Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Utilisateur administrateur

hlander10

Bonjour,

Question sécurité, j'ai un utilisateur "monadmin", afin de ne pas utiliser l'utilisateur root.

Je désirs maintenant utiliser les clés ssh, pour ne pas avoir à communiquer le password de l'utilisateur monadmin. Par contre je n'arrive pas à avoir les droits nécessaires avec monadmin, pour ne pas avoir a faire sudo xxxxxxx.

J'ai essayé de mettre monadmin dans le groupe sudo, mais j'ai encore besoin de faire des commandes avec sudo.

Comment faire ?

tiramiseb

Salut,

seul root (*) peut exécuter des commandes système sans utiliser sudo.

afin de ne pas utiliser l'utilisateur root

Pourquoi ne pas utiliser l'utilisateur root ?
En quoi ça pose un problème, pour administrer un système ?
C'est dans quel cadre ?

Et s'il était possible de donner les droits à d'autres utilisateurs sans sudo, quelle différence ça ferait avec root ?

j'ai encore besoin de faire des commandes avec sudo

Et quel est le problème, avec sudo ?

(*) plus précisément, l'utilisateur ayant l'UID 0, le nom "root" est juste une convention.

hlander10

Précision, cette machine ou ces machines, sont de VM distante.

Je pensais qu'il fallait ne pas permettre a root de se connecter en ssh. Et je n'ai même pas défini de mot de passe pour cette utilisateur.

Le problème de sudo c'est qu'il me demande le mot de passe de l'utilisateur.

Je m'explique 3 personnes font l'admin des machines, et je ne souhaiterais pas communiquer le password, mais mettre en place de clé ssh, donce j'aimerais qu'une fois connecté avec leur clé ssh, il n'ai pas à donnée le pwd.

Si l'un part de la société je désactive sa clé ssh et le tour est joué.

tiramiseb

Je pensais qu'il fallait ne pas permettre a root de se connecter en ssh.

Ça ne pose pas plus de problème qu'avec un autre utilisateur.
C'est un mythe de la part de gens qui croient sécuriser leur ordinateur alors que ça n'apporte pas grand chose.
C'est un problème uniquement si le mot de passe de root est facilement cassable.

Et je n'ai même pas défini de mot de passe pour cette utilisateur.

C'est très bien.
Moi je te propose de mettre des clés SSH directement à l'utilisateur root.

je ne souhaiterais pas communiquer le password
Si l'un part de la société je désactive sa clé ssh et le tour est joué.

C'est une très très bonne approche. C'est ce que je fais quand je suis dans cette situation. Avec l'utilisateur root.

hlander10

ok merci pour votre retour, je vais faire la même chose je penses

Lork Scorguar

Il est tout a fait possible d'utiliser la commande sudo sans avoir de mot de passe à taper.
Il faut modifier le fichiers sudoers pour cela et remplacer la ligne %sudo ALL=(ALL) ALL par %sudo ALL=(ALL) NOPASSWD: ALL

tiramiseb

Lork Scorguar: oui mais cette méthode n'est pas plus sécurisée que de se connecter directement en root. Par contre, elle est plus contraignante pour les utilisateurs.

Lork Scorguar

Elle est plus contaignante car il faut taper le sudo, mais bien plus sécurisante, car on peut gérer les droits des sudoers pour éventuellement limiter leurs actions.
Il faut toujours garder un accès fiable à la machine. Car si on laisse les utilisateurs en root, il suffit à l'un d'eux de changer la clef ssh, changer le mot de passe ou n'importe qu'elle autre connerie pour rendre la machine inutilisable. root doit rester intact, enfin c'est mon avis.

tiramiseb

Oui mais si c'est pour que des personnes puissent administrer la machine dans son ensemble, ta réflexion tombe à l'eau.

Par exemple chez un de mes ex-employeurs, on était une équipe de 5 personnes à administrer quelques centaines de machines, avec chacun sa clé SSH sur le compte root de toutes les machines.
Il eut été aberrant d'utiliser sudo alors que nous avions besoin d'accéder à l'ensemble des machines.

Bien sûr, si l'objectif est de donner des accès limités à certaines commandes uniquement, alors ton approche est tout à fait adaptée. Mais d'après ce qu'a dit hlander10, ce n'est pas ce qu'il souhaite.