Salut tous le monde, je suis en train de m'amuser avec un serveur vps au niveau sécurité.

Afin de me familiariser avec le serveur. Donc celui-ci mon vps utilise unbutu 22.04.1 lts, release 22.04, codename: jammy.

J'ai autoriser temporairement root a se connecter avec un mot de passe, pour que je puisse transformer mes fichiers système avec notepad(nano vi et visudo me saouler lol).

Donc pour l'instant root est autoriser a se connecter au serveur directement avec son mot de passe. Je me connecter par clef crypter au serveur sur mon compte admin puis seulement la je me connecter a root avec su.

Enfin bon première manipulation, root peut se connecter au serveur avec mot de passe et cela fonctionne.

J'ai ensuite changer les droit pour la commande su pour la section other,donc other n'as plus aucun droit dessus.

Puis pour le groupe administrateur qui se nomme différemment, j'ai enlever le privilège sudo.

Après j'ai changer la section groupe du fichier su dans usr/bin/ en mettant mon admin a la place de root mais root reste le propriétaire du fichier.

Une image est plus explicite pour résumé:

hamaziel est le groupe que je règle en admin. j'ai également ajouter root au groupe hamaziel.

L'objectif est que je veut que le groupe administrateur(donc hamaziel) est accès a la commande su seulement.C'est a dire que j'ai déjà enlever les privilège sudo au groupe admin.Jusque la tous va bien mais lorsque je change le groupe au fichier su par hamaziel, il me sort authentification failure lorsque je fais su root avec un membre de hamaziel.

Pourquoi fais-je cela, parce-que je veut qu'un admin autoriser a exécuter une commande spécial se connecte a root par le biais de su, car avec su il doit rentrer le mot de passe de root alors qu'avec sudo il ne rentre que son mot de passe a lui, ce qui n'est clairement pas sécuriser comme démarche.

c'est étrange comme démarche !

su peut être accessible à tous. Il n'y a pas de faille de sécurité ici, parce que seuls les utilisateurs qui connaissent le mot de passe d'un autre utilisateur (par défaut, c'est root, mais ça peut être n'importe quel autre utilisateur) peuvent accéder à son compte.

-
Edité par dantonq 25 août 2022 à 13:34:35

Je cherchais a isoler l’accessibilité a root, le groupe admin se connectera avec une clef privée.

Pour effectuer des commandes spéciales, ce groupe devra avoir l'autorisation requise par le biais d'un mot de passe.

C'est vrai que je complique les choses, mais cela me paraissait judicieux, car su demande un deuxième contrôle d'identification.

Alors mes commandes étais bonnes, c'est visiblement certain changements et après mise a jour de unbuntu 20.04 vers 22.04 sur le vps que l'accès a su n'étais plus du tous accessible.

Je suis en débutant dans la gestion serveur linux, donc je cherche a appliquer une bonne sécurité au serveur, je suis en mode aventurier.

Je me suis aperçu qu'il faut faire très attention a chaque manipulation , car des redondances dans d'autre fichiers peuvent avoir lieux.

Donc, j'ai réinstaller une image complète.Pour repartir sur un système propre et non bidouiller.

J'ai créer un utilisateur.Puis j'ai enlever le droit d’exécution a other du fichier su.Ensuite il suffit simplement d'ajouter cet utilisateur au groupe root.Donc n'appartenant pas au groupe sudo, ce groupe sera obliger de passer par la commande su pour obtenir les droits nécessaire aux super-pouvoir.

Après je voit que plusieurs personnes trouve cela étrange ce que je vient de faire( j'ai vu d'autre forum sur des personnes qui voulait faire la même chose...) Mais aucun ne donner de réponse claire.Après comme je dit je suis débutant sur les serveurs.Donc peut être que quelque-chose m'échappe quand au fonctionnement global de sécurité?Je suis ouvert a l'étayement d'autre point de vues

Après, une application nodejs va être déployer sur le serveur.Donc certain admin n'auront pas le droit de toucher aux serveurs.Donc dans le groupe admin, tous le monde n'aura pas accés a su et il n'auront qu'un rôle d’accès web à travers un gestionnaire d'application côter web.Puis après j’aurait un groupe client qui lui n'aura accès qu'a l'application web.

-
Edité par leo_sky 25 août 2022 à 17:50:16

Donc n'appartenant pas au groupe sudo, ce groupe sera obliger de passer par la commande su pour obtenir les droits nécessaire aux super-pouvoir.

ou alors, tu ne donnes pas le mot de passe root à tout le monde !

ce n'est pas mon domaine, mais quand même,  c'est bizarre, des utilisateurs n'auraient pas accès à sudo, mais connaîtraient le mot de passe root ???

il y a moyen de régler finement les droits d'accès aux commandes de différents groupes (il n'y a pas que les sudoers), et utilisateurs individuels.

et, méfie-toi, sur internet, on trouve tout et son contraire, mais il y a quelques documents de références, un peu anciens mais qui font toujours autorités parce que les éléments dont ils traitent existent d'aussi longtemps qu'existe Linux/UNIX.

Hey salut,oui a tête reposer je réfléchissait à ça, il faut effectivement que j'apprenne en profondeur pour les droits et permissions mais cela devrait aller.

Après sudo permet de se connecter en root plus facilement, du moins temporairement. Et c'est sûr filtrez l'utilisation de sudo serait plus judicieux mais me demande plus de temps. Il faut que je remette aussi une authentification sur un autre port que le 22 avec clef, mais la je vais retournez un peu sur l'application node js. Une fois l'application terminer, je sait maintenant que je n'aurait aucun problème pour la déployer et la sécuriser.

Oui effectivement sur internet, il y'a de tous lol mais bon je sait faire avec, il faut filtrer puis simplement faire des test par soi même.Mais c'est quand même fort utile d'exponentielle internet j'ai appris grâce a ça, enfin j'ai passer également un diplôme par une entité tiers de certification, mais a la base c'est bien internet qui m'as permis de passer le dut/bts tranquillement,notamment le site du zéro(ancien openclassroom) qui as beaucoup participer. C'est clair que quand j'ai eu à faire avec des professionnels, la stabilité et la théorie m'as étais appris. Je ne connaissait pas les maquettes, les diagrammes, mcd mld,enfin toute la clique de préparation et d'analyse avant de faire un projet.J'étais du genre a foncer direct dans le code.Enfin bon je n'ai pas raconter ma vie lol

Et merci pour le commentaire constructif bonne journée!