Re: Gestion changements de password root multi-serveurs
Le 24/06/15 à 11:40, Sébastien NOBILI <sebnewsletter@free.fr> a écrit :
SN> Bonjour,
SN>
SN> Le mardi 23 juin 2015 à 17:03, Daniel Caillibaud a écrit :
SN> > Par ex, pour autoriser seulement certaines commandes prédéfinies pour le user foo, dans
SN> > son ~/.ssh/authorized_keys on peut mettre
SN> >
SN> > command="/path/to/shell-foo.sh" ...la clé...
SN>
SN> J'en profite pour une remarque au passage, si l'utilisateur est amené à éditer
SN> des fichiers et qu'on le restreint à l'utilisation de VI, alors on introduit une
SN> énorme faille puisque VI est capable de démarrer un shell. L'utilisateur qu'on
SN> pensait avoir restreint se retrouve avec les pleins pouvoirs.
SN>
SN> Cette remarque s'applique également à sudo.
Je parlais de commande prédéfinies, évidemment pas de truc interactifs, si tu lui donnes accès
à un éditeur en root il peut modifier n'importe quel fichier du serveur (conf ssh ou
syslog comprise), autant lui filer l'accès root directement.
S'il doit modifier un fichier, tu lui créé une commande rsync qui va bien, et il ne pourra
mettre à jour que ce ou ces fichiers (en les éditant chez lui, pas sur le serveur puisqu'il n'a
ni shell ni éditeur).
--
Daniel
L'attente est un ressentiment prémédité.
Reply to: