J'essaye de sécuriser au maximum un conteneur portant un certain service sous Linux Debian 10.
J'ai vu qu'il était important de créer un utilisateur dédié pour exécuter un service, plutôt que root. J'ai donc fait quelques recherches sur la démarche à suivre, les configurations à effectuer, scripts, etc.
L'idée serait donc de créer un utilisateur qui a pour seul droit d’exécuter le service (et autres droits obligatoires pour le fonctionnement).
Donc je créé mon utilisateur, par exemple toto. Je lui donne accès à l’exécution du service via chmod u+x nomservice.service.
Mais cela ne suffit pas, comment je peux faire pour supprimer tous les autres droits à cet utilisateur ?
Cyprien
- Edité par CyprienHanercos 3 février 2022 à 15:45:41
Et quels droits veux-tu lui retirer? Il doit avoir accès à toutes les ressources qui lui permettent de rendre son service. Il ne peut pas avoir accès aux ressources des autres utilisateurs sauf si tu lui en donne les permissions.
Le Tout est souvent plus grand que la somme de ses parties.
tu ne peux pas : cet utilisateur doit pouvoir, au moins, lire son programme.
qu'est-ce qui te fait dire que ça ne suffit pas ?
A vrai dire, c'était une déduction personnelle, je pensais qu'il fallait retirer le plus possible de droit à cet utilisateur spécifique. Si cela suffit, alors tant mieux.
Lancer un service à partir d'un autre utilisateur
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
Validez la réponse utile « Un problème clairement exposé est à moitié résolu. » Pas de MP technique
Le Tout est souvent plus grand que la somme de ses parties.