Le lundi 12 février 2007 15:40, Jean-Yves F. Barbier a écrit :
[...]
Je m'explique : à se logguer en root on prends de mauvaise habitudes.
Plus l'habitude court, plus la « faignantise » s'installe et moins on
fait attention à ce que l'on fait. Et c'est à ce moment là que le doigt
glisse de la touche * vers entrée (les deux sont côte à côte) et que les
accidents arrivent.
Oui, et non...
Je m'explique: tant que ça n'est que du $user à modifier, c'est Ok;
par contre, si c'est systématiquement du system, là tu n'as pas le
choix (Ex: les modifs que je fais sur mon firewall ou sur mon serveur
sont *toujours* des modifs system (règle iptables, modifs de samba,
etc...), donc c'est plus rapide de se loger en root.)
Je le concède, je suis le premier à me loguer en root dans ce cas
(il m'est arrivé de ne créer aucun compte utilisateur).
Pour conclure, c'est de la responsabilité de l'admin de savoir s'il
prend cette décision... et les précautions qui s'imposent.
Je reconnais que j'y vais un peu fort en disant « c'est MAL », mais c'est pour
moi une façon de me rappeler justement ces fameuses « précautions qui
s'imposent »
(flagellationtout comme sudo qui me fait [EMAIL PROTECTED] à chaque fois
qu'il me
demande mon mot de passe de 25 caractères/flagellation).
Il y a d'autres méthodes comme se dire que « chaque fois qu'on se logue en
root pour rien, dieu tue un chat, pensez aux chats ».
Il m'est plus souvent arrivé de faire des conneries en me trompant
de console (console 2 en ssh sur un autre micro où tu crois être,
alors que tu es en console 1, et vice-versa) que de faire des erreurs
parce que j'étais root.
# reboot...(attente trop longue) connection closed blabla... « eh merde »
C'est du vécu aussi ça...
...
De plus sudo consigne les actions, ce qui est judicieux dès lors que
l'administration se fait à plusieurs (troll« quel est le x#!@ qui a
remplacé les flèches par hjkl sont tes nouveaux amis »/troll).
Là, effectivement, je suis d'accord avec toi, pas question de loger
directement en root!
Et pourtant on le fait si souvent...
En fait il faudrait assigner un shell qui consigne dans les journaux pour les
ssh [EMAIL PROTECTED] par défaut ; je crois que c'est possible avec les options
du .ssh/authorized_keys mais je n'ai jamais testé.
Cordialement,
JY
Cordialement,
--
Eric DÉCORNOD
Ingénieur d'Études
SCICS - Faculté des Sciences
Université Henri Poincaré