On 12/01/2012 14:47, Olivier Lange wrote:
Le 12 janvier 2012 14:45, Nicolas Bercher  a à ©crit :
On 12/01/2012 14:23, wrote:
Le fichier "auth.log" donne des indications mais n'indique pas le num éro
IP du connecté et si la personne est "root" elle peut effacer des lignes
de ce fichier.
Évidemment, si un autre user est root, il peut faire tout et n'imp orte
quoi
sous *nix.
A priori, une personne qui a un accès root est une personne de con fiance,
donc pas besoin
de la fliquer, sinon, autant lui enlever les droits root (changer le mo t
de
passe donc).
Pas d'accord avec toi. Faire confiance ne veut pas dire être con ;) .
Une erreur est si vite arrivée en root, sur un serveur, qu'il faut
parfois savoir qui s'est connecté et quand. Ca ne veut pas dire que tu
n'a pas confiance en lui. C'est juste "au cas ou".
Bien entendu, mais là , il était question de supprimer des ligne s dans
auth.log,
ce qui clairement n'est pas le fruit d'une mauvaise manipulation, mais
plutôt de
choses faites en douce.
Et l'idéla étant de lui révoquer son certificat, plutot q ue de changer
son mot de passe ;)
Je ne connais pas cette manière de faire.  Comment segmenter l' accès à un
même compte
entre plusieurs personnes physiques?
On 12/01/2012 14:47, Olivier Lange wrote:
Le 12 janvier 2012 14:45, Nicolas Bercher<nbercher@yahoo.fr>  a à ©crit :
On 12/01/2012 14:23, ajh.valmer@free.fr wrote:
Le fichier "auth.log" donne des indications mais n'indique pas le num éro
IP du connecté et si la personne est "root" elle peut effacer des lignes
de ce fichier.
Évidemment, si un autre user est root, il peut faire tout et n'imp orte
quoi
sous *nix.
A priori, une personne qui a un accès root est une personne de con fiance,
donc pas besoin
de la fliquer, sinon, autant lui enlever les droits root (changer le mo t
de
passe donc).
Pas d'accord avec toi. Faire confiance ne veut pas dire être con ;) .
Une erreur est si vite arrivée en root, sur un serveur, qu'il faut
parfois savoir qui s'est connecté et quand. Ca ne veut pas dire que tu
n'a pas confiance en lui. C'est juste "au cas ou".
Bien entendu, mais là , il était question de supprimer des ligne s dans
auth.log,
ce qui clairement n'est pas le fruit d'une mauvaise manipulation, mais
plutôt de
choses faites en douce.
Et l'idéla étant de lui révoquer son certificat, plutot q ue de changer
son mot de passe ;)
Je ne connais pas cette manière de faire.  Comment segmenter l' accès à un
même compte
entre plusieurs personnes physiques?
On 12/01/2012 14:47, Olivier Lange wrote:
Le 12 janvier 2012 14:45, Nicolas Bercher  a à ©crit :
On 12/01/2012 14:23, wrote:
Le fichier "auth.log" donne des indications mais n'indique pas le num éro
IP du connecté et si la personne est "root" elle peut effacer des lignes
de ce fichier.
Évidemment, si un autre user est root, il peut faire tout et n'imp orte
quoi
sous *nix.
A priori, une personne qui a un accès root est une personne de con fiance,
donc pas besoin
de la fliquer, sinon, autant lui enlever les droits root (changer le mo t
de
passe donc).
Pas d'accord avec toi. Faire confiance ne veut pas dire être con ;) .
Une erreur est si vite arrivée en root, sur un serveur, qu'il faut
parfois savoir qui s'est connecté et quand. Ca ne veut pas dire que tu
n'a pas confiance en lui. C'est juste "au cas ou".
Bien entendu, mais là , il était question de supprimer des ligne s dans
auth.log,
ce qui clairement n'est pas le fruit d'une mauvaise manipulation, mais
plutôt de
choses faites en douce.
Et l'idéla étant de lui révoquer son certificat, plutot q ue de changer
son mot de passe ;)
Je ne connais pas cette manière de faire.  Comment segmenter l' accès à un
même compte
entre plusieurs personnes physiques?
On est d'accord. C'est aussi pour cette raisons que dans ce cas, il
faut externaliser les logs. Soit par l'envois des infos par email
(comme je l'ai mentionné), soit en logguant sur un serveur externe,
dont personne n'a accès (syslgo-ng le fait aisément).
Dans ce cas de figure, j'utilise les sudoers. Ca évite de donner a
tout le monde le mot de passe route. Je crée 1 user pour chaque
personne devant se connecter, avec le certif qui va avec. Si un
collaborateur quitte l'entreprise, ou autre, je révoque son certificat
sur les serveurs. Bien plus simple et sécure que devoir modifier le
mot de passe root + le redonner.
On est d'accord. C'est aussi pour cette raisons que dans ce cas, il
faut externaliser les logs. Soit par l'envois des infos par email
(comme je l'ai mentionné), soit en logguant sur un serveur externe,
dont personne n'a accès (syslgo-ng le fait aisément).
Dans ce cas de figure, j'utilise les sudoers. Ca évite de donner a
tout le monde le mot de passe route. Je crée 1 user pour chaque
personne devant se connecter, avec le certif qui va avec. Si un
collaborateur quitte l'entreprise, ou autre, je révoque son certificat
sur les serveurs. Bien plus simple et sécure que devoir modifier le
mot de passe root + le redonner.
On est d'accord. C'est aussi pour cette raisons que dans ce cas, il
faut externaliser les logs. Soit par l'envois des infos par email
(comme je l'ai mentionné), soit en logguant sur un serveur externe,
dont personne n'a accès (syslgo-ng le fait aisément).
Dans ce cas de figure, j'utilise les sudoers. Ca évite de donner a
tout le monde le mot de passe route. Je crée 1 user pour chaque
personne devant se connecter, avec le certif qui va avec. Si un
collaborateur quitte l'entreprise, ou autre, je révoque son certificat
sur les serveurs. Bien plus simple et sécure que devoir modifier le
mot de passe root + le redonner.
Dans ce cas de figure, j'utilise les sudoers. Ca évite de donner a
tout le monde le mot de passe route. Je crée 1 user pour chaque
personne devant se connecter, avec le certif qui va avec. Si un
collaborateur quitte l'entreprise, ou autre, je révoque son certifi cat
sur les serveurs. Bien plus simple et sécure que devoir modifier le
mot de passe root + le redonner.
Par certificat, entends-tu clé rsa publique utilisé pour un log in sans
mot de passe?
Dans ce cas de figure, j'utilise les sudoers. Ca évite de donner a
tout le monde le mot de passe route. Je crée 1 user pour chaque
personne devant se connecter, avec le certif qui va avec. Si un
collaborateur quitte l'entreprise, ou autre, je révoque son certifi cat
sur les serveurs. Bien plus simple et sécure que devoir modifier le
mot de passe root + le redonner.
Par certificat, entends-tu clé rsa publique utilisé pour un log in sans
mot de passe?
Dans ce cas de figure, j'utilise les sudoers. Ca évite de donner a
tout le monde le mot de passe route. Je crée 1 user pour chaque
personne devant se connecter, avec le certif qui va avec. Si un
collaborateur quitte l'entreprise, ou autre, je révoque son certifi cat
sur les serveurs. Bien plus simple et sécure que devoir modifier le
mot de passe root + le redonner.
Par certificat, entends-tu clé rsa publique utilisé pour un log in sans
mot de passe?
Le fichier "auth.log" donne des indications mais n'indique pas le numéro
IP du connecté et si la personne est "root" elle peut effacer des lignes
de ce fichier.
Le fichier "auth.log" donne des indications mais n'indique pas le numéro
IP du connecté et si la personne est "root" elle peut effacer des lignes
de ce fichier.
Le fichier "auth.log" donne des indications mais n'indique pas le numéro
IP du connecté et si la personne est "root" elle peut effacer des lignes
de ce fichier.
Le 12 janvier 2012 14:23, a écrit :
> Lors d'une connexion distante à un serveur "ssh" sous Debian,
> je souhaite mémoriser : le numéro IP de l'ordinateur
> de la personne, son nom de compte, la date de la connexion
> et l'enregistrer à chaque fois dans un fichier texte
> par un script.
> Le fichier "auth.log" donne des indications mais n'indique pas le num éro
> IP du connecté et si la personne est "root" elle peut effacer des lignes
> de ce fichier.
Hello, j'utilise ceci, dans mon .bashrc:
echo 'Acces au shell root le ' `date` `who` | mail -s `hostname -f`
Comme ca, je reçois un email a chaque connexion sur la machine. Ca me
sert de log.
Il me reste juste à trouver un moyen d'envoyer la liste des commandes
exécutées durant le shell, de manière transparente
Olivier
Le 12 janvier 2012 14:23, <ajh.valmer@free.fr> a écrit :
> Lors d'une connexion distante à un serveur "ssh" sous Debian,
> je souhaite mémoriser : le numéro IP de l'ordinateur
> de la personne, son nom de compte, la date de la connexion
> et l'enregistrer à chaque fois dans un fichier texte
> par un script.
> Le fichier "auth.log" donne des indications mais n'indique pas le num éro
> IP du connecté et si la personne est "root" elle peut effacer des lignes
> de ce fichier.
Hello, j'utilise ceci, dans mon .bashrc:
echo 'Acces au shell root le ' `date` `who` | mail -s `hostname -f`
olange@visionweb-online.fr
Comme ca, je reçois un email a chaque connexion sur la machine. Ca me
sert de log.
Il me reste juste à trouver un moyen d'envoyer la liste des commandes
exécutées durant le shell, de manière transparente
Olivier
Le 12 janvier 2012 14:23, a écrit :
> Lors d'une connexion distante à un serveur "ssh" sous Debian,
> je souhaite mémoriser : le numéro IP de l'ordinateur
> de la personne, son nom de compte, la date de la connexion
> et l'enregistrer à chaque fois dans un fichier texte
> par un script.
> Le fichier "auth.log" donne des indications mais n'indique pas le num éro
> IP du connecté et si la personne est "root" elle peut effacer des lignes
> de ce fichier.
Hello, j'utilise ceci, dans mon .bashrc:
echo 'Acces au shell root le ' `date` `who` | mail -s `hostname -f`
Comme ca, je reçois un email a chaque connexion sur la machine. Ca me
sert de log.
Il me reste juste à trouver un moyen d'envoyer la liste des commandes
exécutées durant le shell, de manière transparente
Olivier
Le Thursday 12 January 2012 14:39:15, vous avez écrit :Le 12 janvier 2012 14:23, a écrit :Lors d'une connexion distante à un serveur "ssh" sous Debian,
je souhaite mémoriser : le numéro IP de l'ordinateur
de la personne, son nom de compte, la date de la connexion
et l'enregistrer à chaque fois dans un fichier texte
par un script.
Le fichier "auth.log" donne des indications mais n'indique pas le numéro
IP du connecté et si la personne est "root" elle peut effacer des lignes
de ce fichier.
------------------------Hello, j'utilise ceci, dans mon .bashrc:
echo 'Acces au shell root le ' `date` `who` | mail -s `hostname -f`
Comme ca, je reçois un email a chaque connexion sur la machine. Ca me
sert de log.
Il me reste juste à trouver un moyen d'envoyer la liste des commandes
exécutées durant le shell, de manière transparente
Olivier
------------------------------
Merci et à ceux qui m'on répondu.
Je souhaite plutôt mettre l'info de connexion dans un fichier discret
et pour toutes les connexions ssh, root ou non.
Quel est la syntaxe ? :
"echo 'Acces ssh le ' `date` `who` | cat ...>> fichier ... (?)
Si il s'agit du ".bashrc" du compte root, il est visible par un connecté en
root ...
Est-il possible de mettre cette ligne ci-dessus dans un autre fichier ?
AJH
Le Thursday 12 January 2012 14:39:15, vous avez écrit :
Le 12 janvier 2012 14:23,<ajh.valmer@free.fr> a écrit :
Lors d'une connexion distante à un serveur "ssh" sous Debian,
je souhaite mémoriser : le numéro IP de l'ordinateur
de la personne, son nom de compte, la date de la connexion
et l'enregistrer à chaque fois dans un fichier texte
par un script.
Le fichier "auth.log" donne des indications mais n'indique pas le numéro
IP du connecté et si la personne est "root" elle peut effacer des lignes
de ce fichier.
------------------------
Hello, j'utilise ceci, dans mon .bashrc:
echo 'Acces au shell root le ' `date` `who` | mail -s `hostname -f`
olange@visionweb-online.fr
Comme ca, je reçois un email a chaque connexion sur la machine. Ca me
sert de log.
Il me reste juste à trouver un moyen d'envoyer la liste des commandes
exécutées durant le shell, de manière transparente
Olivier
------------------------------
Merci et à ceux qui m'on répondu.
Je souhaite plutôt mettre l'info de connexion dans un fichier discret
et pour toutes les connexions ssh, root ou non.
Quel est la syntaxe ? :
"echo 'Acces ssh le ' `date` `who` | cat ...>> fichier ... (?)
Si il s'agit du ".bashrc" du compte root, il est visible par un connecté en
root ...
Est-il possible de mettre cette ligne ci-dessus dans un autre fichier ?
AJH
Le Thursday 12 January 2012 14:39:15, vous avez écrit :Le 12 janvier 2012 14:23, a écrit :Lors d'une connexion distante à un serveur "ssh" sous Debian,
je souhaite mémoriser : le numéro IP de l'ordinateur
de la personne, son nom de compte, la date de la connexion
et l'enregistrer à chaque fois dans un fichier texte
par un script.
Le fichier "auth.log" donne des indications mais n'indique pas le numéro
IP du connecté et si la personne est "root" elle peut effacer des lignes
de ce fichier.
------------------------Hello, j'utilise ceci, dans mon .bashrc:
echo 'Acces au shell root le ' `date` `who` | mail -s `hostname -f`
Comme ca, je reçois un email a chaque connexion sur la machine. Ca me
sert de log.
Il me reste juste à trouver un moyen d'envoyer la liste des commandes
exécutées durant le shell, de manière transparente
Olivier
------------------------------
Merci et à ceux qui m'on répondu.
Je souhaite plutôt mettre l'info de connexion dans un fichier discret
et pour toutes les connexions ssh, root ou non.
Quel est la syntaxe ? :
"echo 'Acces ssh le ' `date` `who` | cat ...>> fichier ... (?)
Si il s'agit du ".bashrc" du compte root, il est visible par un connecté en
root ...
Est-il possible de mettre cette ligne ci-dessus dans un autre fichier ?
AJH
Le 12/01/2012 19:57, a écrit :
>> Le 12 janvier 2012 14:23, a écrit :
>>> Lors d'une connexion distante à un serveur "ssh" sous Debian,
>>> je souhaite mémoriser : le numéro IP de l'ordinateur
>>> de la personne, son nom de compte, la date de la connexion
>>> et l'enregistrer à chaque fois dans un fichier texte
>>> par un script.
>>> Le fichier "auth.log" donne des indications mais n'indique pas le
>>> numéro IP du connecté et si la personne est "root" elle peu t effacer
>>> des lignes de ce fichier.
>> Hello, j'utilise ceci, dans mon .bashrc:
>> echo 'Acces au shell root le ' `date` `who` | mail -s `hostname -f`
>>
>> Comme ca, je reçois un email a chaque connexion sur la machine. C a me
>> sert de log.
>> Il me reste juste à trouver un moyen d'envoyer la liste des comma ndes
>> exécutées durant le shell, de manière transparente
>> Olivier
> ------------------------------
> Je souhaite plutôt mettre l'info de connexion dans un fichier disc ret
> et pour toutes les connexions ssh, root ou non.
> Quel est la syntaxe ? :
> "echo 'Acces ssh le ' `date` `who` | cat ...>> fichier ... (?)
> Si il s'agit du ".bashrc" du compte root, il est visible par un connect é
> en root ...
> Est-il possible de mettre cette ligne ci-dessus dans un autre fichier ?
Dans ce cas, pourquoi autorises-tu l'accès à root si tu peux in terdire
tout simplement la connexion root par ssh
(une ligne à modifier dans la config ssh du genre AllowRootLogin=F alse) ?
Tu donnes des droits user à certains cas sans aller plus loin, là où se
trouve le dit-fichier qui ne peut ni être modifié.
Mais pour ça, c'est un autre fil !
Linuxement vôtre, David Pinson
Le 12/01/2012 19:57, ajh.valmer@free.fr a écrit :
>> Le 12 janvier 2012 14:23,<ajh.valmer@free.fr> a écrit :
>>> Lors d'une connexion distante à un serveur "ssh" sous Debian,
>>> je souhaite mémoriser : le numéro IP de l'ordinateur
>>> de la personne, son nom de compte, la date de la connexion
>>> et l'enregistrer à chaque fois dans un fichier texte
>>> par un script.
>>> Le fichier "auth.log" donne des indications mais n'indique pas le
>>> numéro IP du connecté et si la personne est "root" elle peu t effacer
>>> des lignes de ce fichier.
>> Hello, j'utilise ceci, dans mon .bashrc:
>> echo 'Acces au shell root le ' `date` `who` | mail -s `hostname -f`
>> olange@visionweb-online.fr
>> Comme ca, je reçois un email a chaque connexion sur la machine. C a me
>> sert de log.
>> Il me reste juste à trouver un moyen d'envoyer la liste des comma ndes
>> exécutées durant le shell, de manière transparente
>> Olivier
> ------------------------------
> Je souhaite plutôt mettre l'info de connexion dans un fichier disc ret
> et pour toutes les connexions ssh, root ou non.
> Quel est la syntaxe ? :
> "echo 'Acces ssh le ' `date` `who` | cat ...>> fichier ... (?)
> Si il s'agit du ".bashrc" du compte root, il est visible par un connect é
> en root ...
> Est-il possible de mettre cette ligne ci-dessus dans un autre fichier ?
Dans ce cas, pourquoi autorises-tu l'accès à root si tu peux in terdire
tout simplement la connexion root par ssh
(une ligne à modifier dans la config ssh du genre AllowRootLogin=F alse) ?
Tu donnes des droits user à certains cas sans aller plus loin, là où se
trouve le dit-fichier qui ne peut ni être modifié.
Mais pour ça, c'est un autre fil !
Linuxement vôtre, David Pinson
Le 12/01/2012 19:57, a écrit :
>> Le 12 janvier 2012 14:23, a écrit :
>>> Lors d'une connexion distante à un serveur "ssh" sous Debian,
>>> je souhaite mémoriser : le numéro IP de l'ordinateur
>>> de la personne, son nom de compte, la date de la connexion
>>> et l'enregistrer à chaque fois dans un fichier texte
>>> par un script.
>>> Le fichier "auth.log" donne des indications mais n'indique pas le
>>> numéro IP du connecté et si la personne est "root" elle peu t effacer
>>> des lignes de ce fichier.
>> Hello, j'utilise ceci, dans mon .bashrc:
>> echo 'Acces au shell root le ' `date` `who` | mail -s `hostname -f`
>>
>> Comme ca, je reçois un email a chaque connexion sur la machine. C a me
>> sert de log.
>> Il me reste juste à trouver un moyen d'envoyer la liste des comma ndes
>> exécutées durant le shell, de manière transparente
>> Olivier
> ------------------------------
> Je souhaite plutôt mettre l'info de connexion dans un fichier disc ret
> et pour toutes les connexions ssh, root ou non.
> Quel est la syntaxe ? :
> "echo 'Acces ssh le ' `date` `who` | cat ...>> fichier ... (?)
> Si il s'agit du ".bashrc" du compte root, il est visible par un connect é
> en root ...
> Est-il possible de mettre cette ligne ci-dessus dans un autre fichier ?
Dans ce cas, pourquoi autorises-tu l'accès à root si tu peux in terdire
tout simplement la connexion root par ssh
(une ligne à modifier dans la config ssh du genre AllowRootLogin=F alse) ?
Tu donnes des droits user à certains cas sans aller plus loin, là où se
trouve le dit-fichier qui ne peut ni être modifié.
Mais pour ça, c'est un autre fil !
Linuxement vôtre, David Pinson
On 12/01/2012 14:23, wrote:
Bonjour,
Lors d'une connexion distante à un serveur "ssh" sous Debian,
je souhaite mémoriser : le numéro IP de l'ordinateur
de la personne, son nom de compte, la date de la connexion
et l'enregistrer à chaque fois dans un fichier texte
par un script.
Le fichier "auth.log" donne des indications mais n'indique pas le num éro
IP du connecté et si la personne est "root" elle peut effacer des lignes
de ce fichier.
Évidemment, si un autre user est root, il peut faire tout et n'impo rte quoi
sous *nix.
A priori, une personne qui a un accès root est une personne de conf iance,
donc pas besoin
de la fliquer, sinon, autant lui enlever les droits root (changer le mot de
passe donc).
On 12/01/2012 14:23, ajh.valmer@free.fr wrote:
Bonjour,
Lors d'une connexion distante à un serveur "ssh" sous Debian,
je souhaite mémoriser : le numéro IP de l'ordinateur
de la personne, son nom de compte, la date de la connexion
et l'enregistrer à chaque fois dans un fichier texte
par un script.
Le fichier "auth.log" donne des indications mais n'indique pas le num éro
IP du connecté et si la personne est "root" elle peut effacer des lignes
de ce fichier.
Évidemment, si un autre user est root, il peut faire tout et n'impo rte quoi
sous *nix.
A priori, une personne qui a un accès root est une personne de conf iance,
donc pas besoin
de la fliquer, sinon, autant lui enlever les droits root (changer le mot de
passe donc).
On 12/01/2012 14:23, wrote:
Bonjour,
Lors d'une connexion distante à un serveur "ssh" sous Debian,
je souhaite mémoriser : le numéro IP de l'ordinateur
de la personne, son nom de compte, la date de la connexion
et l'enregistrer à chaque fois dans un fichier texte
par un script.
Le fichier "auth.log" donne des indications mais n'indique pas le num éro
IP du connecté et si la personne est "root" elle peut effacer des lignes
de ce fichier.
Évidemment, si un autre user est root, il peut faire tout et n'impo rte quoi
sous *nix.
A priori, une personne qui a un accès root est une personne de conf iance,
donc pas besoin
de la fliquer, sinon, autant lui enlever les droits root (changer le mot de
passe donc).
Et si tu prennais le problème autrement, root n'a pas le droit de se
connecter ni en local ni en ssh (password dans une enveloppe dans un
coffre). Pour obtenir les privilèges root, il suffit d'utiliser sudo.
Et si tu prennais le problème autrement, root n'a pas le droit de se
connecter ni en local ni en ssh (password dans une enveloppe dans un
coffre). Pour obtenir les privilèges root, il suffit d'utiliser sudo.
Et si tu prennais le problème autrement, root n'a pas le droit de se
connecter ni en local ni en ssh (password dans une enveloppe dans un
coffre). Pour obtenir les privilèges root, il suffit d'utiliser sudo.
Bien d'accord avec le "AllowRootLoginúlse".
Mais je souhaite savoir qui se connecte au serveur en mode user
puis tente ensuite de se connecter en mode root avec "su".
Bien d'accord avec le "AllowRootLoginúlse".
Mais je souhaite savoir qui se connecte au serveur en mode user
puis tente ensuite de se connecter en mode root avec "su".
Bien d'accord avec le "AllowRootLoginúlse".
Mais je souhaite savoir qui se connecte au serveur en mode user
puis tente ensuite de se connecter en mode root avec "su".
