Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Linux Autres OS Linux Debian Gestion changements de password root multi-serveurs

Gestion changements de password root multi-serveurs

42 réponses
Avatar
David_dev Dev
--047d7b2e42f2b3242c05192ff24d
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour,

Comment g=C3=A9rez-vous la mise =C3=A0 jour r=C3=A9guli=C3=A8re des mots de=
passe root sur un
ensemble de serveur, avec en option la mise =C3=A0 jour de ces infos dans u=
ne
base KeePass svp ?

La g=C3=A9n=C3=A9ration des mots de passe est effectu=C3=A9e avec apg.

David

--047d7b2e42f2b3242c05192ff24d
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<div dir=3D"ltr">Bonjour,<div><br></div><div>Comment g=C3=A9rez-vous la mis=
e =C3=A0 jour r=C3=A9guli=C3=A8re des mots de passe root sur un ensemble de=
serveur, avec en option la mise =C3=A0 jour de ces infos dans une base Kee=
Pass svp ?</div><div><br></div><div>La g=C3=A9n=C3=A9ration des mots de pas=
se est effectu=C3=A9e avec apg.</div><div><br></div><div>David</div></div>

--047d7b2e42f2b3242c05192ff24d--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/CAOOC-XqTaMs1a6==MVBMOijcS=kvOrvr+cgcN1JgXBDQhjxAow@mail.gmail.com
Signaler un problème avec ce contenu

10 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2 3 4 5
Avatar
gagou9
Hello,


Comment gérez-vous la mise à jour régulière des mots de passe root sur un
ensemble de serveur, avec en option la mise à jour de ces infos dans une
base KeePass svp ?



On utilise sudo :)
Et des mots de passe root très forts, jamais utilisés. Genre jamais.


Sinon, je ne sais pas :)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
David_dev Dev
--047d7b2e42f20fedb10519312465
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Mais du coup vous ne les mettez jamais à jour ?
Ce qui ne réponds pas aux questions :)

Ma première idée est d'avoir un script qui va se connecter sur to us les
serveurs avec un compte qui a sudo pour changer le mot de passe qu'on a
pré-généré.
Ca, ça sera pas trop compliqué à mettre en place je crois, y a un noeud
d'admin qui a ces accès, et le script ne doit pas être trop tordu à faire.

Mais il y a peut-être mieux ou plus simple.

Et surtout, après c'est la partie KeePass qui m'embête, car vraim ent pas
envie de mettre à jour plusieurs dizaines de mots de passes à la main :)
Surtout qu'on va avoir les compte root dans mysql à faire aussi ensuit e,
aussi dans un KeePass

Le 23 juin 2015 16:29, gagou9 a écrit :

Hello,


> Comment gérez-vous la mise à jour régulière des mot s de passe root sur un
> ensemble de serveur, avec en option la mise à jour de ces infos da ns une
> base KeePass svp ?

On utilise sudo :)
Et des mots de passe root très forts, jamais utilisés. Genre ja mais.


Sinon, je ne sais pas :)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/





--047d7b2e42f20fedb10519312465
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<div dir="ltr">Mais du coup vous ne les mettez jamais à jour ?<div>C e qui ne réponds pas aux questions :)</div><div><br></div><div>Ma prem ière idée est d&#39;avoir un script qui va se connecter sur tous les serveurs avec un compte qui a sudo pour changer le mot de passe qu&#39; on a pré-généré.</div><div>Ca, ça sera pas trop co mpliqué à mettre en place je crois, ya un noeud d&#39;admin qui a ces accès, et le script ne doit pas être trop tordu à faire .</div><div><br></div><div>Mais il y a peut-être mieux ou plus simple. </div><div><br></div><div>Et surtout, après c&#39;est la partie KeePas s qui m&#39;embête, car vraiment pas envie de mettre à jour plusi eurs dizaines de mots de passes à la main :)</div><div>Surtout qu&#39; on va avoir les compte root dans mysql à faire aussi ensuite, aussi da ns un KeePass</div></div><div class="gmail_extra"><br><div class="gmail _quote">Le 23 juin 2015 16:29, gagou9 <span dir="ltr">&lt;<a href="mail to:" target="_blank"></a>&gt;</span> a écrit :<br><blockquote class="gmail_quote" style="margin:0 0 0 .8e x;border-left:1px #ccc solid;padding-left:1ex">Hello,<br>
<span class=""><br>
<br>
&gt; Comment gérez-vous la mise à jour régulière des mo ts de passe root sur un<br>
&gt; ensemble de serveur, avec en option la mise à jour de ces infos d ans une<br>
&gt; base KeePass svp ?<br>
<br>
</span>On utilise sudo :)<br>
Et des mots de passe root très forts, jamais utilisés. Genre jama is.<br>
<br>
<br>
Sinon, je ne sais pas :)<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" rel="noreferrer" target ="_blank">http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists</a><br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers <a href="mailto:">debian- </a><br>
En cas de soucis, contactez EN ANGLAIS <a href="mailto: ebian.org"></a><br>
Archive: <a href="https://lists.debian.org/" re l="noreferrer" target="_blank">https://lists.debian.org/55896D3A.406080 </a><br>
<br>
</font></span></blockquote></div><br></div>

--047d7b2e42f20fedb10519312465--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/CAOOC-Xo6TQWJRQt0q+Zj-xUr8N3qGr4e=
Avatar
S
Le mardi 23 juin 2015 à 17:35, David_dev Dev a écrit :
Mais du coup vous ne les mettez jamais à jour ?
Ce qui ne réponds pas aux questions :)



Non. Mais je ne suis pas admin, c'est pour de la prod perso, les risques
d'attaques sont quand-même plutôt limités.

Et surtout, après c'est la partie KeePass qui m'embête, car vraiment pas
envie de mettre à jour plusieurs dizaines de mots de passes à la main :)
Surtout qu'on va avoir les compte root dans mysql à faire aussi ensuite,
aussi dans un KeePass



Le déploiement automatique de mot de passe c'est compliqué… Soit tu gardes en
mémoire (RAM ou fichier) le mot de passe le temps du déploiement mais c'est pas
idéal niveau sécurité, soit tu le gardes dans ta tête et tu devras le saisir
pour chaque système…

Mais il y a peut-être mieux ou plus simple.



Que cherches-tu à protéger au juste ?

Si c'est des accès SSH, tu peux utiliser des clés.

Sébastien

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Guillaume
Bonjour,

Le 23/06/2015 17:52, Sébastien NOBILI a écrit :
Si c'est des accès SSH, tu peux utiliser des clés.



et mettre dans le sshd_config:
[...]
PermitRootLogin without-password
[...]

Ce qui va autoriser que l'accès par clés pour root.

--
Guillaume

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Daniel Caillibaud
Le 23/06/15 à 14:29, gagou9 a écrit :

G> Hello,
G>
G>
G> > Comment gérez-vous la mise à jour régulière des mots de passe root sur un
G> > ensemble de serveur, avec en option la mise à jour de ces infos dans une
G> > base KeePass svp ?
G>
G> On utilise sudo :)
G> Et des mots de passe root très forts, jamais utilisés. Genre jamais.

Le meilleur moyen de ne pas avoir de mot de passe à gérer, c'est de ne pas en avoir du
tout, clés ssh seulement !

--
Daniel

Quand le moi est haïssable, aimer son prochain
comme soi même devient une atroce ironie.
Paul Valéry.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
andre_debian
On Tuesday 23 June 2015 18:34:12 Daniel Caillibaud wrote:
Le meilleur moyen de ne pas avoir de mot de passe à gérer, c'est de n e pas
en avoir du tout, clés ssh seulement !
Daniel



On est obligé d'avoir un mot de passe pour tout user et root.

Donc interdire l'accès root direct par mot de passe sauf avec clés.

André

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Guillaume
Le 23/06/2015 18:34, Daniel Caillibaud a écrit :
Le 23/06/15 à 14:29, gagou9 a écrit :

Le meilleur moyen de ne pas avoir de mot de passe à gérer, c'est de ne pas en avoir du
tout, clés ssh seulement !




Vous ne mettez pas de passphrase à vos clés ?

--
Guillaume

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
andre_debian
On Tuesday 23 June 2015 21:25:51 Erwan David wrote:
Le 23/06/2015 21:09, a écrit :
> On Tuesday 23 June 2015 18:34:12 Daniel Caillibaud wrote:
>> Le meilleur moyen de ne pas avoir de mot de passe à gérer, c 'est de ne
>> pas en avoir du tout, clés ssh seulement !
>> Daniel

> On est obligé d'avoir un mot de passe pour tout user et root :



Je me suis un peu trompé, on peut ne pas mettre de mot de passe,
via le fichier "/etc/shadow", mais c'est prendre un risque...

> Donc interdire l'accès root direct par mot de passe sauf avec cl és.
> André

J'ai une politique de sécurité imposée qui me dit "il faut changer les
mots de passe root tous les 6 mois". Je suis donc bien obligé de le
faire. Pour l'instant je passe par un script qui utilise ssh via clef
pour faire un chpasswd sur toutes les machines. J'étudie la possibli té
de le faire via un outil d'administration comme ansible.



Justement, utilises le login root direct via clés,
son mot de passe n'est donc plus tapé.
Plus la peine de le changer, sinon très rarement.
En général, seule UNE personne doit connaitre le MdP root.

André

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Erwan David
Le 23/06/2015 22:13, a écrit :
Justement, utilises le login root direct via clés, son mot de passe
n'est donc plus tapé. Plus la peine de le changer, sinon très
rarement. En général, seule UNE personne doit connaitre le MdP root.
André



En théorie le mot de passe de root devrait être au coffre et chaque
admin devrait se connecter avec sn compte personnel, via claf et
utiliser un outil comme sudo ou calife.

En théorie...



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Daniel Caillibaud
Le 23/06/15 à 22:13, a écrit :

AF> On Tuesday 23 June 2015 21:25:51 Erwan David wrote:
AF> > Le 23/06/2015 21:09, a écrit :
AF> > > On Tuesday 23 June 2015 18:34:12 Daniel Caillibaud wrote:
AF> > >> Le meilleur moyen de ne pas avoir de mot de passe à gérer, c'e st de ne
AF> > >> pas en avoir du tout, clés ssh seulement !
AF> > >> Daniel
AF>
AF> > > On est obligé d'avoir un mot de passe pour tout user et root :
AF>
AF> Je me suis un peu trompé, on peut ne pas mettre de mot de passe,
AF> via le fichier "/etc/shadow", mais c'est prendre un risque...

Lequel ?

Je parlais bien de ne pas mettre de mot de passe (option --disabled-passwor d de adduser), pas
de mettre un mot de passe vide.

Ça interdit la connexion par mot de passe, je vois pas en quoi ça pourr ait représenter un
risque.

--
Daniel

Le mois de l'année où le politicien dit
le moins de conneries c'est le mois de février...
car il n'y a que 28 jours.
Coluche

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
1 2 3 4 5