Re: Gestion changements de password root multi-serveurs
On Wed, Jun 24, 2015 at 07:50:46PM CEST, Daniel Caillibaud <ml@lairdutemps.org> said:
> Le 24/06/15 à 11:40, Sébastien NOBILI <sebnewsletter@free.fr> a écrit :
>
> SN> Bonjour,
> SN>
> SN> Le mardi 23 juin 2015 à 17:03, Daniel Caillibaud a écrit :
> SN> > Par ex, pour autoriser seulement certaines commandes prédéfinies pour le user foo, dans
> SN> > son ~/.ssh/authorized_keys on peut mettre
> SN> >
> SN> > command="/path/to/shell-foo.sh" ...la clé...
> SN>
> SN> J'en profite pour une remarque au passage, si l'utilisateur est amené à éditer
> SN> des fichiers et qu'on le restreint à l'utilisation de VI, alors on introduit une
> SN> énorme faille puisque VI est capable de démarrer un shell. L'utilisateur qu'on
> SN> pensait avoir restreint se retrouve avec les pleins pouvoirs.
> SN>
> SN> Cette remarque s'applique également à sudo.
>
> Je parlais de commande prédéfinies, évidemment pas de truc interactifs, si tu lui donnes accès
> à un éditeur en root il peut modifier n'importe quel fichier du serveur (conf ssh ou
> syslog comprise), autant lui filer l'accès root directement.
>
> S'il doit modifier un fichier, tu lui créé une commande rsync qui va bien, et il ne pourra
> mettre à jour que ce ou ces fichiers (en les éditant chez lui, pas sur le serveur puisqu'il n'a
> ni shell ni éditeur).
Pas rsync. Tu mets ça dans un VCS (git / hg / bazaar ou autre) et sur
ton serveur tu as une commande qui va chercher la dernière version du fichier.
Comme ça tu as un historique des modifications, en sachant qui a fait quoi et quand.
Reply to: