Re: su, gksu, sudo... et le trousseau de clés...
Daniel C a écrit :
> Stephane Bortzmeyer wrote:
>
>> On Wed, Aug 03, 2005 at 02:27:04PM +0200,
>> Daniel C <ml@editionsdidier.com> wrote
>
>
>>> Et si qqun a ton mot de passe, il est root d'office.
>>
>>
>> Les gens protègent mieux un secret personnel qu'un pseudo-secret
>> partagé (oui, ce n'est pas de la technique, mais c'est normal, la
>> sécurité, c'est 10 % de technique et 90 % de psychologie).
>
>
> Oui mais les mots de passe des users "ordinaires" servent aussi pour
> du ftp, du pop, et plein de trucs ou le pass se promène en clair...
Quand on dit user "ordinaire" j'entend "user non root", mais je crois
que dans ce cas precis il faut restreindre à "user non root et averti" !
Y'en a qui donne des droit root a des users "ordinaires non averti" ? si
c'est pas un user "ordinaires" il laissera tombé les protocol en clair
et utiliser les equivalent crypté!
Ou bien par ex. tenir deux comptes, un avec shell (ssh,sudo,pour
administrer) et l'autre sans shell (pop, ftp, etc)!
Je crois d'ailleurs que tout compte pop/ftp "clair" ne doit pas posseder
de shell donc pas de su ni sudo d'ailleurs pour ces comptes.
---
mzongo
>> Et, avec sudo, on a la traçabilité, on sait qui est responsable de
>> quoi.
>
>
> Avec su aussi, mais de toutes façon, une fois root, c'est facile de
> supprimer les traces (à moins d'un syslog distant).
>
>> Moi, je n'embaucherai pas quelqu'un qui utilise su sur une machine de
>> prod' :-)
>
>
> Heureusement qu t'es pas mon patron ;-) (mais je suis pas vraiment
> embauché pour ça, c'est juste un truc en prime du reste).
>
> Daniel
>
>
Reply to: