Compte admin

Asaln

Nouveau membre
8 Avril 2021
6
0
0
Bonjour,

Je lis qu'il est préférable de désactiver le compte admin et de créer un autre compte avec des droits administrateur. Ce que j'ai fait.
Cependant j'ai une (série de) question(s).
Il semble que si on désactive admin les tâches cron sous root ne fonctionnent plus. Le problème c'est que ça fonctionne mal aussi avec le nouvel utilisateur administrateur. (je précise qu'il a /bin/sh dans /etc/password). Mais il ne peut accéder aux dossiers de sauvegardes de rsnapshot : pas d' autorisation, bien qu'il ait les droits dessus. Faut-il aussi changer le propriétaire de ces dossiers ?
 
Je fait également partie de ceux qui ont désactivé le compte admin . Certes cela peut avoir certaine répercutions dans les fonctions avancés SSH / Root .... qui ne sont certainement pas exploité par une majorité d'utilisateur .
Mais on peut tjrs ponctuellement réactivé le compte admin . De plus cela dépend du Nas utilisé chez Qnap le SSh peut s'utilisé avec un autre utilisateur qu'admin
 
zypos a dit:
Je fait également partie de ceux qui ont désactivé le compte admin . Certes cela peut avoir certaine répercutions dans les fonctions avancés SSH / Root .... qui ne sont certainement pas exploité par une majorité d'utilisateur .
Mais on peut tjrs ponctuellement réactivé le compte admin . De plus cela dépend du Nas utilisé chez Qnap le SSh peut s'utilisé avec un autre utilisateur qu'admin

Merci pour la réponse. Bon chez synology aussi on peu faire du ssh avec un autre utilisteur. J'en conclue donc que désactiver admin désactive root. Cependant les dossiers synchroniséé par ssh/rsync (en l'occurrence rsnapshot), des sauvegardes donc, ne sont plus synchronisées (autorisation refusée).Faut-il faire un chown -R toto:toto sur ces sauvegardes pour les voir synchronisées à nouveau (en supposant que toto soit un le nouvel admin). Perso je trouve un peu c... que le nouvel admin n'ait pas les droits sur ces dossiers.

D'un autre côté je ne comprends pas très bien l'avantage de supprimer le compte admin si on en crée un autre avec un autre nom, à part qu'il ne s'appelle pas admin mais est-ce que cela peut vraiment arrêter un piratage ?...
 
Utilisant des Nas depuis 2003 , les attaques se font généralement avec les noms : admin ; users ; guest ; administrator . Changer ces noms compliquent la tâche de pirates éventuel ; après il faut mettre en place un blocage des adresses IP avec une règle genre: si 5 tentatives infructueuses , blocage de l'adresse
Pour moi le risque Zéro n'existe pas :oops:
Ce qui est surtout rechercher ce n'est pas vraiment le piratage des données , mais le blocage du serveur avec des attaques en rafale , d'où le blocage des adresse IP maintenant dispo dans les Nas
 
Bon du coup j'en reviens à mon souci quand je désactive le compte admin après avoir créé un compte administrateur disons Toto. Je précise que je suis sous Linux sans cela ça ne sera pas compréhensible.

J'ai une tâche cron sur mon pc qui se connecte au nas par ssh et lance rsync (soit seul soit par rsnapshot) qui y sauvegarde des dossiers. Cette tâche est dans cron.daily et est lancée par root donc et se connecte au nas sous le root du nas (avec ssh sans mot de passe mais avec une clé). Ça marche très bien depuis belle lurette.
Seulement quand je désactive admin ça ne marche plus. Diable! me dis-je, je vais me connecter sous le nouvel administrateur Toto. Je crée donc une clé pour Toto dans son ~/ . ssh sans oublier de lui ajouter /bin/sh dans /etc/password, je t'ajoute les clés publique dans le /root de mon pc sous /root/.ssh/ et je modifie mes tâches cron pour me connecter au nas sous le nouvel admin Toto. Il se connecte bien au nas sous l'identifiant Toto et lance rsync mais les logs me disent qu'il ne peut pas écrire dans les dossiers de sauvegarde bien que j'ai donné les droits en écriture dessus à Toto et au groupe administrateurs. Et même si je mets Toto comme proprétaire des ces fichiers ça coince quand même : pas le droit d'écrire ! Qu'il dit !

J'en conclue donc qu'il y a un truc que je ne connais pas avec rsync sous diskstation et je n'ai rien trouvé de précis là-dessus. En clair qu'a le droit de faire root avec rsync qui n'est pas permis à un autre admin.

Et question subsidiaire polémique : quand synology conseil de désactiver admin mais ne dit pas tout de ce qui en découle, il me semble qu'ils déconnent un peu, et se mettent ainsi facilement à l'abri des critiques sur le niveau de sécurité de leur système pour pas cher. Il faudrait peut-être qu'ils pondent un mode d'emploi complet parce que c'est quand même eux qui encaissent le prix du nas au lieu de se reposer sur le bonnes volontés et les compétences des usagers. Ou alors ils ne savent pas complètement ce que fait la désactivation du compte admin et là ça devient inquiétant.
 
Je ne suis pas assez expert sous Linux pour pouvoir t'aider plus . Par contre pour avoir un Syno et un Qnap il est vrai que désactivé le compte admin n'a pas les même conséquence ;
Les Qnap sont plus souple ont peut modifier les conditions d'accès au Nas en ssh avec un administrateur autre qu'admin ; à ma connaissance il n'y a pas d'équivalence chez Syno
Bon je suis loin d'être un expert en ssh ; ligne de commande et j'utilise Windows :oops: