Re: Comment remplacer l'utilisateur root pour utiliser le service cron ?
Bonjour, Franchement je ne comprends pas bien ces « modèles ». Soit avoir un login « super administrateur », root ou non, vous donne des bougons et, dans ce cas bloquez tout login direct acec un « x » dans le champ password du fichier /etc/shadow. Une méthode plus propre : $ sudo usermod -L root Cela ajoute un « ! » devant le mot de passe haché. Cela n’empêche pas un login « root » avec SSH par échange de clé. Mais il faut avoir, au préalable, ajouter ces clés publiques sur le compte root ce qui est difficile sans une connexion sur le serveur. Si vous ne voulez pas de connexion SSH directe possible, interdisez le dans un complément de ssh_config dans /etc/ssh/sshd_config.d/TOTO.conf avec : PermitRootLogin No DenyUsers root@* Par exemple (même si la première ligne devrait suffire…) Pour ce qui est du login, vous en avez besoin pour administrer. Ce n’est donc pas une discussion. À partir de là le seul moyen d’accéder aux droits « root » est de passer par un utilisateur sudoer pour lancer un « sudo commande » sans bloquer le système pour autant. Si vous vous méfiez des éventuels utilisateurs sudoer vous pouvez limiter les commandes possibles pour eux dans la configuration de sudoer. Allez faire un tour à la fin de https://www.malekal.com/exemples-sudoers-configurer-sudo-linux/ > Le 18 févr. 2024 à 22:36, Bernard Bass a écrit > : > > Bonsoir, >>> Puis-je savoir à quoi sert de désactiver le compte root si c'est pour >>> donner les pleins pouvoirs à un autre compte, en le dispensant de saisir >>> son mot de passe lorsqu'il utilise la commande sudo ? >>> echo "gestionnaire ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers >>> >> >> J’ai du louper des épisodes car je ne vois nulle part dans les réponses >> faites une mention laissant entendre qu’il fallait « disposer >> [l’utilisateur] de saisir son mot de passe ». C’est, à mon sens, une très >> mauvaise pratique à moins de limiter drastiquement les commandes laissées à >> cet usage. >> > Effectivement. > Je n'ai pas la méthode pour créer un utilisateur root. > J'ai des notes pour créer un sudoer dans le groupe sudo. > Je ne sais par contre pas s'il est possible de créer un utilisateur semblable > à l'utilisateur root. > On m'avait surement déjà répondu, cela n'est probablement pas possible, ou, > compliqué, puisque c'est root (0) qui administre le système. > > > > J'ai passé root en /sbin/nologin dans /etc/passwd ce qui empêche > l'utilisation de root, tout en permettant au système de fonctionner, sudo > crontab -e fonctionne normalement. > > Je ne sais toujours pas créer un utilisateur gestionnaire capable de prendre > le rôle de root, pour faire fonctionner l'ensemble des services cron, sans > passer par des manipulations complexes. > > Merci d'avoir répondu. > -- Pierre Malard « La vérité ne triomphe jamais, mais ses ennemis finissent toujours par mourir... » Max Placnk (1858-1947) |\ _,,,---,,_ /,`.-'`'-. ;-;;,_ |,4- ) )-,_. ,\ ( `'-' '---''(_/--' `-'\_) πr perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print' - --> Ce message n’engage que son auteur <-- signature.asc Description: Message signed with OpenPGP
Re: Comment remplacer l'utilisateur root pour utiliser le service cron ?
Bonsoir, Puis-je savoir à quoi sert de désactiver le compte root si c'est pour donner les pleins pouvoirs à un autre compte, en le dispensant de saisir son mot de passe lorsqu'il utilise la commande sudo ? echo "gestionnaire ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers J’ai du louper des épisodes car je ne vois nulle part dans les réponses faites une mention laissant entendre qu’il fallait « disposer [l’utilisateur] de saisir son mot de passe ». C’est, à mon sens, une très mauvaise pratique à moins de limiter drastiquement les commandes laissées à cet usage. Effectivement. Je n'ai pas la méthode pour créer un utilisateur root. J'ai des notes pour créer un sudoer dans le groupe sudo. Je ne sais par contre pas s'il est possible de créer un utilisateur semblable à l'utilisateur root. On m'avait surement déjà répondu, cela n'est probablement pas possible, ou, compliqué, puisque c'est root (0) qui administre le système. J'ai passé root en /sbin/nologin dans /etc/passwd ce qui empêche l'utilisation de root, tout en permettant au système de fonctionner, sudo crontab -e fonctionne normalement. Je ne sais toujours pas créer un utilisateur gestionnaire capable de prendre le rôle de root, pour faire fonctionner l'ensemble des services cron, sans passer par des manipulations complexes. Merci d'avoir répondu.
Re: Comment remplacer l'utilisateur root pour utiliser le service cron ?
*La solution fonctionnelle pour désactiver root semble être la suivante :* 1) sudo passwd root # Créer un mot de passe. sudo passwd -d root # Supprimer le mot de passe. 2) * Désactiver l'utilisateur root à partir du shell. Le moyen le plus simple de désactiver la connexion de l'utilisateur root est de changer son shell du répertoire /bin/bash à /sbin/nologin, dans le fichier /etc/passwd. sudo nano /etc/passwd root:x:0:0:root:/root:/sbin/nologin 3) sudo passwd -S root root NP 02/18/2024 0 9 7 -1 # L'utilisateur root utilise no password. 4) su root This account is currently not available. 5) On ne peut donc pas accéder à root directement. Le système cron avec la crontab -e root continue de fonctionner. Le user root semble faire son travail sans erreur. J'aurais préféré créer un utilisateur gestionnaire pour remplacer les actions de l'utilisateur root, capable de lancer toutes les tâches cron. Si quelqu'un sait expliquer la méthode. Merci.
Re: Comment remplacer l'utilisateur root pour utiliser le service cron ?
Pour protéger l'accès au compte root, j'ai bien configuré *sshd* pour *interdire le user root*, *la connexion par mot de passe vide et par mot de passe*, uniquement *autoriser la connexion par clé ssh ed25519*. sudo passwd root # Créer un mot de passe. *passwd --lock root* # Le compte root est alors à nouveau verrouillé ! sudo passwd -S root [sudo] Mot de passe de l'utilisateur sudoers : root*L* 12/23/2019 0 9 7 -1 # Le compte root est verrouillé. sudo passwd root # Créer un mot de passe. *sudo passwd -d root* passwd : informations de validité du mot de passe changées. sudo passwd -S root root*NP* 02/18/2024 0 9 7 -1 # Le compte root est accessible sans mot de passe depuis l'utilisateur sudoers ( Et même d'un simple utilisateur ? Si il a les clés ssh pour se connecter au serveur.). $ su root # Aucun mot de passe n'est demandé pour passer à l'utilisateur root. # Il semble donc nécessaire de définir un mot de passe complexe pour root et de laisser l'utilisateur root activé. *Je ne comprend pas* la méthode pour désactiver l'utilisateur root, ou le mot de passe de l'utilisateur root, en restant dans la bonne pratique de sécurité, tout en lui laissant la possibité d'administrer cron.' */Supprimer le mot de passe de l'utilisateur root pour ne pas conserver le hash du mot de passe en mémoire./* Désactiver l'utilisateur root à partir du shell : Le moyen le plus simple de désactiver la connexion de l'utilisateur root est de changer son shell du répertoire /bin/bash à /sbin/nologin, dans le fichier Par défaut : *root:x:0:0:root:/root:/bin/bash* Si la valeur est changée pour */sbin/nologin* , root sera t'il encore capable d'administrer le système ? ( Tâches cron et autres tâches ? ) sudo nano /etc/passwd *root:x:0:0:root:/root:/sbin/nologin* *su root This account is currently not available.* *sudo bash root@system * sudo crontab -e Ajouter une tâche. Erreurs : Après avoir désactivé root sur le système, *je ne vois pas de solution qui permet aux taches cron root, ou cron.daily de fonctionner sans configurations avancées*. *Aucun répertoire /lib/security sur ma machine :* févr. 18 20:16:02 system sudo[11786]: PAM unable to dlopen(pam_ck_connector.so): */lib/security/pam_ck_connector.so*: Ne peut ouvrir le fichier d'objet partagé: Aucun fichier ou dossier de ce nom févr. 18 20:16:02 system sudo[11786]: PAM adding faulty module: pam_ck_connector.so févr. 18 20:17:01 system CRON[11802]: PAM unable to dlopen(pam_ck_connector.so): /lib/security/pam_ck_connector.so: Ne peut ouvrir le fichier d'objet partagé: Aucun fichier ou dossier de ce nom févr. 18 20:17:01 system CRON[11802]: PAM adding faulty module: pam_ck_connector.so* *
Re: Comment remplacer l'utilisateur root pour utiliser le service cron ?
Bonjour, > Le 18 févr. 2024 à 18:46, Bernard Bass a écrit > : > > Bonjour, > Puis-je savoir à quoi sert de désactiver le compte root si c'est pour donner > les pleins pouvoirs à un autre compte, en le dispensant de saisir son mot de > passe lorsqu'il utilise la commande sudo ? > echo "gestionnaire ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers > > J’ai du louper des épisodes car je ne vois nulle part dans les réponses faites une mention laissant entendre qu’il fallait « disposer [l’utilisateur] de saisir son mot de passe ». C’est, à mon sens, une très mauvaise pratique à moins de limiter drastiquement les commandes laissées à cet usage. > >> Je pense avoir mal compris, je n'aurais pas du désactiver root, mais > >> seulement supprimer le mot de passe pour ne pas conserver le hash du mot > >> de passe root en mémoire. > >> sudo passwd -d root > > > > > > >> Il faudrait alors réactiver l'utilisateur root , pour qu'il puisse gérer > >> les tâches cron du système ( cron.daily ... ) : > >> sudo passwd --unlock root > >> Affiche : > >> passwd : déverrouiller le mot de passe créerait un compte sans mot de > >> passe. > >> Vous devriez définir un mot de passe avec usermod -p pour déverrouiller le > >> mot de passe de ce compte. > > > >> passwd -S root > >> root L 2024-01-03 0 9 7 -1 > >> Le compte reste verrouillé (L) après la commande passwd --unlock root > > > >> Définir un mot de passe avec usermod -p pour déverrouiller le mot de passe > >> de ce compte (root) > >> Il est indiqué dans une documentation d'enlever le mot de passe du compte > >> root pour ne pas laisser le hash en mémoire. :/ > > >> passwd root crérait / recrérait un compte root sans mot de passe ? > >> << > >> Aucun hash de mot de passe ne serait alors conservé en mémoire et le > >> compte root serait utilisable par le système pour utiliser cron. > > > > > > > Même si on interdit la connexion directe sous « root », ce qui peut se > concevoir, > > >>Oui, j'ai désactivé la connexion à root depuis SSH. > >> Il me semble qu'il faille le faire pour le système aussi ? # Sans > >> supprimer le compte root pour autant ? # C'est confus. > > il n’empêche que certaines commande doivent être lancées avec ces droits. > >> Effectivement. > > > du coup, pour modifier le crontab root, rien n’empêche d’utiliser un sudo > pour prendre ponctuellement ces droits pour modifier le crontab root. > > >> Oui il est possible de modifier la crontab root avec sudo crontab -e > >> Les tâches ne seront pas lancées et resteront en erreur "Authentication > >> failure" avec l'utilisateur root désactivé et le mot de passe expiré. > > > > Dans le même sujet si une tâche n’a pas besoin des droits root rien n’empêche > d’utiliser un crontab « utilisateur » ! > > >> Oui, il faut autoriser les scripts depuis "/etc/sudoers.d" mais les tâches > >> systèmes ( cron.daily ... ne sont pas lancées si l'utilisateur root est > >> désactivé. ) > >> sudo nano /etc/sudoers > > >> Préférer le dossier "/etc/sudoers.d" : il sert à stocker des fichiers > >> déclaratifs pour sudoers qui seront lus en complément du fichier sudoers. > >> Attention, tous les fichiers qui contiennent "~" ou "." dans le nom ne > >> seront pas lus ! > >> Organiser les règles par fichier plutôt que de tout centraliser dans le > >> même fichier : le fichier sudoers sera toujours lu, dans tous les cas. > > >> Pour créer un nouveau fichier nommé "amis_sh", on utilisera : > >> sudo visudo /etc/sudoers.d/amis_sh > >> sudo chmod 440 /etc/sudoers.d/amis_sh > > >> Ajouter deux ligne pour le script sudoer à autoriser : > >> amis_sh ALL=(ALL:ALL) ALL # Pas certain qu'il faille utiliser cette ligne. > >> J'ai testé sans, il me semble que cela ne fonctionne pas. > >> amis_sh ALL=(ALL) NOPASSWD:/home/amis_sh/test-crontab-sudo.sh > > >> nano test-crontab-sudo.sh > >> Ajouter les lignes suivantes : > > >> !/bin/sh > >> touch "/home/amis_sh/test-crontab-sudo-ok1"; # Un fichier avec droits > >> utilisateur est créé. > >> su - amis_sh -c "touch test-crontab-sudo-user-ok"; # Un fichier avec > >> droits root est créé. > >> touch "/home/amis_sh/test-crontab-sudo-ok2"; # Un fichier avec droits > >> utilisateur est créé. > > >> Utiliser la crontab de l'utilisateur : crontab -e > >> 55 12 * * * user=$(whoami) sudo /home/amis_sh/test-crontab-sudo.sh >> > >> updates.log 2>&1 > > > > Enfin, si on souhaite mieux gérer tout ça on peut utiliser /etc/cron.d où on > indique l’utilisateur à utiliser pour lancer la commande souhaitée… mais il > faut avoir les droits « root » pour créer cette entrée ;-) > >> Oui, Je suppose que l'on peut utiliser ici un nouvel utilisateur > >> gestionnaire avec les droits root. > >> Le problème reste présent pour lancer les tâches cron.daily si > >> l'utilisateur root est désactivé. > > >
Re: Comment remplacer l'utilisateur root pour utiliser le service cron ?
Bonjour, Puis-je savoir à quoi sert de désactiver le compte root si c'est pour donner les pleins pouvoirs à un autre compte, en le dispensant de saisir son mot de passe lorsqu'il utilise la commande sudo ? echo "gestionnaire ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers *>> Je pense avoir mal compris, je n'aurais pas du désactiver root, mais seulement supprimer le mot de passe **pour ne pas conserver le hash du mot de passe root en mémoire. >> sudo passwd -d root* * * ** * >> Il faudrait alors réactiver l'utilisateur root , pour qu'il puisse gérer les tâches cron du système ( cron.daily ... ) : >> sudo passwd --unlock root* *>> Affiche : >> passwd : déverrouiller le mot de passe créerait un compte sans mot de passe.* >> Vous devriez définir un mot de passe avec usermod -p pour déverrouiller le mot de passe de ce compte. >> passwd -S root >> root L 2024-01-03 0 9 7 -1 *>> Le compte reste verrouillé (L) après la commande passwd --unlock root* >> *Définir un mot de passe avec usermod -p pour déverrouiller* le mot de passe de ce compte (root) *>> Il est indiqué dans une documentation d'enlever le mot de passe du compte root pour ne pas laisser le hash en mémoire. :/ >> passwd root crérait / recrérait un compte root sans mot de passe ? << >> Aucun hash de mot de passe ne serait alors conservé en mémoire et le compte root serait utilisable par le système pour utiliser cron. * * *** Même si on interdit la connexion directe sous « root », ce qui peut se concevoir, *>>Oui, j'ai désactivé la connexion à root depuis SSH. >> Il me semble qu'il faille le faire pour le système aussi ? # Sans supprimer le compte root pour autant ? # C'est confus.* il n’empêche que certaines commande doivent être lancées avec ces droits. >> Effectivement. du coup, pour modifier le crontab root, rien n’empêche d’utiliser un sudo pour prendre ponctuellement ces droits pour modifier le crontab root. *>> Oui il est possible de modifier la crontab root avec sudo crontab -e >> Les tâches ne seront pas lancées et resteront en erreur "Authentication failure" avec l'utilisateur root désactivé et le mot de passe expiré.* Dans le même sujet si une tâche n’a pas besoin des droits root rien n’empêche d’utiliser un crontab « utilisateur » ! *>> Oui, il faut autoriser les scripts depuis "/etc/sudoers.d" mais les tâches systèmes ( cron.daily ... ne sont pas lancées si l'utilisateur root est désactivé. )* >> sudo nano /etc/sudoers >> Préférer le dossier "/etc/sudoers.d" : il sert à stocker des fichiers déclaratifs pour sudoers qui seront lus en complément du fichier sudoers. >> Attention, tous les fichiers qui contiennent "~" ou "." dans le nom ne seront pas lus ! >> Organiser les règles par fichier plutôt que de tout centraliser dans le même fichier : le fichier sudoers sera toujours lu, dans tous les cas. >> Pour créer un nouveau fichier nommé "amis_sh", on utilisera : >> sudo visudo /etc/sudoers.d/amis_sh >> sudo chmod 440 /etc/sudoers.d/amis_sh *>> Ajouter deux ligne pour le script sudoer à autoriser : >> amis_sh ALL=(ALL:ALL) ALL # Pas certain qu'il faille utiliser cette ligne. J'ai testé sans, il me semble que cela ne fonctionne pas. >> amis_sh ALL=(ALL) NOPASSWD:/home/amis_sh/test-crontab-sudo.sh* >> nano test-crontab-sudo.sh >> Ajouter les lignes suivantes : >> !/bin/sh >> touch "/home/amis_sh/test-crontab-sudo-ok1"; # Un fichier avec droits utilisateur est créé. >> su - amis_sh -c "touch test-crontab-sudo-user-ok"; # Un fichier avec droits root est créé. >> touch "/home/amis_sh/test-crontab-sudo-ok2"; # Un fichier avec droits utilisateur est créé. >> Utiliser la crontab de l'utilisateur : crontab -e >> 55 12 * * * user=$(whoami) sudo /home/amis_sh/test-crontab-sudo.sh >> updates.log 2>&1 Enfin, si on souhaite mieux gérer tout ça on peut utiliser /etc/cron.d où on indique l’utilisateur à utiliser pour lancer la commande souhaitée… mais il faut avoir les droits « root » pour créer cette entrée ;-) *>> Oui, Je suppose que l'on peut utiliser ici un nouvel utilisateur gestionnaire avec les droits root.* >> Le problème reste présent pour lancer les tâches cron.daily si l'utilisateur root est désactivé. Mention du paquet Debian super. https://packages.debian.org/trixie/super paramétrable finement par /etc/super.tab *>> Je n'ai pas regardé cette possibilité.* >> Je lis pour les droits setuid : # Elever les droits setuid sur les scripts exécutés par cron pour ne pas avoir à utiliser sudo : *>>* *Cette méthode pour ne pas utiliser sudo n'est pas recommandée* : # sudo chown root script.sh # sudo chmod 710 script.sh # sudo chmod u+s script.sh
Re: Comment remplacer l'utilisateur root pour utiliser le service cron ?
On 2/18/24 09:26, Pierre Malard wrote: Bonjour, Même question, tout ça sert-il à quoi que ce soit ? Même si on interdit la connexion directe sous « root », ce qui peut se concevoir, il n’empêche que certaines commande doivent être lancées avec ces droits. su coup, pour modifier le crontab root, rien n’empêche d’utiliser un sudo pour prendre ponctuellement ces droits pour modifier le crontab root. Tout à fait d'accord. Dans le même sujet si une tâche n’a pas besoin des droits root rien n’empêche d’utiliser un crontab « utilisateur » ! D'accord aussi. Enfin, si on souhaite mieux gérer tout ça on peut utiliser /etc/cron.d où on indique l’utilisateur à utiliser pour lancer la commande souhaitée… mais il faut avoir les droits « root » pour créer cette entrée ;-) Et j'ajouterais la mention du paquet Debian super. https://packages.debian.org/trixie/super paramétrable finement par /etc/super.tab -- Basile Starynkevitch (only mine opinions / les opinions sont miennes uniquement) 92340 Bourg-la-Reine, France web page: starynkevitch.net/Basile/ See/voir: https://github.com/RefPerSys/RefPerSys
Re: Comment remplacer l'utilisateur root pour utiliser le service cron ?
Bonjour, Même question, tout ça sert-il à quoi que ce soit ? Même si on interdit la connexion directe sous « root », ce qui peut se concevoir, il n’empêche que certaines commande doivent être lancées avec ces droits. su coup, pour modifier le crontab root, rien n’empêche d’utiliser un sudo pour prendre ponctuellement ces droits pour modifier le crontab root. Dans le même sujet si une tâche n’a pas besoin des droits root rien n’empêche d’utiliser un crontab « utilisateur » ! Enfin, si on souhaite mieux gérer tout ça on peut utiliser /etc/cron.d où on indique l’utilisateur à utiliser pour lancer la commande souhaitée… mais il faut avoir les droits « root » pour créer cette entrée ;-) https://doc.ubuntu-fr.org/cron > Le 18 févr. 2024 à 00:09, Sébastien Dinot a écrit : > > Bernard Bass a écrit : >> Voilà ma question : Comment remplacer l'utilisateur root pour utiliser >> le service cron ? > > Puis-je savoir à quoi sert de désactiver le compte root si c'est pour > donner les pleins pouvoirs à un autre compte, en le dispensant de saisir > son mot de passe lorsqu'il utilise la commande sudo ? > >> echo "gestionnaire ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers > > La subtilité de la manœuvre m'échappe. > > Sébastien > > -- > Sébastien Dinot, sebastien.di...@free.fr > http://www.palabritudes.net/ > Ne goutez pas au logiciel libre, vous ne pourriez plus vous en passer ! > -- Pierre Malard Responsable architectures système CDS DINAMIS/THEIA Montpellier IRD - UMR Espace-Dev - UAR CPST - IR Data-Terra Maison de la Télédétection 500 rue Jean-François Breton 34093 Montpellier Cx 5 France Tél : +33 626 89 22 68 «[...]développer la science ? Noble ambition ; mais qu'est-ce que la science ? Une puissance et une joie ; et, si elle ne s'anime pas de l'esprit de justice, [...] de la vie des hommes, [...] elle est un privilège en plus.» Jean Jaures - "L'idéal de justice" - 1889 |\ _,,,---,,_ /,`.-'`'-. ;-;;,_ |,4- ) )-,_. ,\ ( `'-' '---''(_/--' `-'\_) πr perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print' - --> Ce message n’engage que son auteur <-- signature.asc Description: Message signed with OpenPGP