|
Bas de page | |
---|---|
Auteur | Sujet : Plusieurs administrateurs systèmes: contrôler leurs activités ? |
redvivi | Bonjour à tous ! Tout d'abord pardon si je suis dans la mauvaise catégorie ! Il est vrai que le titre du topic est un peu sujet à débat mais imaginez la situation suivante: Un système critique tel qu'un serveur gérant des accès par exemple est administré par 2 personnes (il est préférable que le système soit sous le contrôle de 2 personnes plutôt que d'une seule d'après moi cf http://fr.wikipedia.org/wiki/Terry_Childs ). Ce cas historique me fait penser (peut-être en étant un peu parano), qu'un des 2 administrateurs système du serveur d'accès pourrait modifier des paramètres pour autoriser certaines personnes malveillantes à accéder à des données sensibles par exemple, sans que le 2eme administrateur s'en rende compte. Ce risque étant pris en considération, je me demandais quelle stratégie et quels moyens étaient-il possibles d'utiliser sur des systèmes Linux afin de palier à ce risque. Par exemple faut-il informer le 2eme administrateur sur ce que le premier a fait ? Faut-il laisser les admins utiliser le compte root ou que sudo en conservant le password root bien au chaud ? Merci d'avance ! Message cité 1 fois Message édité par redvivi le 20-04-2009 à 14:27:47 |
Publicité | Posté le 20-04-2009 à 14:27:20 |
black_lord ModérateurTruth speaks from peacefulness |
--------------- uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me |
redvivi |
Ce n'est pas moi qui vais les tracer. C'est pourquoi je pense qu'une administration à "4 mains" est une idée pas trop mauvaise, encore faut-il qu'un admin soit capable de dire: "Tiens tiens, mon collègue a ajouté une entrée iptables qui permet d'accéder en SSH depuis l'extérieur de l'entreprise, comme c'est bizarre" ou alors "Tiens tiens, il a recompilé le kernel". D'où le problème . Et qui dit confiance n'exclue pas le contrôle. Message cité 1 fois Message édité par redvivi le 20-04-2009 à 15:12:03 |
black_lord ModérateurTruth speaks from peacefulness | tu as des systèmes comme tripwire qui te permettent de vérifier des choses aussi --------------- uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me |
black_lord ModérateurTruth speaks from peacefulness | ou sudo -s
--------------- uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me |
redvivi | En fait ce serait une bonne idée de logger les activités de chaque utilisateur via "sudo" mais voilà le problème, si il peut exécuter sudo, ça veut dire qu'il peut supprimer le fichier log ou le modifier, et si je l'empêche d'exécuter rm il va être embêté pour ses tâches de gestion courante......vous voyez une solution pour ce problème de fichier log ou il faut que je revienne au système où chaque ligne de commande était imprimée via une imprimante matricielle à aiguille ? Peut-être qu'une cure anti-paranoïa serait plus appropriée... Message cité 2 fois Message édité par redvivi le 03-05-2009 à 12:39:00 |
black_lord ModérateurTruth speaks from peacefulness |
--------------- uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me |
Publicité | Posté le 03-05-2009 à 13:10:18 |
e_esprit |
--------------- Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres. |
e_esprit |
--------------- Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres. |
gloubiboulga - |
--------------- - |
Gf4x3443 Killing perfection |
--------------- Petit guide Kerberos pour l'administrateur pressé |