Creer un groupe Administrateur

Support Debian
#1

Bonjours à tous.
Pour 2ans en alternance pour un BTS IG option Réseau j’ai décider de mettre en place comme projet LA console de supervision NAGIOS.
Tout va bien, cela marche du feu de Dieu !

Seulement, jusqu’a là j’ai administrer mon système seulement par l’intermédiaire du compte root.

Mon maitre de stage, ma alors demander, de créer 5 administrateurs, qui pourrons faire des tache système, comme modifier la configuration de Apache de Nagios, rebooter le système…

Si je regarde le propriétaire des dossier:
/etc/apache2 root:root
/usr/local/nagios nagios:nagios
/sbin/shutdown root:root.

Créer des utilisateurs et des groupes ce n’est pas le probleme que je rencontre, c’est juste de faire appartenir tel ou tel dossier/fichier à tel groupes… Dans une optique de sécurité et d’homogénéité pour l’administration systeme

Merci de vos conseils

#2

AMA il ne faut pas utiliser les groupes du systême, mais il faut surtout utiliser finement sudo et ses groupes pour donner à certains users certains droits à lancer seulement certaines commandes sous l’identité que tu configureras (pas forcément root, éventuellement prendre l’identité d’un user nagiosadmin ou des trucs comme ça). Ils pourront alors faire leurs manips en root, mais seulement celles que tu leur accordes.

#3

regarde du coté de centreon, c’est une interface web qui permet d’administrer nagios. avec ça, plus besoin d’aller bricoler directement sur le serveur.

De plus, centreon a sa propre gestion des utilisateurs que tu peux coupler sur un LDAP. je trouve que c’est un excellent outil pour qui utilise nagios.

#4

En ce qui concerne centreon, je l’installerais un peu plus tard, car mon tuteur veut absolument que j’organise mon système !
Il attend un groupe administrateur, qui peu configurer Apache, Nagios, et éxecuter certaine commande d’administration, et ceux sans être root, est ce que cela ce fait t-il vraiment ?

Est ce que changer le groupe des outils qui apartient au groupe root en groupe administrateur ce fait-il ?

Si je fait un ls -l, je peu voir:

-rwxr-xr-x 1 root root  58380 2005-12-04 05:52 ifconfig

Serais t-il dangereux de le transformer en

-rwxr-xr-x 1 root administrateur  58380 2005-12-04 05:52 ifconfig

Une autre manière de procéder peu être ?
J’attend vos retour d’expérience !
Si vous avez des lien sur le sujet ou autre

#5

[quote=“BbT0n”]En ce qui concerne centreon, je l’installerais un peu plus tard, car mon tuteur veut absolument que j’organise mon système !
Il attend un groupe administrateur, qui peu configurer Apache, Nagios, et éxecuter certaine commande d’administration, et ceux sans être root, est ce que cela ce fait t-il vraiment ?[/quote] Oui, ça se fait, mais pas avec les groupes systême, avec les groupes sudo. Ne touches pas à la gestion des groupes systême, ce sont les paquets qui les manipulent, utilises sudo pour faire une gestion fine, c’est fait pour ça à la base. [quote=“BbT0n”]Est ce que changer le groupe des outils qui apartient au groupe root en groupe administrateur ce fait-il ?[/quote]Ca peut se faire mais ce genre de modifs sur les droits attendus par le systême sur ses répertoires ou objets propres peut faire tomber en panne certaines fonctionnalités, ou sauter lors d’une mise à jour. => sudo [quote=“BbT0n”]Si je fait un ls -l, je peu voir:

-rwxr-xr-x 1 root root  58380 2005-12-04 05:52 ifconfig

Serais t-il dangereux de le transformer en

-rwxr-xr-x 1 root administrateur 58380 2005-12-04 05:52 ifconfig [/quote]Oui ![quote=“BbT0n”]Une autre manière de procéder peu être ?[/quote]Oui ![quote=“BbT0n”]J’attend vos retour d’expérience !
Si vous avez des lien sur le sujet ou autre[/quote] lea-linux.org/cached/index/A … -sudo.html

#6

Mattotop tu assure !

Je ne savais pas que sudo permetais de faire tout ça !

Donc si je comprend bien, je creer un groupe administrateur et je met les user de chaque application (Apache,Nagios…) dedans, et pour l’execution de commande système il faut que je configure /etc/sudoers ?

Si c’est ça alors c’est résolu !

#7

en fait sudo ne sert à ça, à déléguer des droits.

#8

Merci encore pour vos info, j’avance sur ma configuration système.

Maintenant, je cherche à créer un groupe administrateur dans lequel je métrais mes 5 administrateurs,pour qu’il puisse modifier les fichier de configuration de apache,nagios.

Apache apartien au groupe www-data
Nagios apartien au groupe nagios

Est ce que je peu faire appartenir mon groupe administrateur (dans lequel il y à mes 5 administrateurs) au groupe www-data et au groupe nagios ce qui leurs permétrais de modifier les fichiers de configurations, ou alors est-ce une mauvaise approche du problème ?

Est-ce:

usermod ?
groupmod ?

Je n’ai pas trouver de doc sur faire appartenir un groupe à un groupe
Cordialement

#9
#10

Au moin ça mérite d’être clair :unamused:

Donc il n’est pas commode de faire appartenir un groupe à un groupe, pourtant c’est ce qu’il me semblais le plus logique ?

Il faut donc que je fasse un script qui me permette de faire appartenir mes nouveau user à www-data et nagios.
Je le post dés que c’est fini

Cela reste quand même plus fastidieux que la solution de l’appartenance du groupe à un groupe ?!

Merci de votre interet pour mon problème !

#11

[size=200]SUDO[/size], [size=200]pas groupes[/size]

#12

BbT0n, tu aurais au moins pu lire jusqu’au bout le lien de mat (http://www.lea-linux.org/cached/index/Admin-admin_env-sudo.html)… tu vas nous l’énerver …

il contient tout le tuto pour mettre en place sudo. il n’est pas question de toucher aux groupes www-data ou nagios, qui sont des groupes <système>. car en cas de mise à jour ta conf risque de tomber par terre.

sur ton système, un sudo bien configuré permettra à un utilisateur lambda (un des 5 admins) de lancer des commandes du style sudo /etc/init.d/apache2 force-reload alors qu’il n’est pas root.

sinon il y a là une doc en anglais http://www.sudo.ws/sudo/man/sudo.html

#13

Sinon regarde vers calife http://www.debian-doc.org/packages/c/calife/README.html
Ca peut t’interesser