Re: Plusieurs utilisateurs Root
Le samedi 10 janvier 2009, Cornichon a écrit :
> Yves Rutschle a écrit :
> > On Fri, Jan 09, 2009 at 03:46:50PM +0100, François TOURDE wrote:
> >> A mon avis, il serait préférable de leur donner accès à chacune à leur
> >> zone applicative bien cloisonnée, et garder l'accès root à une seule
> >> personne.
> >
> > Ouaip, et si l'accès root est indispensable, déplacer chaque
> > serveur dans une machine virtuelle, une machine virtuelle
> > par boite.
> >
> > Y.
>
> +1 +1 et encore +1
> accès root partagé = galères à coups sur!
> virtualiser les serveurs au moyen de xen, kvm, vmware ou peut-importe me
> semble bien plus sécurisé ; et crois en mon expérience, tu t'éviteras
> des grandes heures de galère ..
Bonjour,
C'est quoi ces solutions "rouleau compresseur" pour écraser une mouche ?
Le but n'étant >que< de séparer les intervenants, je ne vois pas trop ou
mènent ces suggestions de séparer >aussi< les environnements, mais même dans
ce cas, quitte à séparer les services, pourquoi simuler toute une machine
alors qu'on peut obtenir le niveau de sécurité comparable avec un bête (d|
s)chroot, et éviter ainsi de faire tourner plusieurs noyaux sur un
processeur ?
Personnellement, j'isolerais éventuellement les services dans des chroot, et
je mettrais un compte pour chaque administrateur de service, avec un ssh
chrooté au même endroit que le service que cet intervenant doit administrer,
et avec un lot de commandes sudo autorisées restreint et bien défini pour
chaque intervenant. On peut aussi alors donner accés à des fichiers
particuliers de /etc en les (hard)linkant dans le chroot de l'utilisateur qui
en a besoin, et réserver les opérations dans l'arborescence réelle au seul
compte root général de la machine, qui reste entre les mains du responsable
du matos.
Mais je plussoie sur l'idée que multiplier les comptes en uid 0 est une
hérésie.
++, MATT
Reply to: