Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

RE: Deux comptes root, rssh se melange les pieds

2 réponses
Avatar
Mathieu JANIN
Bonjour,
je n'ai pas vu le mail d'origine du fil, mais sudo peut =E9viter =
d'avoir deux
comptes en uid 0, en donnant =E0 un utilisateur normal le droit =
d'executer
uniquement ce dont il a besoin avec l'uid que tu souhaites (on peut =
meme
n'autoriser que certains arguments, et ne pas autoriser l'usage =
g=E9n=E9ralis=E9
d'une commande).
MATT

> -----Message d'origine-----
> De : Gabriel Moreau [mailto:Gabriel.Moreau@hmg.inpg.fr]
> Envoy=E9 : vendredi 15 septembre 2006 10:46
> =C0 : rixed
> Cc : debian-user-french@lists.debian.org
> Objet : Re: Deux comptes root, rssh se melange les pieds
>=20
>=20
>=20
> > Pourquoi ne pas utiliser les groupes pour donner =E0=20
> plusieurs personnes
> > diff=E9rentes des droits communs ? Il me semble que =E7a sert =E0=20
> =E7a, non ?
>=20
> Pour faire de la sauvegarde par rsync en conservant tous les=20
> droits sur=20
> les fichiers, il faut utiliser =E0 ma connaissance le compte=20
> root avec un=20
> acc=E8s par ssh. On pourrait peut =EAtre avec les acl =E9tendus =
rajout=E9s un=20
> groupe qui aurai les droits de lecture sur tous les fichiers, je n'ai =

> pas test=E9 cela sur la partition / et /etc. A voir.
>=20
> Pour s=E9curiser un peu cette architecture, l'id=E9al est donc pour =
le=20
> moment d'avoir un second compte root (g=E9n=E9ralement, on prend=20
> toor dans=20
> les exemples) qui a aussi l'uid =E0 0 mais qui a un shell restreint=20
> permettant par exemple la seule commande rsync.
>=20
> L'avantage est que le compte root peut etre interdit dans ssh=20
> (DenyUser)=20
> mais celui de toor autoris=E9 (PermitRootLogin et AllowUser). Si par=20
> ailleurs, tu donnes un nom tordu au compte toor, tu =E9limines=20
> par mal de=20
> bot ssh.
>=20
> S'il y a une (ou des) autre solution, je suis preneur.
>=20
> gaby
> --=20
> Gabriel Moreau - IR CNRS
> LEGI - Laboratoire des Ecoulements Geophysiques et Industriels
> BP53, 38041 Grenoble Cedex, France http://www.legi.hmg.inpg.fr
> mailto:Gabriel.Moreau@hmg.inpg.fr tel:+33.476.825.015 fax:++.271
>=20
>=20
> --=20
> Lisez la FAQ de la liste avant de poser une question :
> http://wiki.debian.net/?DebianFrench =20
> Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
> "Reply-To:"
>=20
> To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact=20
> listmaster@lists.debian.org
>=20

2 réponses

Avatar
Gabriel Moreau
> je n'ai pas vu le mail d'origine du fil, mais sudo peut éviter d'avoir deux
comptes en uid 0, en donnant à un utilisateur normal le droit d'executer
uniquement ce dont il a besoin avec l'uid que tu souhaites (on peut meme
n'autoriser que certains arguments, et ne pas autoriser l'usage généralisé
d'une commande).



Le problème est ici d'utiliser rsync à distance via ssh... Donc on peut
utiliser une clef ssh avec la commande :

sudo rsync -server -patati ....

Le problème est de faire du rsync avec pas mal de dossier (c'est pour
faire de la sauvegarde), il faudrait donc avoir pas mal de clef ssh...
Bref, cette méthode devient un peu une usine à gaz.

Ou alors, il faut lancer une commande lié à la clef qui récupère la
commande initiale (donc les arguments de rsync) et la lance avec un sudo
devant.

Bref, il y a effectivement plusieurs voies possibles. Ensuite, faut voir
la mise en place de tout cela sur un parc d'une vingtaine de machine ;-)

gaby
--
Gabriel Moreau - IR CNRS
LEGI - Laboratoire des Ecoulements Geophysiques et Industriels
BP53, 38041 Grenoble Cedex, France http://www.legi.hmg.inpg.fr
mailto: tel:+33.476.825.015 fax:++.271


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Gabriel Moreau
> Je ne comprend pas bien le pb ... si tu as un utilisateur foo qui a le
droit de lancer rsync, tu n'utilises que cet utilisateur pour faire tes
sauvegardes.



Ben non, parce que foo n'a pas le droit de lire tous les fichiers ! Par
exemple, il ne peux pas lire les clefs privé du serveur ssh.

L'objectif est d'avoir un serveur de backup qui puisse lire les fichiers
sur les autres postes mais pas plus au cas où mon serveur de backup
serait compromis.

gaby
--
Gabriel Moreau - IR CNRS
LEGI - Laboratoire des Ecoulements Geophysiques et Industriels
BP53, 38041 Grenoble Cedex, France http://www.legi.hmg.inpg.fr
mailto: tel:+33.476.825.015 fax:++.271


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact