Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1350 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Limiter utilisateur aux droits minimums

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Limiter utilisateur aux droits minimums

n°1414930
jhfra
Posté le 20-02-2018 à 13:57:14  profilanswer
 

Hello,
 
Pour me connecter à des serveurs distants, j'ai viré tous les utilisateurs admin et n'ai créé qu'un compte de base. L'authentification se fait par clef privé.
 
Je souhaiterais que cet utilisateur n'ai accès à rien d'autre que su. En gros, je ne souhaiterais me servir de cet utilisateur que pour se connecter à distance sur la machine, une fois connecté, à lui d'acquérir les droits qu'il veut via su.
 
Que me conseilleriez vous de faire ?

mood
Publicité
Posté le 20-02-2018 à 13:57:14  profilanswer
 

n°1414934
Priareos
Gruiiiiiik
Posté le 20-02-2018 à 14:55:46  profilanswer
 

Ça a l'air de demander une modification en profondeur de l'os pour un gain nul, surtout du point de vue de la sécurité que tu sembles chercher. Sur le plan théorique c'est sympa comme problème mais totalement à proscrire en production.
Puisque même le plus basique des utilisateurs a des droits ne serait-ce qu'en lecture dans des répertoires systèmes il va falloir jouer avec ces droits. Peut-être mettre root et tous les deamons dans un groupe qui serait le seul à aller autre part que dans /home.

n°1414935
Athel
Posté le 20-02-2018 à 15:03:09  profilanswer
 

A part le point de vue théorique de la question quel est le but d'une telle méthode ?
 
Quel gain veux tu obtenir par rapport à laisser l'utilisateur s'authentifier par ssh avec le compte "final".
 
Sinon, en déployant l'artillerie lourde, mais sans trop toucher au système, cela doit être faisable avec des politiques RBAC custom. Regarde du coté de selinux/grsecurity (je site les solutions que je connais).

n°1414967
jhfra
Posté le 21-02-2018 à 11:29:56  profilanswer
 

L'idée étant qu'en cas de compromission de sshd (peu probable), l'exploitant se retrouve vraiment cloisonné avec un compte pour lequel il ne peut rien faire.
 
En gros, ce compte et mon point d'entrée unique sur mes serveurs. En retournant la question dans tous les, je pense qu'au final c'est suffisant. Ca n'est peut-être pas utile de jouer avec ACL ou patcher en grsec2 pour renforcer l'ensemble..
 
Au final, vos réponses confirment mon idée initiale (avant ce thread) : laisser ce compte standard et ne rien faire d'autre, c'est suffisant. Du moment qu'il ne peut pas compiler ou éditer quoi que ce soit niveau système, c'est propre.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Limiter utilisateur aux droits minimums

 

Sujets relatifs
[libvirt/KVM/Qemu] dossier partagé et droits d'accèstransmission daemon pb de droits
Problème avec les droits ACL et les groupesNewbie Linux : Installation Dropbox user comment ?
limiter le type de fichier à imprimer avec cupspb de droits [sur cp]
Disque dur usb externe ext4 : droits en écriture pour l'utilisateur ?Probleme utilisateur Samba sous Debian
Plus de sujets relatifs à : Limiter utilisateur aux droits minimums


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR