Gestion changements de password root multi-serveurs
Le
David_dev Dev

--047d7b2e42f2b3242c05192ff24d
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Bonjour,
Comment gérez-vous la mise à jour régulière des mots de=
passe root sur un
ensemble de serveur, avec en option la mise à jour de ces infos dans u=
ne
base KeePass svp ?
La génération des mots de passe est effectuée avec apg.
David
--047d7b2e42f2b3242c05192ff24d
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
<div dir="ltr">Bonjour,<div><br></div><div>Comment gérez-vous la mis=
e à jour régulière des mots de passe root sur un ensemble de=
serveur, avec en option la mise à jour de ces infos dans une base Kee=
Pass svp ?</div><div><br></div><div>La génération des mots de pas=
se est effectuée avec apg.</div><div><br></div><div>David</div></div>
--047d7b2e42f2b3242c05192ff24d--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/CAOOC-XqTaMs1a6==MVBMOijcS=kvOrvr+cgcN1JgXBDQhjxAow@mail.gmail.com
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Bonjour,
Comment gérez-vous la mise à jour régulière des mots de=
passe root sur un
ensemble de serveur, avec en option la mise à jour de ces infos dans u=
ne
base KeePass svp ?
La génération des mots de passe est effectuée avec apg.
David
--047d7b2e42f2b3242c05192ff24d
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
<div dir="ltr">Bonjour,<div><br></div><div>Comment gérez-vous la mis=
e à jour régulière des mots de passe root sur un ensemble de=
serveur, avec en option la mise à jour de ces infos dans une base Kee=
Pass svp ?</div><div><br></div><div>La génération des mots de pas=
se est effectuée avec apg.</div><div><br></div><div>David</div></div>
--047d7b2e42f2b3242c05192ff24d--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/CAOOC-XqTaMs1a6==MVBMOijcS=kvOrvr+cgcN1JgXBDQhjxAow@mail.gmail.com
On utilise sudo :)
Et des mots de passe root très forts, jamais utilisés. Genre jamais.
Sinon, je ne sais pas :)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Mais du coup vous ne les mettez jamais à jour ?
Ce qui ne réponds pas aux questions :)
Ma première idée est d'avoir un script qui va se connecter sur to us les
serveurs avec un compte qui a sudo pour changer le mot de passe qu'on a
pré-généré.
Ca, ça sera pas trop compliqué à mettre en place je crois, y a un noeud
d'admin qui a ces accès, et le script ne doit pas être trop tordu à faire.
Mais il y a peut-être mieux ou plus simple.
Et surtout, après c'est la partie KeePass qui m'embête, car vraim ent pas
envie de mettre à jour plusieurs dizaines de mots de passes à la main :)
Surtout qu'on va avoir les compte root dans mysql à faire aussi ensuit e,
aussi dans un KeePass
Le 23 juin 2015 16:29, gagou9
--047d7b2e42f20fedb10519312465
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
<span class=""><br>
<br>
> Comment gérez-vous la mise à jour régulière des mo ts de passe root sur un<br>
> ensemble de serveur, avec en option la mise à jour de ces infos d ans une<br>
> base KeePass svp ?<br>
<br>
</span>On utilise sudo :)<br>
Et des mots de passe root très forts, jamais utilisés. Genre jama is.<br>
<br>
<br>
Sinon, je ne sais pas :)<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe "<br>
vers En cas de soucis, contactez EN ANGLAIS Archive: <br>
</font></span></blockquote></div><br></div>
--047d7b2e42f20fedb10519312465--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/CAOOC-Xo6TQWJRQt0q+Zj-xUr8N3qGr4e=
Non. Mais je ne suis pas admin, c'est pour de la prod perso, les risques
d'attaques sont quand-même plutôt limités.
Le déploiement automatique de mot de passe c'est compliqué… Soit tu gardes en
mémoire (RAM ou fichier) le mot de passe le temps du déploiement mais c'est pas
idéal niveau sécurité, soit tu le gardes dans ta tête et tu devras le saisir
pour chaque système…
Que cherches-tu à protéger au juste ?
Si c'est des accès SSH, tu peux utiliser des clés.
Sébastien
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Le 23/06/2015 17:52, Sébastien NOBILI a écrit :
et mettre dans le sshd_config:
[...]
PermitRootLogin without-password
[...]
Ce qui va autoriser que l'accès par clés pour root.
--
Guillaume
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
G> Hello,
G>
G>
G> > Comment gérez-vous la mise à jour régulière des mots de passe root sur un
G> > ensemble de serveur, avec en option la mise à jour de ces infos dans une
G> > base KeePass svp ?
G>
G> On utilise sudo :)
G> Et des mots de passe root très forts, jamais utilisés. Genre jamais.
Le meilleur moyen de ne pas avoir de mot de passe à gérer, c'est de ne pas en avoir du
tout, clés ssh seulement !
--
Daniel
Quand le moi est haïssable, aimer son prochain
comme soi même devient une atroce ironie.
Paul Valéry.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
On est obligé d'avoir un mot de passe pour tout user et root.
Donc interdire l'accès root direct par mot de passe sauf avec clés.
André
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Vous ne mettez pas de passphrase à vos clés ?
--
Guillaume
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Je me suis un peu trompé, on peut ne pas mettre de mot de passe,
via le fichier "/etc/shadow", mais c'est prendre un risque...
Justement, utilises le login root direct via clés,
son mot de passe n'est donc plus tapé.
Plus la peine de le changer, sinon très rarement.
En général, seule UNE personne doit connaitre le MdP root.
André
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
En théorie le mot de passe de root devrait être au coffre et chaque
admin devrait se connecter avec sn compte personnel, via claf et
utiliser un outil comme sudo ou calife.
En théorie...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
AF> On Tuesday 23 June 2015 21:25:51 Erwan David wrote:
AF> > Le 23/06/2015 21:09, a écrit :
AF> > > On Tuesday 23 June 2015 18:34:12 Daniel Caillibaud wrote:
AF> > >> Le meilleur moyen de ne pas avoir de mot de passe à gérer, c'e st de ne
AF> > >> pas en avoir du tout, clés ssh seulement !
AF> > >> Daniel
AF>
AF> > > On est obligé d'avoir un mot de passe pour tout user et root :
AF>
AF> Je me suis un peu trompé, on peut ne pas mettre de mot de passe,
AF> via le fichier "/etc/shadow", mais c'est prendre un risque...
Lequel ?
Je parlais bien de ne pas mettre de mot de passe (option --disabled-passwor d de adduser), pas
de mettre un mot de passe vide.
Ça interdit la connexion par mot de passe, je vois pas en quoi ça pourr ait représenter un
risque.
--
Daniel
Le mois de l'année où le politicien dit
le moins de conneries c'est le mois de février...
car il n'y a que 28 jours.
Coluche
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/