Plusieurs administrateurs systèmes: contrôler leurs activités ?

Plusieurs administrateurs systèmes: contrôler leurs activités ? - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 20-04-2009 à 14:27:20    

Bonjour à tous !

 

      Tout d'abord pardon si je suis dans la mauvaise catégorie ! Il est vrai que le titre du topic est un peu sujet à débat mais imaginez la situation suivante: Un système critique tel qu'un serveur gérant des accès par exemple est administré par 2 personnes (il est préférable que le système soit sous le contrôle de 2 personnes plutôt que d'une seule d'après moi cf http://fr.wikipedia.org/wiki/Terry_Childs ). Ce cas historique me fait penser (peut-être en étant un peu parano), qu'un des 2 administrateurs système du serveur d'accès pourrait modifier des paramètres pour autoriser certaines personnes malveillantes à accéder à des données sensibles par exemple, sans que le 2eme administrateur s'en rende compte.

 

     Ce risque étant pris en considération, je me demandais quelle stratégie et quels moyens étaient-il possibles d'utiliser sur des systèmes Linux afin de palier à ce risque. Par exemple faut-il informer le 2eme administrateur sur ce que le premier a fait ? Faut-il laisser les admins utiliser le compte root ou que sudo en conservant le password root bien au chaud ?

 

Merci d'avance !
RedVivi

Message cité 1 fois
Message édité par redvivi le 20-04-2009 à 14:27:47
Reply

Marsh Posté le 20-04-2009 à 14:27:20   

Reply

Marsh Posté le 20-04-2009 à 14:55:57    

redvivi a écrit :

Bonjour à tous !
 
       Tout d'abord pardon si je suis dans la mauvaise catégorie ! Il est vrai que le titre du topic est un peu sujet à débat mais imaginez la situation suivante: Un système critique tel qu'un serveur gérant des accès par exemple est administré par 2 personnes (il est préférable que le système soit sous le contrôle de 2 personnes plutôt que d'une seule d'après moi cf http://fr.wikipedia.org/wiki/Terry_Childs ). Ce cas historique me fait penser (peut-être en étant un peu parano), qu'un des 2 administrateurs système du serveur d'accès pourrait modifier des paramètres pour autoriser certaines personnes malveillantes à accéder à des données sensibles par exemple, sans que le 2eme administrateur s'en rende compte.  
 
      Ce risque étant pris en considération, je me demandais quelle stratégie et quels moyens étaient-il possibles d'utiliser sur des systèmes Linux afin de palier à ce risque. Par exemple faut-il informer le 2eme administrateur sur ce que le premier a fait ? Faut-il laisser les admins utiliser le compte root ou que sudo en conservant le password root bien au chaud ?
 
Merci d'avance !
RedVivi


 
la page wikipedia [:rofl]
 

Citation :


Never fuck with your systems administrators, because they know what you do with all your free time.


 
Sinon pour en revenir au sujet [:dawa] Si tu n'as pas confiance en tes admins, c'est mort. Perso je privilégierai sudo. Tu peux tracer les action des admin il me semble mais un module kernel moisi c'est plié [:dawa]


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 20-04-2009 à 15:04:17    

black_lord a écrit :

Sinon pour en revenir au sujet [:dawa] Si tu n'as pas confiance en tes admins, c'est mort. Perso je privilégierai sudo. Tu peux tracer les action des admin il me semble mais un module kernel moisi c'est plié [:dawa]

 

Ce n'est pas moi qui vais les tracer. C'est pourquoi je pense qu'une administration à "4 mains" est une idée pas trop mauvaise, encore faut-il qu'un admin soit capable de dire: "Tiens tiens, mon collègue a ajouté une entrée iptables qui permet d'accéder en SSH depuis l'extérieur de l'entreprise, comme c'est bizarre" ou alors "Tiens tiens, il a recompilé le kernel". D'où le problème  :D. Et qui dit confiance n'exclue pas le contrôle.

Message cité 1 fois
Message édité par redvivi le 20-04-2009 à 15:12:03
Reply

Marsh Posté le 20-04-2009 à 15:27:03    

tu as des systèmes comme tripwire qui te permettent de vérifier des choses aussi


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 20-04-2009 à 15:42:33    

Il doit y avoir moyen de se débrouiller pour envoyer des emails de notifications de modification systèmes aux 2 admins pour que chacun voit ce qui se passe, ça pourrait être pas mal. Par contre une question par rapport à sudo: Qu'est-ce qui empeche un administrateur qui peut utiliser sudo de supprimer le compte de l'autre administrateur par exemple (je me vois mal faire une liste exhaustive de toutes les commandes susceptibles de contrecarrer le système d'alerte pour les mettre en exception dans sudoers) ?

Reply

Marsh Posté le 20-04-2009 à 15:53:19    

ou sudo -s :spamafote:
 
ne serait que "vi", "cat" ou même "ed" suffit....


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 03-05-2009 à 12:35:13    

En fait ce serait une bonne idée de logger les activités de chaque utilisateur via "sudo" mais voilà le problème, si il peut exécuter sudo, ça veut dire qu'il peut supprimer le fichier log ou le modifier, et si je l'empêche d'exécuter rm il va être embêté pour ses tâches de gestion courante......vous voyez une solution pour ce problème de fichier log ou il faut que je revienne au système où chaque ligne de commande était imprimée via une imprimante matricielle à aiguille ? Peut-être qu'une cure anti-paranoïa serait plus appropriée...

Message cité 2 fois
Message édité par redvivi le 03-05-2009 à 12:39:00
Reply

Marsh Posté le 03-05-2009 à 12:38:55    

Pui enfin un gars qui change le mot de passe et bloque tout le monde, que ca soit imprimé ou pas il s'en fout à priori, ca finira bien par se voir :D


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 03-05-2009 à 13:01:17    

redvivi a écrit :

En fait ce serait une bonne idée de logger les activités de chaque utilisateur via "sudo" mais voilà le problème, si il peut exécuter sudo, ça veut dire qu'il peut supprimer le fichier log ou le modifier, et si je l'empêche d'exécuter rm il va être embêté pour ses tâches de gestion courante......vous voyez une solution pour ce problème de fichier log ou il faut que je revienne au système où chaque ligne de commande était imprimée via une imprimante matricielle à aiguille ? Peut-être qu'une cure anti-paranoïa serait plus appropriée...


 
définitivement. Accessoirement avec un tel flicage perso je change de boite  [:cosmoschtroumpf]


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 03-05-2009 à 13:10:18    

D'ailleurs il y a quelquechose que je ne comprends pas, j'ai essayé sudo date > /etc/shadow, bien évidemment il me dis que ça ne fonctionne pas, mais je ne vois pas où est le paramètre qui l'empêche de le faire ?

Reply

Marsh Posté le 03-05-2009 à 13:10:18   

Reply

Marsh Posté le 03-05-2009 à 13:20:17    

redvivi a écrit :

D'ailleurs il y a quelquechose que je ne comprends pas, j'ai essayé sudo date > /etc/shadow, bien évidemment il me dis que ça ne fonctionne pas, mais je ne vois pas où est le paramètre qui l'empêche de le faire ?


pasque le > /etc/shadow est lié à ton shell user, pas celui de sudo ? :o
sudo sh -c "date > /etc/shadow"  
(fait un backup avant hein :o :D)


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 03-05-2009 à 13:20:56    

black_lord a écrit :


 
définitivement. Accessoirement avec un tel flicage perso je change de boite  [:cosmoschtroumpf]


+1 si t'as pas confiance en quelqu'un, ben lui donne pas les droits admin :D


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 04-05-2009 à 08:44:42    

redvivi a écrit :

En fait ce serait une bonne idée de logger les activités de chaque utilisateur via "sudo" mais voilà le problème, si il peut exécuter sudo, ça veut dire qu'il peut supprimer le fichier log ou le modifier, et si je l'empêche d'exécuter rm il va être embêté pour ses tâches de gestion courante......vous voyez une solution pour ce problème de fichier log ou il faut que je revienne au système où chaque ligne de commande était imprimée via une imprimante matricielle à aiguille ? Peut-être qu'une cure anti-paranoïa serait plus appropriée...


 
Clairement, la cure. Tu cites un article avec un admin qui a fait de la merde. C'est tellement exceptionnel que même sur wikipedia fr ils en parlent ! C'est masquer l'énorme majorité des admins qui font avec professionnalisme et intégrité leur taf quotidien !  
Par nature, le taf d'admin est un boulot à risque dans une boite, un boulot qui nécessite compétence et déontologie. En sécurité info, on estime qu'à partir du moment où qqun peut se logger sur une machine, elle est corrompue. Alors d'autant plus quand c'est l'admin :D


---------------
-
Reply

Marsh Posté le 05-05-2009 à 13:16:35    

redvivi a écrit :


Ce n'est pas moi qui vais les tracer. C'est pourquoi je pense qu'une administration à "4 mains" est une idée pas trop mauvaise, encore faut-il qu'un admin soit capable de dire: "Tiens tiens, mon collègue a ajouté une entrée iptables qui permet d'accéder en SSH depuis l'extérieur de l'entreprise, comme c'est bizarre" ou alors "Tiens tiens, il a recompilé le kernel". D'où le problème  :D. Et qui dit confiance n'exclue pas le contrôle.


 
Amha, à lire. Mais c'est en anglais. Chapitre 4 et 10 devrait t'intéresser.
 
http://www.cl.cam.ac.uk/~rja14/book.html


---------------
Petit guide Kerberos pour l'administrateur pressé
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed