Bonjour,
je n'ai pas vu le mail d'origine du fil, mais sudo peut éviter d'avoir deux
comptes en uid 0, en donnant à un utilisateur normal le droit d'executer
uniquement ce dont il a besoin avec l'uid que tu souhaites (on peut meme
n'autoriser que certains arguments, et ne pas autoriser l'usage généralisé
d'une commande).
MATT

> -----Message d'origine-----
> De : Gabriel Moreau [mailto:Gabriel.Moreau@hmg.inpg.fr]
> Envoyé : vendredi 15 septembre 2006 10:46
> À : rixed
> Cc : debian-user-french@lists.debian.org
> Objet : Re: Deux comptes root, rssh se melange les pieds
>
>
>
> > Pourquoi ne pas utiliser les groupes pour donner à
> plusieurs personnes
> > différentes des droits communs ? Il me semble que ça sert à
> ça, non ?
>
> Pour faire de la sauvegarde par rsync en conservant tous les
> droits sur
> les fichiers, il faut utiliser à ma connaissance le compte
> root avec un
> accès par ssh. On pourrait peut être avec les acl étendus rajoutés un
> groupe qui aurai les droits de lecture sur tous les fichiers, je n'ai
> pas testé cela sur la partition / et /etc. A voir.
>
> Pour sécuriser un peu cette architecture, l'idéal est donc pour le
> moment d'avoir un second compte root (généralement, on prend
> toor dans
> les exemples) qui a aussi l'uid à 0 mais qui a un shell restreint
> permettant par exemple la seule commande rsync.
>
> L'avantage est que le compte root peut etre interdit dans ssh
> (DenyUser)
> mais celui de toor autorisé (PermitRootLogin et AllowUser). Si par
> ailleurs, tu donnes un nom tordu au compte toor, tu élimines
> par mal de
> bot ssh.
>
> S'il y a une (ou des) autre solution, je suis preneur.
>
> gaby
> --
> Gabriel Moreau - IR CNRS
> LEGI - Laboratoire des Ecoulements Geophysiques et Industriels
> BP53, 38041 Grenoble Cedex, France http://www.legi.hmg.inpg.fr
> mailto:Gabriel.Moreau@hmg.inpg.fr tel:+33.476.825.015 fax:++.271
>
>
> --
> Lisez la FAQ de la liste avant de poser une question :
> http://wiki.debian.net/?DebianFrench
> Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
> "Reply-To:"
>
> To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
>

> je n'ai pas vu le mail d'origine du fil, mais sudo peut éviter d'avoir deux
> comptes en uid 0, en donnant à un utilisateur normal le droit d'executer
> uniquement ce dont il a besoin avec l'uid que tu souhaites (on peut meme
> n'autoriser que certains arguments, et ne pas autoriser l'usage généralisé
> d'une commande).

Le problème est ici d'utiliser rsync à distance via ssh... Donc on peut
utiliser une clef ssh avec la commande :

sudo rsync -server -patati ....

Le problème est de faire du rsync avec pas mal de dossier (c'est pour
faire de la sauvegarde), il faudrait donc avoir pas mal de clef ssh...
Bref, cette méthode devient un peu une usine à gaz.

Ou alors, il faut lancer une commande lié à la clef qui récupère la
commande initiale (donc les arguments de rsync) et la lance avec un sudo
devant.

Bref, il y a effectivement plusieurs voies possibles. Ensuite, faut voir
la mise en place de tout cela sur un parc d'une vingtaine de machine ;-)

gaby
--
Gabriel Moreau - IR CNRS
LEGI - Laboratoire des Ecoulements Geophysiques et Industriels
BP53, 38041 Grenoble Cedex, France http://www.legi.hmg.inpg.fr
mailto:Gabriel.Moreau@hmg.inpg.fr tel:+33.476.825.015 fax:++.271


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

> je n'ai pas vu le mail d'origine du fil, mais sudo peut éviter d'avoir deux
> comptes en uid 0, en donnant à un utilisateur normal le droit d'executer
> uniquement ce dont il a besoin avec l'uid que tu souhaites (on peut meme
> n'autoriser que certains arguments, et ne pas autoriser l'usage généralisé
> d'une commande).

Le problème est ici d'utiliser rsync à distance via ssh... Donc on peut
utiliser une clef ssh avec la commande :

sudo rsync -server -patati ....

Le problème est de faire du rsync avec pas mal de dossier (c'est pour
faire de la sauvegarde), il faudrait donc avoir pas mal de clef ssh...
Bref, cette méthode devient un peu une usine à gaz.

Ou alors, il faut lancer une commande lié à la clef qui récupère la
commande initiale (donc les arguments de rsync) et la lance avec un sudo
devant.

Bref, il y a effectivement plusieurs voies possibles. Ensuite, faut voir
la mise en place de tout cela sur un parc d'une vingtaine de machine ;-)

gaby
--
Gabriel Moreau - IR CNRS
LEGI - Laboratoire des Ecoulements Geophysiques et Industriels
BP53, 38041 Grenoble Cedex, France http://www.legi.hmg.inpg.fr
mailto:Gabriel.Moreau@hmg.inpg.fr tel:+33.476.825.015 fax:++.271


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Gabriel Moreau a écrit :
> Le problème est ici d'utiliser rsync à distance via ssh... Donc on peut
> utiliser une clef ssh avec la commande :
>
> sudo rsync -server -patati ....

Je ne comprend pas bien le pb ... si tu as un utilisateur foo qui a le
droit de lancer rsync, tu n'utilises que cet utilisateur pour faire tes
sauvegardes.

Gabriel Moreau a écrit :
> Le problème est ici d'utiliser rsync à distance via ssh... Donc on peut
> utiliser une clef ssh avec la commande :
>
> sudo rsync -server -patati ....

Je ne comprend pas bien le pb ... si tu as un utilisateur foo qui a le
droit de lancer rsync, tu n'utilises que cet utilisateur pour faire tes
sauvegardes.

> Je ne comprend pas bien le pb ... si tu as un utilisateur foo qui a le
> droit de lancer rsync, tu n'utilises que cet utilisateur pour faire tes
> sauvegardes.

Ben non, parce que foo n'a pas le droit de lire tous les fichiers ! Par
exemple, il ne peux pas lire les clefs privé du serveur ssh.

L'objectif est d'avoir un serveur de backup qui puisse lire les fichiers
sur les autres postes mais pas plus au cas où mon serveur de backup
serait compromis.

gaby
--
Gabriel Moreau - IR CNRS
LEGI - Laboratoire des Ecoulements Geophysiques et Industriels
BP53, 38041 Grenoble Cedex, France http://www.legi.hmg.inpg.fr
mailto:Gabriel.Moreau@hmg.inpg.fr tel:+33.476.825.015 fax:++.271


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

> Je ne comprend pas bien le pb ... si tu as un utilisateur foo qui a le
> droit de lancer rsync, tu n'utilises que cet utilisateur pour faire tes
> sauvegardes.

Ben non, parce que foo n'a pas le droit de lire tous les fichiers ! Par
exemple, il ne peux pas lire les clefs privé du serveur ssh.

L'objectif est d'avoir un serveur de backup qui puisse lire les fichiers
sur les autres postes mais pas plus au cas où mon serveur de backup
serait compromis.

gaby
--
Gabriel Moreau - IR CNRS
LEGI - Laboratoire des Ecoulements Geophysiques et Industriels
BP53, 38041 Grenoble Cedex, France http://www.legi.hmg.inpg.fr
mailto:Gabriel.Moreau@hmg.inpg.fr tel:+33.476.825.015 fax:++.271


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org