Discussion :

[KorWipe]

Bonjour,

dans un cadre professionel, j'ai besoin de faire travailler plusieurs développeurs sur plusieurs serveurs/VMs Linux. Chaque développeur devant avoir les droits sudo pour permettre l'installation/configuration/déploiement de pas mal de choses.

Quelles sont les bonnes pratiques que vous avez-pu mettre en place pour gérer cette problèmatique ?
Est-ce que vous avez mis en place une gestion communes des comptes à tous les serveurs ? Si oui, comment ?

Merci.

[Flodelarab]

Bonjour

Une bonne pratique (la meilleure) serait de lister les utilisateurs et les actions; puis remplir le fichier sudoers en indiquant ce que chacun a le droit de faire. Excluant tout le reste.
Sinon, sudo devient la porte d'entrée à toutes les catastrophes et il ne sert plus à rien de mettre des droits restreints aux utilisateurs normaux.

Pour la gestion, tu peux définir des groupes, plutôt que des utilisateurs uniques. Et ajouter tes utilisateurs à ce groupe.

[disedorgue]

Bonjour,

Déjà, la question de base: pour quel contrainte est-ce que les développeurs ont-ils besoin de sudo ?

Ils travaillent sur le noyaux linux ou un composant qui doit être obligatoirement sous root ?

Ou bien le sudo c'est pour un passage à un autre utilisateur que root ?

On peut souvent se passer de commande comme sudo...

[KorWipe]

Les devs doivent pouvoir notamment :

• administrer des webapps via Tomcat
• administrer quelques BDs
• créer/modifier des crons
• gérer la stabilité de la machine durant mon absence au cas ou

Je vois pas comment faire sans les droits sudo sans que cela devienne contre-productif. J'ai faux ?

[disedorgue]

webapps et bdd, je n'en vois pas trop l'utilité, mais tu as peut-être des contraintes...
cron => ok si c'est des cron sous root (après est-ce vraiment utiles sous root...)
Et la plus vague où l'on peut tout mettre c'est bien gérer la stabilité de la machine...

Peux-tu détailler plus, voir exhaustivement, toutes les actions pour chaque cas que tu cites ?

Je sais, je fais le ch.... de service, mais en même temps, si tu peux fournir celles-ci, ça te donneras aussi les clés de comment configurés tes entrées sudoers histoire d'éviter d'être trop permissif

[KorWipe]

OK, merci pour le retour.
Ca va pas être simple mais tu as raison, je vais tacher de lister tout ca.