Bonnes pratiques d'administration de Debian côté sécurité
Le
David BERCOT

Bonjour,
Comme je ne suis certainement pas le premier à me pencher sur ce sujet,
je me permets de faire appel à vos lumières (et surtout à votre
expérience ;-))
Donc, au sein de vos entreprises, vous avez sûrement des serveurs
Debian géographiquement éloignés. Comment vous y connectez-vous ?
Directement en root ? Via un compte "de service" (générique et
utilisé par plusieurs personnes) ? Avec un identifiant personnalisé ?
Dans ces 2 derniers cas, quand vous devez passer root, vous fournissez
un mot de passe. Comment ceux-ci sont-ils gérés ?
Et quand une personne change de service (ou quitte l'entreprise),
avez-vous des mesures spécifiques quant aux mots de passe connus ? Aux
clés SSH en sa possession ?
Merci d'avance pour vos bons conseils
David.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120928112104.037d60ad@debian-david
Comme je ne suis certainement pas le premier à me pencher sur ce sujet,
je me permets de faire appel à vos lumières (et surtout à votre
expérience ;-))
Donc, au sein de vos entreprises, vous avez sûrement des serveurs
Debian géographiquement éloignés. Comment vous y connectez-vous ?
Directement en root ? Via un compte "de service" (générique et
utilisé par plusieurs personnes) ? Avec un identifiant personnalisé ?
Dans ces 2 derniers cas, quand vous devez passer root, vous fournissez
un mot de passe. Comment ceux-ci sont-ils gérés ?
Et quand une personne change de service (ou quitte l'entreprise),
avez-vous des mesures spécifiques quant aux mots de passe connus ? Aux
clés SSH en sa possession ?
Merci d'avance pour vos bons conseils
David.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120928112104.037d60ad@debian-david
Bonjour
Jamais
Jamais
Oui
sudo
Openvpn, révocation des certificats. Suppression du/des comptes de
l'utilisateur.
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
daniel huhardeaux
Bon, sur ces principes, ça me paraît logique. Maintenant, concrètemen t,
ça me paraît plus délicat. En effet, si un nouvel administrateur
arrive, comment ajouter facilement son compte et sa clé sur les 50
(chiffres au hasard mais, potentiellement, ça pourrait même être plus)
serveurs locaux & distants qu'il doit gérer ?
OK.
Là encore, ça paraît logique même si ce n'est pas trivial de suppri mer
un compte sur 50 serveurs (il faut être sûr de ne pas en oublier)...
Merci.
David.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
David BERCOT
En SSH s/s root avec identification par clé.
Changement de proprio pour les fichiers devant perdurer puis
destruction du compte (avec élimination de tous ses fichiers).
--
<Nosfrat> J'en ai marre d'être seul.
<Homie_Blaster> Mais t'es pas bi toi ?
<Nosfrat> Euh j'vois pas le rapport, j'voudrais juste trouer des potes.
<Nosfrat> *trouver
<Nosfrat> Putain.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
On 9/28/12 11:21 AM, David BERCOT wrote:
SSH
Jamais en root, login nominatif
Industrialisation avec Puppet
Idem, puppet fait le ménage qui s'impose
Cordialement,
JB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Utilisation d'un serveur LDAP ?
dom
--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Ça me semble un boulot pour puppet/chef/cfengine ou tout autre système
de gestion d'ensemble de machines.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Visiblement, il va falloir que je teste puppet ;-)
David.
Le Fri, 28 Sep 2012 12:48:24 +0200,
Erwan David
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
J'oubliais: suppression du user et de ses fichiers, mais avec
sauvegarde (6 mois) desdits fichiers au cas où.
--
<Citron'> j'ai acheté un manga '_'
<Citron'> et de la crème dépilatoire '_'
<Citron'> ça résume bien ma vie
<Wolfos> tu épiles des japonais? :|
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
oui
via ssh
non
personnes) ? :
non, un user "normal" (adduser ...)
d'un user.
une fois loggué en user => root
Mettre un autre port que le 22 (par défaut).
Modifier les mots de passe user
et root si la personne qui est partie le connaissait.
Si clés SSH, évidemment les modifier.
Pas facile lors d'un départ conflictuel d'un admin-système,
et si des dizaines de personnes se logguent aux serveurs.
(modification de toutes les clés sur les postes clients)
André
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/