Autologin localement de root, est-ce dangereux?

Anonyme-11 · 27-01-2020 17:14:45

Bonjour,
J'explique le contexte:
Je possède un serveur apache sur une Raspberry fonctionnant sans écran et me servant principalement de cloud.
N'ayant pas constamment un autre pc allumé, j'ai créé une série de script à la racine du serveur appelé 1, 2, 3 que seul root peut exécuter.
Ces scripts sont très simple car ils permettent juste de faire un "poweroff", "reboot", et une mise à jour.
Le but est de pouvoir utiliser un pad numérique branché à la Raspberry pour pouvoir exécuter les scripts en tapant, par exemple "/1".
Jusque la, tout va bien.

La ou je ne suis pas serein, c'est que ce système m'impose de connecter automatiquement root (je sais le faire sans soucis).
Est ce que, sachant que personne n'a accès physiquement à cette Raspberry(à part moi), le fait que root soit connecté localement en permanence est dangereux ?

Dernière modification par Anonyme-11 (27-01-2020 17:22:00)

Debian Alain · 27-01-2020 17:26:42

root étant le super-administrateur de ta machine ,

c'est toujours dangereux de l'utiliser .

le moindre petit dérapage et ... hop ! on casse tout .

en ce sens , user , car bridé , est plus sécure .

maintenant , à toi de voir ...

si tu sais ce que tu fais . parfaitement .

Anonyme-11 · 27-01-2020 17:36:15

Je sais bien utiliser root, je connais les risques associé(changement de droit raté,un mauvais dd ou encore un rm).

Mais ce n'est pas de moi que j'ai peur, surtout que mes scripts sont sans risques.

Le fait qu'une session locale root soit allumée ne favorise pas une hypothétique attaque?

Dernière modification par Anonyme-11 (27-01-2020 17:38:23)

Debian Alain · 27-01-2020 17:37:53

Le fait qu'une session locale root soit allumée ne favorise pas une hypothétique attaque?

si

Dernière modification par Debian Alain (27-01-2020 17:43:44)

Anonyme-11 · 27-01-2020 17:39:28

Cela veut dire non?

otyugh · 27-01-2020 17:41:16

Renart_frambivore a écrit :

ce système m'impose de connecter automatiquement root

C'est pas forcément vrai.

Tu peux utiliser les sudoers pour permettre de lancer une commande en tant que root, sans mot de passe.
Rencontre :

visudo

#ajouter la ligne suivante :

#nom_utilisateur ALL=(ALL) NOPASSWD: /ma/commande

Et désormais si je fais ça

sudo /ma/commande

Il demande plus de mot de passe...

Ces scripts sont très simple car ils permettent juste de faire un "poweroff", "reboot", et une mise à jour.

Dans le cas de "poweroff" et "reboot" tu n'a même pas besoin de faire de modif des sudoers...

Découvre :

systemctl reboot

systemctl poweroff

Dernière modification par otyugh (27-01-2020 17:45:05)

Debian Alain · 27-01-2020 17:44:33

j'ai rectifié ma réponse . regarde .

otyugh · 27-01-2020 17:48:56

@Debian_alain : je ne crois pas que tu aies raison. Mais d'habitude, par "bonne pratique", on évite le compte root sauf si on est obligé. Je ne pense pas que ce soit un impératif de sécurité, c'est plus que c'est une mauvaise habitude vu que ça te permet de te faire "mal à toi-même" facilement. Tout "power user" à un jour fait de la merde en étant mal réveillé ou précipité un jour. Limiter ce qu'on peut faire est une ligne de sécurité pour ça. Faut utiliser le minimum de permissions pour faire ce dont on a besoin ; bonne pratique. Et les bonnes pratiques te sauvent pas aujourd'hui, mais demain peut-être.

Dans le cas présenté, on peut l'éviter, c'est trivial.

Personnellement les mises à jour je les mets automatiquement dans un crontab root. Je ne vois même pas l'intêret d'y associer un bouton, vu que c'est un truc à faire systématiquement... Quand à reboot/poweroff y a pas besoin d'être administrateur.

Dernière modification par otyugh (27-01-2020 17:52:40)

Anonyme-11 · 27-01-2020 17:54:48

Merci beaucoup.

Très intéressant!
Avec ça plus qu'à connecter un compte trucmush automatiquement.

La commande à mettre dans le fichier sudoers peut être le chemin de mes scripts?

trucmush ALL=(ALL) NOPASSWD: /1

ou bien dois-je taper :

trucmush ALL=(ALL) NOPASSWD: apt-get update && yes | apt-get dist-upgrade

Je ne maîtrise pas sudo, je le retire systématiquement après une installation...
Faut il qu'il soit mentionner avant la commande apt-get ?

Je n'avais pas pensé au crontab.
En fait, j'envisage d'assigner d'autres commandes
je vais essayer ça, merci encore.

Dernière modification par Anonyme-11 (27-01-2020 17:59:23)

otyugh · 27-01-2020 17:59:42

La commande à mettre dans le fichier sudoers peut être le chemin de mes scripts?

Les deux sont valides amah. T'as qu'a essayer.

Je n'avais pas pensé au crontab.

Apriori c'est plus fiable que de le faire manuellement...

Anonyme-11 · 27-01-2020 18:22:14

C'est parfait!
Cela règle le problème!

rodrigue7973 · 27-01-2020 19:09:24

c quoi ca /1 ??

otyugh · 27-01-2020 19:53:17

Le chemin de son script. Qui aurait dû être dans /usr/local/sbin/nom-du-script si la personne voulait suivre les conventions unix. Et avec un nom plus parlant que "1".

Dernière modification par otyugh (27-01-2020 19:54:35)

Anonyme-11 · 27-01-2020 22:03:59

Et comment je lance un script avec un pad numérique si son nom n'est pas composé uniquement de chiffres ?

otyugh · 27-01-2020 22:51:41

Je ne vois pas le rapport. é_è

Avec quel mécanisme logiciel tu lies le pad numérique à ton script présentement ? Y a pas mal de moyen de lier une touche à un script. Mais aucune (qui soit saine d'esprit) n'oblige à donner un nom particulier au script en question...

Dernière modification par otyugh (28-01-2020 00:06:42)

Anonyme-11 · 28-01-2020 09:45:42

Bonjour,
Il n'y a aucun mécanisme particulier...
Quand la Raspberry démarre, elle se connecte en root.
par conséquent, je n'ai qu'a appuyer sur "/", "1" et "enter" pour lancer un script...
Je ne connais pas de méthode spécifique permettant d'assigner une touche, je ne savais même pas que c'était possible depuis un tty.
D’où le fait que je place mes scripts a la racine : si ils étaient ailleurs, je ne saurai pas les exécuter avec un simple pad numérique.

Avec tout ça, je viens de découvrir "readline" et le fichier "/etc/inputrc" qui me permet d'éviter de créer des scripts.

Dernière modification par Anonyme-11 (28-01-2020 09:50:43)

Debian-facile

#1 27-01-2020 17:14:45

Autologin localement de root, est-ce dangereux?

#2 27-01-2020 17:26:42

Re : Autologin localement de root, est-ce dangereux?

#3 27-01-2020 17:36:15

Re : Autologin localement de root, est-ce dangereux?

#4 27-01-2020 17:37:53

Re : Autologin localement de root, est-ce dangereux?

#5 27-01-2020 17:39:28

Re : Autologin localement de root, est-ce dangereux?

#6 27-01-2020 17:41:16

Re : Autologin localement de root, est-ce dangereux?

#7 27-01-2020 17:44:33

Re : Autologin localement de root, est-ce dangereux?

#8 27-01-2020 17:48:56

Re : Autologin localement de root, est-ce dangereux?

#9 27-01-2020 17:54:48

Re : Autologin localement de root, est-ce dangereux?

#10 27-01-2020 17:59:42

Re : Autologin localement de root, est-ce dangereux?

#11 27-01-2020 18:22:14

Re : Autologin localement de root, est-ce dangereux?

#12 27-01-2020 19:09:24

Re : Autologin localement de root, est-ce dangereux?

#13 27-01-2020 19:53:17

Re : Autologin localement de root, est-ce dangereux?

#14 27-01-2020 22:03:59

Re : Autologin localement de root, est-ce dangereux?

#15 27-01-2020 22:51:41

Re : Autologin localement de root, est-ce dangereux?

#16 28-01-2020 09:45:42

Re : Autologin localement de root, est-ce dangereux?

Pied de page des forums