Bonnes pratiques d'administration de Debian côté sécurité
9 réponses
David BERCOT
Bonjour,
Comme je ne suis certainement pas le premier =E0 me pencher sur ce sujet,
je me permets de faire appel =E0 vos lumi=E8res (et surtout =E0 votre
exp=E9rience ;-))...
Donc, au sein de vos entreprises, vous avez s=FBrement des serveurs
Debian g=E9ographiquement =E9loign=E9s. Comment vous y connectez-vous ?
Directement en root ? Via un compte "de service" (g=E9n=E9rique et
utilis=E9 par plusieurs personnes) ? Avec un identifiant personnalis=E9 ?
Dans ces 2 derniers cas, quand vous devez passer root, vous fournissez
un mot de passe. Comment ceux-ci sont-ils g=E9r=E9s ?
Et quand une personne change de service (ou quitte l'entreprise),
avez-vous des mesures sp=E9cifiques quant aux mots de passe connus ? Aux
cl=E9s SSH en sa possession ?
Merci d'avance pour vos bons conseils...
David.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120928112104.037d60ad@debian-david
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
daniel huhardeaux
Le 28/09/2012 11:21, David BERCOT a écrit :
Bonjour,
Bonjour
Comme je ne suis certainement pas le premier à me pencher sur ce sujet, je me permets de faire appel à vos lumières (et surtout à votre expérience ;-))...
Donc, au sein de vos entreprises, vous avez sûrement des serveurs Debian géographiquement éloignés. Comment vous y connectez-vous ? Directement en root ?
Jamais
Via un compte "de service" (générique et utilisé par plusieurs personnes) ?
Jamais
Avec un identifiant personnalisé ?
Oui
Dans ces 2 derniers cas, quand vous devez passer root, vous fournissez un mot de passe. Comment ceux-ci sont-ils gérés ?
sudo
Et quand une personne change de service (ou quitte l'entreprise), avez-vous des mesures spécifiques quant aux mots de passe connus ? Aux clés SSH en sa possession ?
Openvpn, révocation des certificats. Suppression du/des comptes de l'utilisateur.
-- Daniel
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 28/09/2012 11:21, David BERCOT a écrit :
Bonjour,
Bonjour
Comme je ne suis certainement pas le premier à me pencher sur ce sujet,
je me permets de faire appel à vos lumières (et surtout à votre
expérience ;-))...
Donc, au sein de vos entreprises, vous avez sûrement des serveurs
Debian géographiquement éloignés. Comment vous y connectez-vous ?
Directement en root ?
Jamais
Via un compte "de service" (générique et
utilisé par plusieurs personnes) ?
Jamais
Avec un identifiant personnalisé ?
Oui
Dans ces 2 derniers cas, quand vous devez passer root, vous fournissez
un mot de passe. Comment ceux-ci sont-ils gérés ?
sudo
Et quand une personne change de service (ou quitte l'entreprise),
avez-vous des mesures spécifiques quant aux mots de passe connus ? Aux
clés SSH en sa possession ?
Openvpn, révocation des certificats. Suppression du/des comptes de
l'utilisateur.
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/50656DD7.5090307@tootai.net
Comme je ne suis certainement pas le premier à me pencher sur ce sujet, je me permets de faire appel à vos lumières (et surtout à votre expérience ;-))...
Donc, au sein de vos entreprises, vous avez sûrement des serveurs Debian géographiquement éloignés. Comment vous y connectez-vous ? Directement en root ?
Jamais
Via un compte "de service" (générique et utilisé par plusieurs personnes) ?
Jamais
Avec un identifiant personnalisé ?
Oui
Dans ces 2 derniers cas, quand vous devez passer root, vous fournissez un mot de passe. Comment ceux-ci sont-ils gérés ?
sudo
Et quand une personne change de service (ou quitte l'entreprise), avez-vous des mesures spécifiques quant aux mots de passe connus ? Aux clés SSH en sa possession ?
Openvpn, révocation des certificats. Suppression du/des comptes de l'utilisateur.
-- Daniel
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
David BERCOT
Le Fri, 28 Sep 2012 11:28:55 +0200, daniel huhardeaux a écrit :
Le 28/09/2012 11:21, David BERCOT a écrit :
Bonjour,
Bonjour
Comme je ne suis certainement pas le premier à me pencher sur ce sujet, je me permets de faire appel à vos lumières (et surtout à votre expérience ;-))...
Donc, au sein de vos entreprises, vous avez sûrement des serveurs Debian géographiquement éloignés. Comment vous y connectez-vous ? Directement en root ?
Jamais
Via un compte "de service" (générique et utilisé par plusieurs personnes) ?
Jamais
Avec un identifiant personnalisé ?
Oui
Bon, sur ces principes, ça me paraît logique. Maintenant, concrètemen t, ça me paraît plus délicat. En effet, si un nouvel administrateur arrive, comment ajouter facilement son compte et sa clé sur les 50 (chiffres au hasard mais, potentiellement, ça pourrait même être plus) serveurs locaux & distants qu'il doit gérer ?
Dans ces 2 derniers cas, quand vous devez passer root, vous fournissez un mot de passe. Comment ceux-ci sont-ils gérés ?
sudo
OK.
Et quand une personne change de service (ou quitte l'entreprise), avez-vous des mesures spécifiques quant aux mots de passe connus ? Aux clés SSH en sa possession ?
Openvpn, révocation des certificats. Suppression du/des comptes de l'utilisateur.
Là encore, ça paraît logique même si ce n'est pas trivial de suppri mer un compte sur 50 serveurs (il faut être sûr de ne pas en oublier)...
Merci.
David.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le Fri, 28 Sep 2012 11:28:55 +0200,
daniel huhardeaux <no-spam@tootai.net> a écrit :
Le 28/09/2012 11:21, David BERCOT a écrit :
Bonjour,
Bonjour
Comme je ne suis certainement pas le premier à me pencher sur ce
sujet, je me permets de faire appel à vos lumières (et surtout à
votre expérience ;-))...
Donc, au sein de vos entreprises, vous avez sûrement des serveurs
Debian géographiquement éloignés. Comment vous y connectez-vous ?
Directement en root ?
Jamais
Via un compte "de service" (générique et
utilisé par plusieurs personnes) ?
Jamais
Avec un identifiant personnalisé ?
Oui
Bon, sur ces principes, ça me paraît logique. Maintenant, concrètemen t,
ça me paraît plus délicat. En effet, si un nouvel administrateur
arrive, comment ajouter facilement son compte et sa clé sur les 50
(chiffres au hasard mais, potentiellement, ça pourrait même être plus)
serveurs locaux & distants qu'il doit gérer ?
Dans ces 2 derniers cas, quand vous devez passer root, vous
fournissez un mot de passe. Comment ceux-ci sont-ils gérés ?
sudo
OK.
Et quand une personne change de service (ou quitte l'entreprise),
avez-vous des mesures spécifiques quant aux mots de passe connus ?
Aux clés SSH en sa possession ?
Openvpn, révocation des certificats. Suppression du/des comptes de
l'utilisateur.
Là encore, ça paraît logique même si ce n'est pas trivial de suppri mer
un compte sur 50 serveurs (il faut être sûr de ne pas en oublier)...
Merci.
David.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120928114825.0109629e@debian-david
Le Fri, 28 Sep 2012 11:28:55 +0200, daniel huhardeaux a écrit :
Le 28/09/2012 11:21, David BERCOT a écrit :
Bonjour,
Bonjour
Comme je ne suis certainement pas le premier à me pencher sur ce sujet, je me permets de faire appel à vos lumières (et surtout à votre expérience ;-))...
Donc, au sein de vos entreprises, vous avez sûrement des serveurs Debian géographiquement éloignés. Comment vous y connectez-vous ? Directement en root ?
Jamais
Via un compte "de service" (générique et utilisé par plusieurs personnes) ?
Jamais
Avec un identifiant personnalisé ?
Oui
Bon, sur ces principes, ça me paraît logique. Maintenant, concrètemen t, ça me paraît plus délicat. En effet, si un nouvel administrateur arrive, comment ajouter facilement son compte et sa clé sur les 50 (chiffres au hasard mais, potentiellement, ça pourrait même être plus) serveurs locaux & distants qu'il doit gérer ?
Dans ces 2 derniers cas, quand vous devez passer root, vous fournissez un mot de passe. Comment ceux-ci sont-ils gérés ?
sudo
OK.
Et quand une personne change de service (ou quitte l'entreprise), avez-vous des mesures spécifiques quant aux mots de passe connus ? Aux clés SSH en sa possession ?
Openvpn, révocation des certificats. Suppression du/des comptes de l'utilisateur.
Là encore, ça paraît logique même si ce n'est pas trivial de suppri mer un compte sur 50 serveurs (il faut être sûr de ne pas en oublier)...
Merci.
David.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Bzzz
On Fri, 28 Sep 2012 11:21:04 +0200 David BERCOT wrote:
-- <Nosfrat> J'en ai marre d'être seul. <Homie_Blaster> Mais t'es pas bi toi ? <Nosfrat> Euh j'vois pas le rapport, j'voudrais juste trouer des potes. <Nosfrat> *trouver <Nosfrat> Putain.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
On Fri, 28 Sep 2012 11:21:04 +0200
David BERCOT <debian@bercot.org> wrote:
--
<Nosfrat> J'en ai marre d'être seul.
<Homie_Blaster> Mais t'es pas bi toi ?
<Nosfrat> Euh j'vois pas le rapport, j'voudrais juste trouer des potes.
<Nosfrat> *trouver
<Nosfrat> Putain.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120928121632.5dfd507d@anubis.defcon1
-- <Nosfrat> J'en ai marre d'être seul. <Homie_Blaster> Mais t'es pas bi toi ? <Nosfrat> Euh j'vois pas le rapport, j'voudrais juste trouer des potes. <Nosfrat> *trouver <Nosfrat> Putain.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Jean Baptiste Favre
Bonjour,
On 9/28/12 11:21 AM, David BERCOT wrote:
Bonjour,
Comme je ne suis certainement pas le premier à me pencher sur ce sujet, je me permets de faire appel à vos lumières (et surtout à votre expérience ;-))...
Donc, au sein de vos entreprises, vous avez sûrement des serveurs Debian géographiquement éloignés. Comment vous y connectez-vous ?
SSH
Directement en root ? Via un compte "de service" (générique et utilisé par plusieurs personnes) ? Avec un identifiant personnalisé ?
Jamais en root, login nominatif
Dans ces 2 derniers cas, quand vous devez passer root, vous fournissez un mot de passe. Comment ceux-ci sont-ils gérés ?
Industrialisation avec Puppet
Et quand une personne change de service (ou quitte l'entreprise), avez-vous des mesures spécifiques quant aux mots de passe connus ? Aux clés SSH en sa possession ?
Idem, puppet fait le ménage qui s'impose
Merci d'avance pour vos bons conseils...
David.
Cordialement, JB
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Bonjour,
On 9/28/12 11:21 AM, David BERCOT wrote:
Bonjour,
Comme je ne suis certainement pas le premier à me pencher sur ce sujet,
je me permets de faire appel à vos lumières (et surtout à votre
expérience ;-))...
Donc, au sein de vos entreprises, vous avez sûrement des serveurs
Debian géographiquement éloignés. Comment vous y connectez-vous ?
SSH
Directement en root ? Via un compte "de service" (générique et
utilisé par plusieurs personnes) ? Avec un identifiant personnalisé ?
Jamais en root, login nominatif
Dans ces 2 derniers cas, quand vous devez passer root, vous fournissez
un mot de passe. Comment ceux-ci sont-ils gérés ?
Industrialisation avec Puppet
Et quand une personne change de service (ou quitte l'entreprise),
avez-vous des mesures spécifiques quant aux mots de passe connus ? Aux
clés SSH en sa possession ?
Idem, puppet fait le ménage qui s'impose
Merci d'avance pour vos bons conseils...
David.
Cordialement,
JB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/50657DA2.1060605@jbfavre.org
Comme je ne suis certainement pas le premier à me pencher sur ce sujet, je me permets de faire appel à vos lumières (et surtout à votre expérience ;-))...
Donc, au sein de vos entreprises, vous avez sûrement des serveurs Debian géographiquement éloignés. Comment vous y connectez-vous ?
SSH
Directement en root ? Via un compte "de service" (générique et utilisé par plusieurs personnes) ? Avec un identifiant personnalisé ?
Jamais en root, login nominatif
Dans ces 2 derniers cas, quand vous devez passer root, vous fournissez un mot de passe. Comment ceux-ci sont-ils gérés ?
Industrialisation avec Puppet
Et quand une personne change de service (ou quitte l'entreprise), avez-vous des mesures spécifiques quant aux mots de passe connus ? Aux clés SSH en sa possession ?
Idem, puppet fait le ménage qui s'impose
Merci d'avance pour vos bons conseils...
David.
Cordialement, JB
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Dominique Asselineau
David BERCOT wrote on Fri, Sep 28, 2012 at 11:48:25AM +0200
Le Fri, 28 Sep 2012 11:28:55 +0200, daniel huhardeaux a écrit : >Le 28/09/2012 11:21, David BERCOT a écrit : >> Bonjour, >Bonjour > >> Comme je ne suis certainement pas le premier à me pencher sur ce >> sujet, je me permets de faire appel à vos lumières (et surtout à >> votre expérience ;-))... >> >> Donc, au sein de vos entreprises, vous avez sûrement des serveurs >> Debian géographiquement éloignés. Comment vous y connectez-vous ? >> Directement en root ? > >Jamais > >> Via un compte "de service" (générique et >> utilisé par plusieurs personnes) ? > >Jamais > >> Avec un identifiant personnalisé ? > >Oui
Bon, sur ces principes, ça me paraît logique. Maintenant, concrètement, ça me paraît plus délicat. En effet, si un nouvel administrateur arrive, comment ajouter facilement son compte et sa clé sur les 50 (chiffres au hasard mais, potentiellement, ça pourrait même être plus) serveurs locaux & distants qu'il doit gérer ?
>> Dans ces 2 derniers cas, quand vous devez passer root, vous >> fournissez un mot de passe. Comment ceux-ci sont-ils gérés ? > >sudo
OK.
>> Et quand une personne change de service (ou quitte l'entreprise), >> avez-vous des mesures spécifiques quant aux mots de passe connus ? >> Aux clés SSH en sa possession ? > >Openvpn, révocation des certificats. Suppression du/des comptes de >l'utilisateur.
Là encore, ça paraît logique même si ce n'est pas trivial de supprimer un compte sur 50 serveurs (il faut être sûr de ne pas en oublier)...
Utilisation d'un serveur LDAP ?
dom --
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
David BERCOT wrote on Fri, Sep 28, 2012 at 11:48:25AM +0200
Le Fri, 28 Sep 2012 11:28:55 +0200,
daniel huhardeaux <no-spam@tootai.net> a écrit :
>Le 28/09/2012 11:21, David BERCOT a écrit :
>> Bonjour,
>Bonjour
>
>> Comme je ne suis certainement pas le premier à me pencher sur ce
>> sujet, je me permets de faire appel à vos lumières (et surtout à
>> votre expérience ;-))...
>>
>> Donc, au sein de vos entreprises, vous avez sûrement des serveurs
>> Debian géographiquement éloignés. Comment vous y connectez-vous ?
>> Directement en root ?
>
>Jamais
>
>> Via un compte "de service" (générique et
>> utilisé par plusieurs personnes) ?
>
>Jamais
>
>> Avec un identifiant personnalisé ?
>
>Oui
Bon, sur ces principes, ça me paraît logique. Maintenant, concrètement,
ça me paraît plus délicat. En effet, si un nouvel administrateur
arrive, comment ajouter facilement son compte et sa clé sur les 50
(chiffres au hasard mais, potentiellement, ça pourrait même être plus)
serveurs locaux & distants qu'il doit gérer ?
>> Dans ces 2 derniers cas, quand vous devez passer root, vous
>> fournissez un mot de passe. Comment ceux-ci sont-ils gérés ?
>
>sudo
OK.
>> Et quand une personne change de service (ou quitte l'entreprise),
>> avez-vous des mesures spécifiques quant aux mots de passe connus ?
>> Aux clés SSH en sa possession ?
>
>Openvpn, révocation des certificats. Suppression du/des comptes de
>l'utilisateur.
Là encore, ça paraît logique même si ce n'est pas trivial de supprimer
un compte sur 50 serveurs (il faut être sûr de ne pas en oublier)...
Utilisation d'un serveur LDAP ?
dom
--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120928104335.GA28307@telecom-paristech.fr
David BERCOT wrote on Fri, Sep 28, 2012 at 11:48:25AM +0200
Le Fri, 28 Sep 2012 11:28:55 +0200, daniel huhardeaux a écrit : >Le 28/09/2012 11:21, David BERCOT a écrit : >> Bonjour, >Bonjour > >> Comme je ne suis certainement pas le premier à me pencher sur ce >> sujet, je me permets de faire appel à vos lumières (et surtout à >> votre expérience ;-))... >> >> Donc, au sein de vos entreprises, vous avez sûrement des serveurs >> Debian géographiquement éloignés. Comment vous y connectez-vous ? >> Directement en root ? > >Jamais > >> Via un compte "de service" (générique et >> utilisé par plusieurs personnes) ? > >Jamais > >> Avec un identifiant personnalisé ? > >Oui
Bon, sur ces principes, ça me paraît logique. Maintenant, concrètement, ça me paraît plus délicat. En effet, si un nouvel administrateur arrive, comment ajouter facilement son compte et sa clé sur les 50 (chiffres au hasard mais, potentiellement, ça pourrait même être plus) serveurs locaux & distants qu'il doit gérer ?
>> Dans ces 2 derniers cas, quand vous devez passer root, vous >> fournissez un mot de passe. Comment ceux-ci sont-ils gérés ? > >sudo
OK.
>> Et quand une personne change de service (ou quitte l'entreprise), >> avez-vous des mesures spécifiques quant aux mots de passe connus ? >> Aux clés SSH en sa possession ? > >Openvpn, révocation des certificats. Suppression du/des comptes de >l'utilisateur.
Là encore, ça paraît logique même si ce n'est pas trivial de supprimer un compte sur 50 serveurs (il faut être sûr de ne pas en oublier)...
Utilisation d'un serveur LDAP ?
dom --
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Erwan David
On Fri, Sep 28, 2012 at 11:48:25AM CEST, David BERCOT said:
Le Fri, 28 Sep 2012 11:28:55 +0200, daniel huhardeaux a écrit : >Le 28/09/2012 11:21, David BERCOT a écrit : >> Bonjour, >Bonjour > >> Comme je ne suis certainement pas le premier à me pencher sur ce >> sujet, je me permets de faire appel à vos lumières (et surtout à >> votre expérience ;-))... >> >> Donc, au sein de vos entreprises, vous avez sûrement des serveurs >> Debian géographiquement éloignés. Comment vous y connectez-vous ? >> Directement en root ? > >Jamais > >> Via un compte "de service" (générique et >> utilisé par plusieurs personnes) ? > >Jamais > >> Avec un identifiant personnalisé ? > >Oui
Bon, sur ces principes, ça me paraît logique. Maintenant, concrètement, ça me paraît plus délicat. En effet, si un nouvel administrateur arrive, comment ajouter facilement son compte et sa clé sur les 50 (chiffres au hasard mais, potentiellement, ça pourrait même être plus) serveurs locaux & distants qu'il doit gérer ?
Ça me semble un boulot pour puppet/chef/cfengine ou tout autre système de gestion d'ensemble de machines.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
On Fri, Sep 28, 2012 at 11:48:25AM CEST, David BERCOT <debian@bercot.org> said:
Le Fri, 28 Sep 2012 11:28:55 +0200,
daniel huhardeaux <no-spam@tootai.net> a écrit :
>Le 28/09/2012 11:21, David BERCOT a écrit :
>> Bonjour,
>Bonjour
>
>> Comme je ne suis certainement pas le premier à me pencher sur ce
>> sujet, je me permets de faire appel à vos lumières (et surtout à
>> votre expérience ;-))...
>>
>> Donc, au sein de vos entreprises, vous avez sûrement des serveurs
>> Debian géographiquement éloignés. Comment vous y connectez-vous ?
>> Directement en root ?
>
>Jamais
>
>> Via un compte "de service" (générique et
>> utilisé par plusieurs personnes) ?
>
>Jamais
>
>> Avec un identifiant personnalisé ?
>
>Oui
Bon, sur ces principes, ça me paraît logique. Maintenant, concrètement,
ça me paraît plus délicat. En effet, si un nouvel administrateur
arrive, comment ajouter facilement son compte et sa clé sur les 50
(chiffres au hasard mais, potentiellement, ça pourrait même être plus)
serveurs locaux & distants qu'il doit gérer ?
Ça me semble un boulot pour puppet/chef/cfengine ou tout autre système
de gestion d'ensemble de machines.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120928104824.GN5283@rail.eu.org
On Fri, Sep 28, 2012 at 11:48:25AM CEST, David BERCOT said:
Le Fri, 28 Sep 2012 11:28:55 +0200, daniel huhardeaux a écrit : >Le 28/09/2012 11:21, David BERCOT a écrit : >> Bonjour, >Bonjour > >> Comme je ne suis certainement pas le premier à me pencher sur ce >> sujet, je me permets de faire appel à vos lumières (et surtout à >> votre expérience ;-))... >> >> Donc, au sein de vos entreprises, vous avez sûrement des serveurs >> Debian géographiquement éloignés. Comment vous y connectez-vous ? >> Directement en root ? > >Jamais > >> Via un compte "de service" (générique et >> utilisé par plusieurs personnes) ? > >Jamais > >> Avec un identifiant personnalisé ? > >Oui
Bon, sur ces principes, ça me paraît logique. Maintenant, concrètement, ça me paraît plus délicat. En effet, si un nouvel administrateur arrive, comment ajouter facilement son compte et sa clé sur les 50 (chiffres au hasard mais, potentiellement, ça pourrait même être plus) serveurs locaux & distants qu'il doit gérer ?
Ça me semble un boulot pour puppet/chef/cfengine ou tout autre système de gestion d'ensemble de machines.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
David BERCOT
Merci pour vos différents retours.
Visiblement, il va falloir que je teste puppet ;-)
David.
Le Fri, 28 Sep 2012 12:48:24 +0200, Erwan David a écrit :
On Fri, Sep 28, 2012 at 11:48:25AM CEST, David BERCOT said:
Le Fri, 28 Sep 2012 11:28:55 +0200, daniel huhardeaux a écrit : >Le 28/09/2012 11:21, David BERCOT a écrit : >> Bonjour, >Bonjour > >> Comme je ne suis certainement pas le premier à me pencher sur ce >> sujet, je me permets de faire appel à vos lumières (et surtout à >> votre expérience ;-))... >> >> Donc, au sein de vos entreprises, vous avez sûrement des serveurs >> Debian géographiquement éloignés. Comment vous y connectez-vous ? >> Directement en root ? > >Jamais > >> Via un compte "de service" (générique et >> utilisé par plusieurs personnes) ? > >Jamais > >> Avec un identifiant personnalisé ? > >Oui
Bon, sur ces principes, ça me paraît logique. Maintenant, concrètement, ça me paraît plus délicat. En effet, si un nouvel administrateur arrive, comment ajouter facilement son compte et sa clé sur les 50 (chiffres au hasard mais, potentiellement, ça pourrait même être plus) serveurs locaux & distants qu'il doit gérer ?
Ça me semble un boulot pour puppet/chef/cfengine ou tout autre système de gestion d'ensemble de machines.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Merci pour vos différents retours.
Visiblement, il va falloir que je teste puppet ;-)
David.
Le Fri, 28 Sep 2012 12:48:24 +0200,
Erwan David <erwan@rail.eu.org> a écrit :
On Fri, Sep 28, 2012 at 11:48:25AM CEST, David BERCOT
<debian@bercot.org> said:
Le Fri, 28 Sep 2012 11:28:55 +0200,
daniel huhardeaux <no-spam@tootai.net> a écrit :
>Le 28/09/2012 11:21, David BERCOT a écrit :
>> Bonjour,
>Bonjour
>
>> Comme je ne suis certainement pas le premier à me pencher sur ce
>> sujet, je me permets de faire appel à vos lumières (et surtout à
>> votre expérience ;-))...
>>
>> Donc, au sein de vos entreprises, vous avez sûrement des serveurs
>> Debian géographiquement éloignés. Comment vous y connectez-vous ?
>> Directement en root ?
>
>Jamais
>
>> Via un compte "de service" (générique et
>> utilisé par plusieurs personnes) ?
>
>Jamais
>
>> Avec un identifiant personnalisé ?
>
>Oui
Bon, sur ces principes, ça me paraît logique. Maintenant,
concrètement, ça me paraît plus délicat. En effet, si un nouvel
administrateur arrive, comment ajouter facilement son compte et sa
clé sur les 50 (chiffres au hasard mais, potentiellement, ça
pourrait même être plus) serveurs locaux & distants qu'il doit
gérer ?
Ça me semble un boulot pour puppet/chef/cfengine ou tout autre système
de gestion d'ensemble de machines.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120928152308.3f73f95c@debian-david
Visiblement, il va falloir que je teste puppet ;-)
David.
Le Fri, 28 Sep 2012 12:48:24 +0200, Erwan David a écrit :
On Fri, Sep 28, 2012 at 11:48:25AM CEST, David BERCOT said:
Le Fri, 28 Sep 2012 11:28:55 +0200, daniel huhardeaux a écrit : >Le 28/09/2012 11:21, David BERCOT a écrit : >> Bonjour, >Bonjour > >> Comme je ne suis certainement pas le premier à me pencher sur ce >> sujet, je me permets de faire appel à vos lumières (et surtout à >> votre expérience ;-))... >> >> Donc, au sein de vos entreprises, vous avez sûrement des serveurs >> Debian géographiquement éloignés. Comment vous y connectez-vous ? >> Directement en root ? > >Jamais > >> Via un compte "de service" (générique et >> utilisé par plusieurs personnes) ? > >Jamais > >> Avec un identifiant personnalisé ? > >Oui
Bon, sur ces principes, ça me paraît logique. Maintenant, concrètement, ça me paraît plus délicat. En effet, si un nouvel administrateur arrive, comment ajouter facilement son compte et sa clé sur les 50 (chiffres au hasard mais, potentiellement, ça pourrait même être plus) serveurs locaux & distants qu'il doit gérer ?
Ça me semble un boulot pour puppet/chef/cfengine ou tout autre système de gestion d'ensemble de machines.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Bzzz
On Fri, 28 Sep 2012 12:16:32 +0200 Bzzz wrote:
J'oubliais: suppression du user et de ses fichiers, mais avec sauvegarde (6 mois) desdits fichiers au cas où.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120928164153.3337b5ec@anubis.defcon1
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
andre_debian
On Friday 28 September 2012 11:21:04 David BERCOT wrote:
Donc, au sein de vos entreprises, vous avez sûrement des serveurs Debian géographiquement éloignés :
oui
Comment vous y connectez-vous ? :
via ssh
Directement en root ? :
non
Via un compte "de service" (générique et utilisé par plusieurs
personnes) ? : non, un user "normal" (adduser ...)
Avec un identifiant personnalisé ? :
d'un user.
Dans ces 2 derniers cas, quand vous devez passer root, vous fournissez un mot de passe. Comment ceux-ci sont-ils gérés ? :
une fois loggué en user => root
Et quand une personne change de service (ou quitte l'entreprise), avez-vous des mesures spécifiques quant aux mots de passe connus ? Aux clés SSH en sa possession ? David :
Mettre un autre port que le 22 (par défaut).
Modifier les mots de passe user et root si la personne qui est partie le connaissait. Si clés SSH, évidemment les modifier.
Pas facile lors d'un départ conflictuel d'un admin-système, et si des dizaines de personnes se logguent aux serveurs. (modification de toutes les clés sur les postes clients)
André
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
On Friday 28 September 2012 11:21:04 David BERCOT wrote:
Donc, au sein de vos entreprises, vous avez sûrement des serveurs
Debian géographiquement éloignés :
oui
Comment vous y connectez-vous ? :
via ssh
Directement en root ? :
non
Via un compte "de service" (générique et utilisé par plusieurs
personnes) ? :
non, un user "normal" (adduser ...)
Avec un identifiant personnalisé ? :
d'un user.
Dans ces 2 derniers cas, quand vous devez passer root, vous fournissez
un mot de passe. Comment ceux-ci sont-ils gérés ? :
une fois loggué en user => root
Et quand une personne change de service (ou quitte l'entreprise),
avez-vous des mesures spécifiques quant aux mots de passe connus ?
Aux clés SSH en sa possession ? David :
Mettre un autre port que le 22 (par défaut).
Modifier les mots de passe user
et root si la personne qui est partie le connaissait.
Si clés SSH, évidemment les modifier.
Pas facile lors d'un départ conflictuel d'un admin-système,
et si des dizaines de personnes se logguent aux serveurs.
(modification de toutes les clés sur les postes clients)
André
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/201209281803.57197.andre_debian@numericable.fr
On Friday 28 September 2012 11:21:04 David BERCOT wrote:
Donc, au sein de vos entreprises, vous avez sûrement des serveurs Debian géographiquement éloignés :
oui
Comment vous y connectez-vous ? :
via ssh
Directement en root ? :
non
Via un compte "de service" (générique et utilisé par plusieurs
personnes) ? : non, un user "normal" (adduser ...)
Avec un identifiant personnalisé ? :
d'un user.
Dans ces 2 derniers cas, quand vous devez passer root, vous fournissez un mot de passe. Comment ceux-ci sont-ils gérés ? :
une fois loggué en user => root
Et quand une personne change de service (ou quitte l'entreprise), avez-vous des mesures spécifiques quant aux mots de passe connus ? Aux clés SSH en sa possession ? David :
Mettre un autre port que le 22 (par défaut).
Modifier les mots de passe user et root si la personne qui est partie le connaissait. Si clés SSH, évidemment les modifier.
Pas facile lors d'un départ conflictuel d'un admin-système, et si des dizaines de personnes se logguent aux serveurs. (modification de toutes les clés sur les postes clients)
André
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
