1) Sécurité :
Actuellement lors d'accès donné les personnes sont validées sur le VPN puis leur clé SSH pour se connecter en "ROOT"
- Comment faire des log des actions utilisateurs sachant que tout le monde se connecte en "ROOT"
- Proposition d'évolution: Serait il possible d'intégrer un système n'utilisant pas le compte "ROOT" pour tous les admin N5.
A l'origine, j'avais souhaité que les n5 ne connectent pas directement le compte root mais un compte sudoer. Le principe reste le même (VPN + SSH avec une clé) sauf que chaque n5 a son propre compte et quand il passe une "commande root", il doit saisir son mot de passe. Cette deuxième authentification n'est demandée que pour la première commande et conservée en cache pendant n minutes (3 minutes de base). Ainsi le .bash_history conserve une trace de l'activité de chaque n5. Toutefois, un n5 étant ce qu'il est, rien ne l'empêche de faire le ménage dans son fichier ou de passer root (sudo su root) ou un autre n5 (Mistral lance "sudo su eldy")
Il n'y a pas moyen d'avoir plus de sécurité pour les n5 sauf à historiser leur activité sur un autre serveur où ils n'ont pas accès (et encore) mais dans ce cas le n5 sur ce serveur a la possibilité d'intervenir sur cet historique. Grosso modo, il n'y a pas moyen de sur sécuriser l'action des n5. L'utilité d'avoir des n5 sudoers est :
- éviter les erreurs de commande du genre rm -rf /
- si et le cert vpn et le cert ssh venait à être compromis, le malveillant se retrouve bloqué avec le mot de passe.
Pour faire court, il faut faire confiance aux n5 et pour enfoncer le clou, il y a la charte du sysadmin signée par chaque n5. Le cas que je présente a en partie motivé la création de cette charte. Si l'idée est quand même d'avoir un historique pour "quikafaiskoi", il est possible d'adapter un bashrc pour définir HISTFILE en fonction du user connecté, enfin surtout en fonction de la clé ssh utilisée.
En revanche pour le n4 devant avoir un accès shell avec des droits root pour certaines commandes, là une bonne configuration sudoer prends tous sons sens. Je l'explique ici
https://redmine.partipirate.org/issues/472#note-1Voir le fichier /etc/sudoers sur cale pour la configuration complète.
)