Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?

To: Liste Debian <debian-user-french@lists.debian.org>
Subject: Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?
From: Pierre Malard <plm@teledetection.fr>
Date: Wed, 6 May 2020 17:42:42 +0200
Message-id: <[🔎] 7D4FD35A-360B-4819-925E-76DD28ACBA4C@teledetection.fr>
In-reply-to: <[🔎] 774bc10f-fd59-de9f-59d2-1fcf212bf4c0@visionduweb.com>
References: <[🔎] 774bc10f-fd59-de9f-59d2-1fcf212bf4c0@visionduweb.com>

Ouahh, que de bonnes questions !

> Le 6 mai 2020 à 17:14, G2PC <g2pc@visionduweb.com> a écrit :
> 
> Comment mettre à jour un fichier appartenant à l'utilisateur root avec
> cron ?
> 
> Bonjour, je cherche à mettre à jour le fichier deny.hosts proposé par
> securityinfo, chaque semaine.
> 
> Je pourrais le faire en utilisant une tache cron, avec l'utilisateur root.
> Je ne sais pas si c'est la meilleur façon de faire, utiliser root pour
> lancer une tache cron, pour télécharger un fichier qui appartiendra à
> root:root par défaut.
> 
> Faudrait t'il utiliser un autre utilisateur, sudoers ?
> 
> Ou encore, un simple utilisateur, avec des droits particuliers pouvant
> écrire ce fichier deny.hosts (qui appartient à root:root par défaut ?
> 
> 
> Comment feriez vous ?
> 
> Au plus simple, utiliser une tâche cron avec l'utilisateur root semble
> rapide et fonctionnel, mais, est ce le plus adapté en ce qui concerne la
> sécurité et les bonnes pratiques ?

Effectivement, il y a des questions à se poser quand on utiliser
l’utilisateur « root ». Mais là, dans ce cas, si je comprends bien
tu cherche à modifier un fichier « système » qui appartient
effectivement à … « root » avec un script que tu lanceras de ce même
serveur à partir d’un appel système géré par … « root » (cron) pour
contraindre les accès à ton serveur.
Donc, dans ce cas précis et si ton script est bien écrit et n’ouvre
pas trop les vannes (umask, droits d’exécution, …) je ne vois aucune
contre-indication à le lancer « root ».
Si tu veux mettre ceinture et bretelles, test dans ton script que
c’est bien le processus de gestion des CRON qui appelle ton script…

Donc, pour résumer, voici ce que je ferais :
- script ayant les droits de root soit par héritage sudo, soit
  directement sur l’ID appelant. Vérification que le père d’appel
  du script est bien « cron ».
- exécution du script dans le /etc/cron.d avec les droits de root

Bonne soirée

--
Pierre Malard

  « Les utopies ne sont souvent que des vérités prématurées »
                                                          Alphonse de Lamartine
   |\      _,,,---,,_
   /,`.-'`'    -.  ;-;;,_
  |,4-  ) )-,_. ,\ (  `'-'
 '---''(_/--'  `-'\_)   πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  ) )-,_. ,\ (  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--

Attachment: signature.asc
Description: Message signed with OpenPGP

Reply to:

Follow-Ups:
- Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?
  - From: G2PC <g2pc@visionduweb.com>

References:
- Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?
  - From: G2PC <g2pc@visionduweb.com>

Prev by Date: Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?
Next by Date: Re: debian testing, kernel 5.6 et nvidia optimus
Previous by thread: Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?
Next by thread: Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?
Index(es):
- Date
- Thread