas. ;)
Oui, je commence à m'y frotter !
Juste une petite remarque : pour le confort des utilisateurs root on augmente sensiblement les risques de trou de sécurité.
Auxquels pensez-vous exactement ?
Je me dis que plus il y a de login/password, plus il y a un risque qu'un d'entre eux soit connu. J'ai trop souvent vu des mots de passe perso "crackables" facilement.
Le risque vient surtout des administrateurs incompétents.
Bien d'accord et je rajouterais surtout ceux qui ne sont pas sensibles aux problèmes de sécurité (pas top, pour un administrateur :o) )
Je n'y ai jamais été favorable.
Moi non plus. :)
La logique veut qu'on ne passe root que si on en a besoin et en définitive, sur des systèmes Unix/Linux c'est pas si souvent.
Dans votre utilisation peut être. Mais cela dépend malgré tout beaucoup de l'utilisation de la machine. Vous avez des machines qui évoluent quotidiennement et qui nécéssitent une administration régulière.
Prenons un exemple du quotidien des admin système. Ils ont besoin de quel droit pour développer un nouveau script d'admin ? Pas ceux de root. Par contre pour le tester oui. Le développement c'est combien ? 80% à 90% du travail ? C'est dans ce sens que je dis que l'administration système ne requiert pas un accès root en permanence.
A méditer ...
Philippe
Dans le message <news:406ebd9a$0$16662$636a15ce@news.free.fr>,
*Philippe Delsol* tapota sur f.c.o.l.configuration :
Une machine n'a pas forcément un seul administrateur mais plusieurs
administrateurs. Et chaque administrateur ne désire pas forcément
partager
ses mots de passe. Chaque administrateur n'utilise pas forcément le même
shell de commande, le même profile, etc.
Il est donc plus confortable pour chaque administrateur d'avoir son
propre
compte root.
[Un peu HS ici, serait mieux sur fr.comp.os.linux.débats]
Le problème c'est que ça part très vite en troll, en affrontement et en
diverses rivalités là bas. ;)
Oui, je commence à m'y frotter !
Juste une petite remarque :
pour le confort des utilisateurs root on augmente sensiblement les
risques de trou de sécurité.
Auxquels pensez-vous exactement ?
Je me dis que plus il y a de login/password, plus il y a un risque qu'un
d'entre eux soit connu.
J'ai trop souvent vu des mots de passe perso "crackables" facilement.
Le risque vient surtout des administrateurs incompétents.
Bien d'accord et je rajouterais surtout ceux qui ne sont pas sensibles
aux problèmes de sécurité (pas top, pour un administrateur :o) )
Je n'y ai jamais été favorable.
Moi non plus. :)
La logique veut qu'on ne passe root que si on en a besoin et en
définitive, sur des systèmes Unix/Linux c'est pas si souvent.
Dans votre utilisation peut être. Mais cela dépend malgré tout beaucoup de
l'utilisation de la machine. Vous avez des machines qui évoluent
quotidiennement et qui nécéssitent une administration régulière.
Prenons un exemple du quotidien des admin système.
Ils ont besoin de quel droit pour développer un nouveau script d'admin ?
Pas ceux de root.
Par contre pour le tester oui.
Le développement c'est combien ? 80% à 90% du travail ?
C'est dans ce sens que je dis que l'administration système ne requiert
pas un accès root en permanence.
Dans le message <news:406ebd9a$0$16662$, *Philippe Delsol* tapota sur f.c.o.l.configuration :
Une machine n'a pas forcément un seul administrateur mais plusieurs administrateurs. Et chaque administrateur ne désire pas forcément partager ses mots de passe. Chaque administrateur n'utilise pas forcément le même shell de commande, le même profile, etc. Il est donc plus confortable pour chaque administrateur d'avoir son propre compte root.
[Un peu HS ici, serait mieux sur fr.comp.os.linux.débats]
Le problème c'est que ça part très vite en troll, en affrontement et en diverses rivalités là bas. ;)
Oui, je commence à m'y frotter !
Juste une petite remarque : pour le confort des utilisateurs root on augmente sensiblement les risques de trou de sécurité.
Auxquels pensez-vous exactement ?
Je me dis que plus il y a de login/password, plus il y a un risque qu'un d'entre eux soit connu. J'ai trop souvent vu des mots de passe perso "crackables" facilement.
Le risque vient surtout des administrateurs incompétents.
Bien d'accord et je rajouterais surtout ceux qui ne sont pas sensibles aux problèmes de sécurité (pas top, pour un administrateur :o) )
Je n'y ai jamais été favorable.
Moi non plus. :)
La logique veut qu'on ne passe root que si on en a besoin et en définitive, sur des systèmes Unix/Linux c'est pas si souvent.
Dans votre utilisation peut être. Mais cela dépend malgré tout beaucoup de l'utilisation de la machine. Vous avez des machines qui évoluent quotidiennement et qui nécéssitent une administration régulière.
Prenons un exemple du quotidien des admin système. Ils ont besoin de quel droit pour développer un nouveau script d'admin ? Pas ceux de root. Par contre pour le tester oui. Le développement c'est combien ? 80% à 90% du travail ? C'est dans ce sens que je dis que l'administration système ne requiert pas un accès root en permanence.
A méditer ...
Philippe
Jerome Lambert
Le Sat, 03 Apr 2004 16:39:22 +0200, TiChou a écrit :
drwxr-x--- 12 root root 4096 avr 3 05:10 root
Euh j'ai ça dans ma Fedora Core fraichement installée, et j'ai la même chose sur la MDK 9.1 de mon portable, donc ça semble être réglé comme cela par défaut sur plusieurs distrib'
Possible oui, tout comme la majorité des distributions Linux ont une politique de sécurité par défaut très légère.
C'est le moins que l'on puisse dire... Tout comme /home réglé à 755 par défaut...
Maintenant si vous trouvez une raison valable pour que le répertoire /root soit accessible à un utilisateur différent de root, je suis pret à vous entendre. :)
;-)
Non, d'une part le groupe 'adm' n'est pas fait pour cela et d'autre part ce n'est pas en étant membre d'un groupe en particulier que l'on va pouvoir obtenir des droits d'exécutions sous l'uid 0. (... snip l'argumentaire qui démolit des vieux souvenirs encrassés)
Effectivement, je confonds.
J'ai utilisé pendant plusieurs années des stations Irix, et dans ce cas les programmes root (dans /sbin) et les fichiers de configuration appartiennent au groupe sys, et non au groupe root comme sous Linux (je viens de vérifier). On peut alors ajouter l'utilisateur au groupe sys et modifier les permissions sur les fichiers qu'il pourra lancer et modifier...
Jerome.
Le Sat, 03 Apr 2004 16:39:22 +0200, TiChou a écrit :
drwxr-x--- 12 root root 4096 avr 3 05:10 root
Euh j'ai ça dans ma Fedora Core fraichement installée, et j'ai la même
chose sur la MDK 9.1 de mon portable, donc ça semble être réglé comme
cela par défaut sur plusieurs distrib'
Possible oui, tout comme la majorité des distributions Linux ont une
politique de sécurité par défaut très légère.
C'est le moins que l'on puisse dire...
Tout comme /home réglé à 755 par défaut...
Maintenant si vous trouvez une raison valable pour que le répertoire /root
soit accessible à un utilisateur différent de root, je suis pret à vous
entendre. :)
;-)
Non, d'une part le groupe 'adm' n'est pas fait pour cela et d'autre part ce
n'est pas en étant membre d'un groupe en particulier que l'on va pouvoir
obtenir des droits d'exécutions sous l'uid 0.
(... snip l'argumentaire qui démolit des vieux souvenirs encrassés)
Effectivement, je confonds.
J'ai utilisé pendant plusieurs années des stations Irix, et dans ce cas
les programmes root (dans /sbin) et les fichiers de configuration
appartiennent au groupe sys, et non au groupe root comme sous Linux (je
viens de vérifier). On peut alors ajouter l'utilisateur au groupe sys et
modifier les permissions sur les fichiers qu'il pourra lancer et modifier...
Le Sat, 03 Apr 2004 16:39:22 +0200, TiChou a écrit :
drwxr-x--- 12 root root 4096 avr 3 05:10 root
Euh j'ai ça dans ma Fedora Core fraichement installée, et j'ai la même chose sur la MDK 9.1 de mon portable, donc ça semble être réglé comme cela par défaut sur plusieurs distrib'
Possible oui, tout comme la majorité des distributions Linux ont une politique de sécurité par défaut très légère.
C'est le moins que l'on puisse dire... Tout comme /home réglé à 755 par défaut...
Maintenant si vous trouvez une raison valable pour que le répertoire /root soit accessible à un utilisateur différent de root, je suis pret à vous entendre. :)
;-)
Non, d'une part le groupe 'adm' n'est pas fait pour cela et d'autre part ce n'est pas en étant membre d'un groupe en particulier que l'on va pouvoir obtenir des droits d'exécutions sous l'uid 0. (... snip l'argumentaire qui démolit des vieux souvenirs encrassés)
Effectivement, je confonds.
J'ai utilisé pendant plusieurs années des stations Irix, et dans ce cas les programmes root (dans /sbin) et les fichiers de configuration appartiennent au groupe sys, et non au groupe root comme sous Linux (je viens de vérifier). On peut alors ajouter l'utilisateur au groupe sys et modifier les permissions sur les fichiers qu'il pourra lancer et modifier...
