Le 26/03/21 à 09:46, Maxime DERCHE maxime@mouet-mouet.net a écrit :
Laisse donc l'appli foo tourner en tant que user et groupe foo, et crée des comptes nominatifs qui appartiennent au groupe foo.
Mets les clefs SSH des gens dans l'annuaire LDAP, afin d'éviter d'avoir à gérer des déploiements d'accès à chaque mouvement dans l'équipe ou à chaque compromission d'accès.
On joue pas dans la même cour…
Je bosse pour une asso, j'ai pas de ldap (la base des users c'est le /etc/passwd de chaque VM, ceux qui peuvent se connecter sont dans les ${userHome}/.ssh/authorized_keys, pas de password nulle part, la source de l'info est le host.yaml de mon ansible, pour répercuter d'éventuelles modifs partout).
Les admins ayant des clés ssh c'est - moi - qq adminsys pompiers, d'astreinte à tour de rôle, qui peuvent se connecter si je suis pas dispo
Et parfois y'a le dev de l'appli foo qui a une clé pour se connecter à son appli (c'est rare, en général s'il doit y accéder c'est du sftp sans shell).
Donc pas près d'être ISO27001, ou ISOxxx, ou que sais-je, et ça tombe bien personne ne me l'a demandé ;-)
Ignorer ce travail c'est se penser meilleur que les normes : l'arrogance précède la chute.
Je suis évidemment moins malin et moins bon en sécurité que ceux qui ont pondus ces normes, je pense simplement qu'elles ne sont pas les plus pertinentes dans mon contexte.
Et je ne pense pas que ce soit par arrogance, simplement du pragmatisme.