Discussion :

[n0uri]

Bonjour

j'ai fait quelques recherches mais j'ai pas trouver ce que je cherche exactement,j'ai besoin d'un petit coup de main concernant deux petits sujets:

1- limiter les acces pour des utilisateurs , par exemple il ne peut exécuter que des commandes que je l'ai spécifier ( cat, ls , pwd ...) et l'enlever le droit d"exécution d'autre commande comme chmod par exemple.

2eme sujet: c'est la traçabilité de toutes les commandes exécutées sur la machines genre " history" mais avec plus de détails et archiver pour chaque utilisateur "comme un mouchard pour savoir qui fait quoi"

merci par avance

[Flodelarab]

On voit par là que les volontés dictatoriales se portent bien. Ce que tu cherches à faire n'existe pas. Tu t'es trompé d'OS. Retourne sous Windows.

[gabriel21]

Pour le premier point, c'est possible avec la commande sudo. Par contre le principe est tout est interdit sauf ce qui est expressément autorisé. Donc il te faudra mettre toutes les commandes qui peuvent être faites. Les droits sur les commandes sans sudo seront celle qu'un utilisateur peut faire sur ces fichiers à lui et ceux de son groupe et avec sudo ceux de administrateur.
Par exemple :
sans le sudo, l'utilisateur pourra faire un ls dans un dossier qui lui appartient ainsi qu'un chmod. Par contre si le dossier ne lui appartient pas, il ne pourra pas.
avec le sudo, l'utilisateur pourra le faire si root peut.

Pour le 2eme point, c'est plus délicat. Il existe des outils et il possible de le fair sans, mais cela demande une bonne connaissance des systèmes Linux.

On voit par là que les volontés dictatoriales se portent bien. Ce que tu cherches à faire n'existe pas. Tu t'es trompé d'OS. Retourne sous Windows.

La où je travaille, les deux sont en place par obligation légale. L'accès à certain serveurs doit être nominatif, pas de compte de service, et toutes les commandes doivent être traçable et surtout celle des administrateurs afin de s'assurer.
De plus certains utilisateurs ont des droits étendus pour leur éviter une demande aux administrateurs systèmes pour certaines opérations de maintenance. Tout le monde est content : moins de délai et comme nous savons ceux qu'il font, moins de suspicion en cas de crash lors d'une opération de maintenance.
Et une ancienne boite a du prouver, après un sabotage (un rm -rf / sur une dizaine de serveurs critiques) par un des administrateurs, que celui ci l'avait bien fait pour pouvoir le licencier pour faute lourde.

[Flodelarab]

doivent être

Tout est là. Dans l'expression "doivent être". La croyance de contrôle existe uniquement dans la tête délirante de quelques dictateur en puissance. Mais concrètement, y a rien. Aucune sécurité.

Et une ancienne boite a du prouver, après un sabotage (un rm -rf / sur une dizaine de serveurs critiques) par un des administrateurs, que celui ci l'avait bien fait pour pouvoir le licencier pour faute lourde.

Et ben alors ? Je croyais qu'on pouvais contrôler ce que faisaient les utilisateurs ??? Malgré toutes vos manipulations fascistes, vous n'avez pas réussi à empêcher un sabotage ? En croyant contre-argumenter, tu donnes raison à ce que je dis.

toutes les commandes doivent être traçables

Tu te fais rêver pour pas cher. Les commandes ne sont même pas obligées d'aller dans l'historique (cf OP). alors tracer ... c'est n'importe quoi.
Et quid des exécutables perso de l'utilisateur ? Si j'amène mon "cat" ?
Et quid des compilations de code perso ?
Et quid des scripts perso interprétés par des exécutables autorisés ?

La sécurité que tu décris est un dispositif de pieds nickelés qui n'existe que parce qu'il y a un chèque d'un nullard encore plus incompétent que celui qui met en place la prétendue solution de contrôle. Le jour où il y aura des procès pour incompétence dans les télécoms, ça va valser.
Malheureusement, ça n'arrivera jamais. Vous faîtes semblant de travailler.

[Christophe]

man pam_tty_audit et les mans des outils liés
pour les droits, tu vas te faire chier, car il faut tout interdire, pusi lever les interdictions. Est-ce vraiment pertinent ? Pour des droits plus fins tu peux regarder du cotés des ACL.

[LittleWhite]

Bonjour,

De manière naïve, je ferai un système proche de celui qui est utilisé pour /sbin (ou /usr/sbin). Par exemple, sous Debian par défaut, l'utilisateur de base n'a pas accès à /sbin. Il n'est pas présent dans le PATH et il n'y a pas accès.
En bref, ma méthode serait :

• chaque utilisateur ou groupe aurait un /bin propre à lui (et que lui peut aller l'utiliser et il faut bloquer l'accès à /bin) (possible que certains programmes dépendent d'un programme dans /bin, que vous auriez oublier et donc, ça va mal se passer).
• le PATH est réglé pour ne pointer que sur le /bin propre à l'utilisateur

Après, vous avez des solutions de jail, peut être de conteneur.

Les droits sur les commandes sans sudo seront celle qu'un utilisateur peut faire sur ces fichiers à lui et ceux de son groupe et avec sudo ceux de administrateur.

J'ose croire que l'on peut placer une règle pour interdire absolument tout et ainsi, whitelister les commandes utiles.
Par contre, cela ne bloque pas les commandes de bases, car ça bloque que les commandes réalisées avec sudo, je pense.

[becket]

Salut,

Je suis globalement d'accord avec l'avis de Flodelarab. Ce genre de politique du doigt tendu est contre-productive à plein de niveau mais passons.

Il est évidemment possible de faire ce genre de choses ... avec SELinux par exemple