Le 26/03/21 à 09:46, Maxime DERCHE <max...@mouet-mouet.net> a écrit :
> Laisse donc l'appli foo tourner en tant que user et groupe foo, et crée des
> comptes
> nominatifs qui appartiennent au groupe foo.
>
> Mets les clefs SSH des gens dans l'annuaire LDAP, afin d'éviter d'avoir à
> gérer des
> déploiements d'accès à chaque mouvement dans l'équipe ou à chaque
> compromission d'accès.
On joue pas dans la même cour…
Je bosse pour une asso, j'ai pas de ldap (la base des users c'est le
/etc/passwd de chaque VM,
ceux qui peuvent se connecter sont dans les ${userHome}/.ssh/authorized_keys,
pas de password
nulle part, la source de l'info est le host.yaml de mon ansible, pour
répercuter d'éventuelles
modifs partout).
Les admins ayant des clés ssh c'est
- moi
- qq adminsys pompiers, d'astreinte à tour de rôle, qui peuvent se connecter si
je suis pas
dispo
Et parfois y'a le dev de l'appli foo qui a une clé pour se connecter à son
appli (c'est rare,
en général s'il doit y accéder c'est du sftp sans shell).
Donc pas près d'être ISO27001, ou ISOxxx, ou que sais-je, et ça tombe bien
personne ne me l'a
demandé ;-)
> Ignorer ce travail c'est se penser meilleur que les normes : l'arrogance
> précède la chute.
Je suis évidemment moins malin et moins bon en sécurité que ceux qui ont pondus
ces normes, je
pense simplement qu'elles ne sont pas les plus pertinentes dans mon contexte.
Et je ne pense pas que ce soit par arrogance, simplement du pragmatisme.
--
Daniel
Le carré est un triangle qui a réussi,
ou une circonférence qui a mal tourné…
Pierre Dac
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
