Comment gerer intelligemment les privilèges?

MiaowZedong · 31/12/2011, 12h18

J'ai une confession à faire: j'abuse du sudo. Je passe toujours par un utilisateur inscrit au sudoers file, et je passe en ligne de commande pour faire du sudo au moindre contretemps. Je n'ai jamais encore provoqué une catastrophe mais comme, je pense, beaucoup d'entre vous, je n'utilise pas d'antivirus dans mes environnements Linux; donc le jour où j'execute un virus compatible Linux en mode sudo, je serais mal.

Du coup, je serais interessé de savoir comment les utilisateurs plus experimentés de Linux gerent les privilèges utilisateurs, pour éviter justement de faire les choses avec plus de droits que nécessaire.

frp31 · 31/12/2011, 17h56

personnelement je fais comme ça :

root : normal
toor : un membre du groupe root (lui seul à droit de faire un sudo)

tous les autres utilisateurs sont des utilisateurs normaux

ensuite j'utilises systématiquement les droits avancés comme le
suid bit
guid bit
sticky bit
j'utilises pour chaque profil utilisateur une umask y compris pour root & toor

j'ajoute les utilisateurs aux groupes dédiés au droits spéciaux comme l'accès au CDROMs ou aux réseaux, ou a certains autres services...

un utilisateur dans le groupe CDROM aura par exemple le droit de faire un mount, mais les autres non....

après sur les machines serveurs à partages d'accès je JAIL tous les utilisateurs chaque utilisateur est chrooté à son seul /home
et en prime avec quotas, & parfois même une partition dédié par utilisateur cryptée....

quand c'est nécéssaire....

mais bon là ça frise la paranoia ... mais bon chacun sait que la paranoia nous sauvera...

MiaowZedong · 02/01/2012, 17h08

Merci de ton post.

Par contre il me semble que c'est plus orienté vers une gestion d'utilisateurs multiples? Parce que dans mon cas, cela concerne mes PC perso, donc changer de compte utilisateur régulierement serait assez lourd.

Tu me donnes quand même un bon tuyeau avec le SUID, je pourrais (devrais?) créer un compte qui serait propriétaire de la plupart des programmes que je lance actuellement en sudo, attacher le SUID bit aux programmes puis les lancer depuis un compte moins privilégié.

31/12/2011, 12h18	#1
MiaowZedong Membre Expert Grand Timonier des Chats Inscription : décembre 2011 Messages : 439 Détails du profil Informations professionnelles : Activité : Grand Timonier des Chats Informations forums : Inscription : décembre 2011 Messages : 439 Points : 1 340 Points : 1 340	Comment gerer intelligemment les privilèges? J'ai une confession à faire: j'abuse du sudo. Je passe toujours par un utilisateur inscrit au sudoers file, et je passe en ligne de commande pour faire du sudo au moindre contretemps. Je n'ai jamais encore provoqué une catastrophe mais comme, je pense, beaucoup d'entre vous, je n'utilise pas d'antivirus dans mes environnements Linux; donc le jour où j'execute un virus compatible Linux en mode sudo, je serais mal. Du coup, je serais interessé de savoir comment les utilisateurs plus experimentés de Linux gerent les privilèges utilisateurs, pour éviter justement de faire les choses avec plus de droits que nécessaire.
	00

31/12/2011, 17h56	#2
frp31 Expert Confirmé Sénior francois Ingénieur systèmes et réseaux Inscription : juillet 2006 Messages : 3 538 Détails du profil Informations personnelles : Nom : francois Âge : 35 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : juillet 2006 Messages : 3 538 Points : 7 754 Points : 7 754	personnelement je fais comme ça : root : normal toor : un membre du groupe root (lui seul à droit de faire un sudo) tous les autres utilisateurs sont des utilisateurs normaux ensuite j'utilises systématiquement les droits avancés comme le suid bit guid bit sticky bit j'utilises pour chaque profil utilisateur une umask y compris pour root & toor j'ajoute les utilisateurs aux groupes dédiés au droits spéciaux comme l'accès au CDROMs ou aux réseaux, ou a certains autres services... un utilisateur dans le groupe CDROM aura par exemple le droit de faire un mount, mais les autres non.... après sur les machines serveurs à partages d'accès je JAIL tous les utilisateurs chaque utilisateur est chrooté à son seul /home et en prime avec quotas, & parfois même une partition dédié par utilisateur cryptée.... quand c'est nécéssaire.... mais bon là ça frise la paranoia ... mais bon chacun sait que la paranoia nous sauvera... __________________ Communauté OpenBSD francophone Communauté de collectionneur d'ordinateurs antiques
	10

02/01/2012, 17h08	#3
MiaowZedong Membre Expert Grand Timonier des Chats Inscription : décembre 2011 Messages : 439 Détails du profil Informations professionnelles : Activité : Grand Timonier des Chats Informations forums : Inscription : décembre 2011 Messages : 439 Points : 1 340 Points : 1 340	Merci de ton post. Par contre il me semble que c'est plus orienté vers une gestion d'utilisateurs multiples? Parce que dans mon cas, cela concerne mes PC perso, donc changer de compte utilisateur régulierement serait assez lourd. Tu me donnes quand même un bon tuyeau avec le SUID, je pourrais (devrais?) créer un compte qui serait propriétaire de la plupart des programmes que je lance actuellement en sudo, attacher le SUID bit aux programmes puis les lancer depuis un compte moins privilégié.
	10

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email