Re: [HS] be root or not ? (was : SSH autoriser root seulement en local)

[Eric DECORNOD]

Le lundi 12 février 2007 15:40, Jean-Yves F. Barbier a écrit :
 [...]
  Je m'explique : à se logguer en root on prends de mauvaise habitudes.
  Plus l'habitude court, plus la « faignantise » s'installe et moins on
  fait attention à ce que l'on fait. Et c'est à ce moment là que le doigt
  glisse de la touche * vers entrée (les deux sont côte à côte) et que les
  accidents arrivent.
 Oui, et non...

 Je m'explique: tant que ça n'est que du $user à modifier, c'est Ok;
 par contre, si c'est systématiquement du system, là tu n'as pas le
 choix (Ex: les modifs que je fais sur mon firewall ou sur mon serveur
 sont *toujours* des modifs system (règle iptables, modifs de samba,
 etc...), donc c'est plus rapide de se loger en root.)
Je le concède, je suis le premier à me loguer en root dans ce cas
(il m'est arrivé de ne créer aucun compte utilisateur).

 Pour conclure, c'est de la responsabilité de l'admin de savoir s'il
 prend cette décision... et les précautions qui s'imposent.
Je reconnais que j'y vais un peu fort en disant « c'est MAL », mais c'est pour 
moi une façon de me rappeler justement ces fameuses « précautions qui 
s'imposent »
(flagellationtout comme sudo qui me fait [EMAIL PROTECTED] à chaque fois 
qu'il me 
demande mon mot de passe de 25 caractères/flagellation).

Il y a d'autres méthodes comme se dire que « chaque fois qu'on se logue en 
root pour rien, dieu tue un chat, pensez aux chats ».

 Il m'est plus souvent arrivé de faire des conneries en me trompant
 de console (console 2 en ssh sur un autre micro où tu crois être,
 alors que tu es en console 1, et vice-versa) que de faire des erreurs
 parce que j'étais root.
# reboot...(attente trop longue) connection closed blabla... « eh merde »
C'est du vécu aussi ça...

 ...
  De plus sudo consigne les actions, ce qui est judicieux dès lors que
  l'administration se fait à plusieurs (troll« quel est le x#!@ qui a
  remplacé les flèches par hjkl sont tes nouveaux amis »/troll).
 Là, effectivement, je suis d'accord avec toi, pas question de loger
 directement en root!
Et pourtant on le fait si souvent...
En fait il faudrait assigner un shell qui consigne dans les journaux pour les 
ssh [EMAIL PROTECTED] par défaut ; je crois que c'est possible avec les options 
du .ssh/authorized_keys mais je n'ai jamais testé.

 Cordialement,
 JY
Cordialement,
-- 
Eric DÉCORNOD
Ingénieur d'Études
SCICS - Faculté des Sciences
Université Henri Poincaré

Re: [HS] be root or not ? (was : SSH autoriser root seulement en local)

[Jean-Yves F. Barbier]

Le lundi 12 février 2007 16:39, Eric DECORNOD a écrit :
 Le lundi 12 février 2007 15:40, Jean-Yves F. Barbier a écrit :
  [...]

 Je le concède, je suis le premier à me loguer en root dans ce cas
 (il m'est arrivé de ne créer aucun compte utilisateur).

Alors CA, CA c'est TT mal !!!
Mon fils, vous direz 50 je vous salut init et 30 'l'ext2 est mon berger.

  Pour conclure, c'est de la responsabilité de l'admin de savoir s'il
  prend cette décision... et les précautions qui s'imposent.

 Je reconnais que j'y vais un peu fort en disant « c'est MAL », mais c'est
 pour moi une façon de me rappeler justement ces fameuses « précautions
 qui s'imposent »
 (flagellationtout comme sudo qui me fait [EMAIL PROTECTED] à chaque fois 
 qu'il me
 demande mon mot de passe de 25 caractères/flagellation).

pas suffisant: flagellation au sumac vénéneux + barbelés rouillés

 Il y a d'autres méthodes comme se dire que « chaque fois qu'on se logue
 en root pour rien, dieu tue un chat, pensez aux chats ».

dommage qu'il ne tue pas un con, je n'aurais plus que des comptes root
(quoiqu'on soit toujours le con de quelqu'un :)

  ...

   De plus sudo consigne les actions, ce qui est judicieux dès lors que
   l'administration se fait à plusieurs (troll« quel est le x#!@ qui a
   remplacé les flèches par hjkl sont tes nouveaux amis »/troll).
 
  Là, effectivement, je suis d'accord avec toi, pas question de loger
  directement en root!

 Et pourtant on le fait si souvent...
 En fait il faudrait assigner un shell qui consigne dans les journaux pour
 les ssh [EMAIL PROTECTED] par défaut ; je crois que c'est possible avec les
 options du .ssh/authorized_keys mais je n'ai jamais testé.

C'est une idée à creuser, et je vais regarder ça de près.

Cordialement ,
JY