donc, je veux pas de compte root loggable sous linux. en gros je veux que personne ne se log en root, ni utilise la commande su, comme sous Mac OS ou bsd. ( vous me direz que c'est la meme chose, ouai ouai je sais)
 
un linux rootless quoi.
 
j'ai commenté la ligne root dans shadow, la c'est radical, le root ne peut plus jamais se connecter, meme passwd ne marche plus. mais, y til pas une autre facon de faire plus propre????

 
et ton sys devient inutilisable ensuite si tu as un pb.
 
tu peux désactiver su ( voir d"ésinstaller ) su pour qu'il ne laisse pas passer en root ou seuleme,nt ceux du groupe wheel.
tu peux faire en sorte ke root ne puisse se connecter directement. Mais sans user root tu ne pourra plus faire grand chose ... comme installer des logiciels ou modifier le système ...

T'es sûr de ce que tu fais !?

et pourquoi ? (simple curiosité)

euh commenter la ligne root dans shadow ne suffit pas a empecher quelqu'un (de malintentionné) de se logger en root ...
 
cf bugs kernel et compagnie

J'aimerais avoir un serveur web sans compte utilisateur... J'ai supprimé /etc/passwd et /etc/shadow. Y'a t il un autre moyen plus propre ???
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

hou la vache
le fichier bzImage me prend de la place, je l'ai supprimé

c'est quoi l'intéret sérieux ? il te suffit de mettre un bon mot de passe, empêcher la connexion directe en root par ssh, et voilà ... ton système tient déjà la root, après si tu as des utilisateurs qui veulent perdre leur temps avec su ...

mon système tourne tres bien sans que root puisse se logger. biensur, mon sudoers marche bien aussi. donc, vous pouvez continuer à vous moquer de moi si ca vous chante.
 
l'interet??? je suis sur que les gars de chez apple doivent avoir un discours qui tient, comme ceux qui font du bsd. le mien est que personne ne se loge dessus en root, c'est tout.  
 
parmi les utilisateurs cilbés
le sav
les prestats
les partenaires
les clients
les partenraires des prestas
les admin applicatifs
ca fait du monde. et ils m'inquietent plus que les soidisants "hackers".
biensur, un bon peut se debrouiller autrement...via sudo par exemple. il fera ce qu'il veut meme sans passer root.
donc, s'il y a pas de réponse à ma question, et bien tant pi. merci qd meme pour votre aide

ok : la solution -> ne pas leur donner le mot de passe root

OUPS ... erreur de post

 
j'ai loupé quelque chose ?

Des soluces pour empêcher au root d'accéder au système :
 
- lui interdire l'accès aux consoles :
éditer le fichier /etc/securetty et commenter les lignes relatives à tty
 
- plus de su (bourrin) :
virer la commande su (dans /bin) ou changer son nom

ouai bon, y a erreur de post.
 
au fait, y a abus de langage, c'est pas rootless, puisque le compte root existe, juste qu'il peut pas se loger c'est tout.
 
en effet, on ne donne pas le passe root à n'importe qui...
 
mais l'experience montre qu'un jour ou l'autre, le passe root fini par atterir sur un postit chez un presta étranger, d'un presta espagnole payé par notre presta francais.............
 
ou alors, le sav fini pas l'avoir par le biais de l'admin applicatif, qui l'a grace au client, qui n'est personne d'autre que le frangin de l'admin systeme.... le changement de passe peut résoundre ce probleme, mais l'experience montre qu'il fini par agacer tout le monde, y compris les admins. dans une structure de plus miliers de serveurs et de clients, il faut une politique plus radicale.
 
j'ai pensé à ca... avec sudo... et un script qui fait sudo sans que je tape sudo avant. mon script controle ce que je tape. par exemple, je m'interdi de rebooter une machine distante. ce serait dommage que je reboote le serveur en prod à 500 bornes de mon bureau.  
 
donc, le etrangers devant faire des commandes root, doivent s'adresser à moi impérativement pour que je les declarer dans sudo. une fois que leur boulot terminé, je rechanger sudo et ils ne pourront plus jamais revenir. le changement se fait bien sur grace à un script perl démarré en crontab... il a interet  à se depecher de finir son taf. sil casse le système, je suis CONTRACTUELLEMENT protégé,
 
enfin, c'cest qu'une idée de nubi comme une autre. si vous en avez de meilleures, je les veux bien.

aah bonne idée ca..........
 
je v essayer. merci

Si tu as un serveur tout bien configurer et que tu veux plus jamais  rien mettre à jour à la limite mais le truc qui m'inquiet surtout c'est que si il y a une methode pour enpecher de se logger en root cette methode doit être faites avec les droit admin et donc irréversible

La methode peut etre serais que seul toi connaisse le mot de passe root et les autres admins tu leurs donne des droits supérieurs à des utilisateurs normaux mais pas suffisant pour toucher aux parties que tu juges critiques ou alors à leurs domaine.

C'est sûr, faut savoir ce qu'on fait...
Ce genre de sécurité paranoïaque reste ce qu'il y a de plus efficace, mais au risques et périls de l'admin.

et tu te dis pas que y a quand même besoin du mot de passe root pour administer justement ? c'est parce que les gens a qui tu le donne sont cons comme des manches à balets; qu'il faut pour autant.
 
je pense qu'il faut juste une meilleure organisation humaine, t'auras __toujours__ besoin de te logger en root, même si c'est rarement et brièvement ... maintenant si t'as besoin d'un garde fou parce que t'as peur de taper 'reboot' par hasard, je crois que le problème est ailleurs.
 
je comprends pas, c'est toi l'admin et pourtant d'autre gens ont besoin d'avoir des droits root ou d'exécuter suffisement de chose avec sudo pour que ça soit compliqués ... y a un problème là.
"donc, le etrangers devant faire des commandes root," heink ?

je suis seul sur ma machine mais le seul truc que je fais en root c'est :
apt-get update && apt-get dist-upgrade -u
c'est tout

je met à jour via sudo,  
 
sudo apt-get update && apt-get install machinchoses
 
par exemple. enfin bon. je suis admin oui. mais....... les dev ont besoin des fois de root pour niker un prosses qui merde, le sav  pour voir ifconfig, admin applicatif pour voir la table de routage. je pense leur attribuer des groupes d'acces via sudoers ( tres puissant).  
 
de toute facon, comment ils font les mecs sous BSD ou MAC sans un compte root logable???  
 
c'est une question.

 
sudo

aah ben voila, dans ce cas,
 
sudo apt-get update && apt-get dist-upgrade -u  
 
et voila, tu casse pas grand chose comme ca. de toute facon, sous mac, je m'appercois que.... se loger en root n'est pas util. je me trompte?

;-)
 

 
justement non, des paquets foireux ou la nécessité de configurer le logiciel ont besoin de droits root complet
ça me parait dangeureux de laisser ça comme permission justement
 
 

ça ça arrive une fois par an
 

rien à voir, tout le monde peut voir ifconfig
 

pareil, tout le monde le peux  
 

sous MAC tout est configurable sans rien. sous BSD, on peut se connecter en root sans problème pour les taches classiques (je vois pas de quoi tu parles)

oui mais non. ( trop facil )

utilises sudo et fait un alias.
 
alias ifconfig `sudo /sbin/ifconfig`
 
quand il tape ifconfig en tant qu'utilsateur, cela le lance en tant ke root ( je prends le cas où il le lance sans MDP ).
Avec SUDO et Set-Uid tu devrasi pouvoir faire ce k'il faut.
Mieux, tu peux faire des commandes persos Set-Uid mais ki ne font qu'une chose.
 
 
pour BSD ( et Mac OS X ki est issue de BSD ) le système est fait pour le supporter, pas linux

Ayez un pensé pour les windowsiens qui ont un administrateur sur leur XP qui a autant de droits qu'un utilisateur lambda d'un système  linux.

je vois pas le besoin d'avoir des droits particulier
 

ça doit dépendre des distros et y'a ceux qui ont pas /sbin dans leur path.

A priori lui non plus ne l'as pas.

ben sous redhat, tu as même pas le sbin dans ton path root à la base alors ...

 
Ah ?
Et pourquoi ça ?

et c'est pas plus mal de pas avoir sbin dans son path user

c'est surtout que ça sert quasiment à rien

à rien tout court

/sbin c'est pas réservé au commandes admin ?

oui, enfin c'est à dire aux commandes qui demandent des capacités spécifiques si on veut faire quelque chose avec.

A oui, il y a quand même une petite nuance.