| Chapitre
I.- Première partie : à faire sur chaque poste
IX. Envoyer les logs sur un serveur de log
Le
serveur de log : serveur-log par exemple
Sur
les machines clientes :
1.
Modification du fichier /etc/syslog.conf
Rajout
de la ligne suivante :
auth.*,auhtpriv.* .* @xxx.xxx.xx.xx (adresse
IP de serveur-log)
2.
Relance du demon :
kill
-HUP `cat /var/run/syslogd.pid`
X. Root et utilisateurs privilégiés
Il
faut faire en sorte que seuls certains utilisateurs aient le droit
d'utiliser certaines commande "puissantes" comme su. Il
faut limiter le nombre de personnes pouvant utiliser ces commandes.
Pour cela on peut créer un groupe d'utilisateurs privilégiés,
généralement il est appelé wheel, mais on peut
l'appeler comme on veut, il faut choisir un nom discret, passe partout,
pour ne pas éveiller les soupçons.
Maintenant
pour que la commande su ne puisse être lancé que par
les membres du groupe wheel, il faut taper :
chgrp wheel /bin/su
chmod 4750 /bin/su
Il
faut faire de même pour les autres commandes.
NOTES: - Ne pas oublier qu'un utilisateur peut très bien
appartenir à deux groupes
- Ne pas oublier sudo pour donner des droits privilégiés
à certains utilisateurs.
Pour
ce qui concerne root, on doit prendre quelques précautions:
- il ne faut pas rajouter le . (répertoire
courant) dans le PATH de root.
Car si par malheur quelqu'un crée un script avec droits exécutables
dans /tmp qui s'appelle rm contenant:
#!/bin/bash
rm -Rf /
Et
si root a le malheur de taper rm alors qu'il se trouve dans /tmp,
c'est le script qui peut être appelé (suivant l'ordre
des chemins dans le PATH) et pouf ! plus de système.
Précédent
- Plan - Suivant
|
