Désactivation compte root

Nico052020

Contributor
Joined
May 27, 2020
Messages
101
Bonjour,

Je me posais une question concernant le compte root. Une fois le serveur en production, ne serait-il pas judicieux de désactiver le compte root, d'autant plus si celui-ci peut être accessible via l'extérieur ? (Ce sont les bonnes pratiques que j'ai apprises).
Qu'en est-il de freenas/truenas ? Je n'ai pas trouvé beaucoup de doc la dessus.

A vous lire.
 

Pitfrr

Wizard
Joined
Feb 10, 2014
Messages
1,523
Bonjour,

Sur FreeNAS, il n'est à ma connaissance pas possible de désactiver le compte root.
Et normalement le serveur ne doit pas être accessible depuis l'extérieur!! On va éviter d'exposer le NAS directement, c'est trop risqué d'un point de vue sécurité.
Au niveau de la console, le compte root est aussi très facilement accessible mais cela n'est pas jugé comme un risque important car FreeNAS/TrueNAS est principalement destiné à un usage professionnel, donc avec salle serveur et celles-ci sont généralement sécurisées en accès.
Sinon l'accès au compte root se fait par mot de passe (on peut aussi ajouter une clé d'authentification pour l'accès SSH) mais le serveur ne devrait surtout pas être exposé directement à internet (et cela quelle que soit la sécurité mise en place pour le compte root... en tout cas, c'est mon avis. :smile: ).
 

Nico052020

Contributor
Joined
May 27, 2020
Messages
101
Bonjour,
Même en exposant pas le nas à l'extérieur, c'est toujours plus sûr de désactiver ce compte lorsque c'est possible.
Il pourrait être intéressant de désactiver le compte root, et créer un utilisateur ayant les mêmes droit que root. Cela complexifie la démarche pour un attaquant. En effet, il lui faut trouver l'identifiant + le mot de passe, alors qu'avec le compte admin, l'utilisateur (root) est déjà connu.
 

Pitfrr

Wizard
Joined
Feb 10, 2014
Messages
1,523
Oui, je comprends bien l'idée.
Peut-être qu'avec TrueNAS il est possible de créer un utilisateur avec des droits root, je ne connais pas encore très bien mais ça m'étonnerait. Par contre sur FreeNAS (v9.x) ce n'est pas possible. Le compte root est utilisé pour l'accès à l'interface web (et pas d'autre utilisateur ne peut y accéder).
Par contre, on peut désactiver l'accès du compte root en SSH par exemple.

J'avais lu un thread il y a quelques temps à ce sujet dans la partie anglophone. Bien sûr je le retrouve pas. J'ai trouvé un autre qui est aussi intéressant mais c'est pas ce que je cherchais...
 

Nico052020

Contributor
Joined
May 27, 2020
Messages
101
Par contre sur FreeNAS (v9.x) ce n'est pas possible. Le compte root est utilisé pour l'accès à l'interface web (et pas d'autre utilisateur ne peut y accéder).
Tu es sûr de toi ?
Sur ma 9.3, j'ai créé un utilisateur X à qui j'ai donné les mêmes droits que root. A défaut de savoir comment désactiver le compte root, je lui ai mi un grand mot de passe. J'administre tout par l'utilisateur X.
 

Pitfrr

Wizard
Joined
Feb 10, 2014
Messages
1,523
Tu es sûr de toi ?
Ok, pas à 100% (et on peut aussi toujours se tromper! :tongue:)... mais j'en avais l'intime conviction, en théorie en tout cas. Car je ne l'ai jamais mis en pratique puisque j'utilise le compte root pour l'administration.
Dans la gestion des utilisateurs (sous la version 9.10), il y a une case "Permit sudo" qui semblerait indiquer qu'un utilisateur quelconque peut accéder aux privilèges root. En tout cas, je n'ai pas réussi à créer un autre utilisateur qui puisse accéder à l'interface web...

J'administre tout par l'utilisateur X.
Tu peux préciser un peu plus? Tu arrives à te connecter à l'interface web avec l'utilisateur X? Ou bien par SSH? Comment as-tu fait? Je suis curieux de savoir si effectivement c'est possible.
 

Nico052020

Contributor
Joined
May 27, 2020
Messages
101
Tu peux préciser un peu plus? Tu arrives à te connecter à l'interface web avec l'utilisateur X? Ou bien par SSH?
Les deux. Dans l'interface d'administration > Compte > Utilisateurs > Voir les utilisateurs > sélectionner un utilisateur > Modifier l'utilisateur > champs "ID utilisateur" > mettre à 0 (comme root) > valider
ps : dans le champ "console", j'ai mis comme root, "csh", mais je ne me souviens plus pourquoi.
 
Last edited:

Pitfrr

Wizard
Joined
Feb 10, 2014
Messages
1,523
Ah oui, j'aurai pas pensé qu'il allait accepter de modifier le UID! :smile:) (surtout pour un UID système existant)
Excellent... C'est bon à savoir et puis ça permet de remettre en question des certitudes théoriques que je pensais justes! Comme quoi, merci! :smile:

La console en "csh" c'est pour indiquer le type de shell utilisé lorsque l'on se connecte en SSH au système. C'est celui utilisé par défaut.

Alors si tu veux continuer à creuser au niveau du compte root, as-tu essayé la case à chocher "lock user"?
J'ai pas de système de test sous la main pour essayer mais normalement, ça désactive l'accès pour cet utilisateur (comme décrit dans la table 4.2.1 de la doc). Théoriquement (mais je me méfie maintenant! :grin:) il est possible de cocher cette case pour l'utilisateur root.
 

Nico052020

Contributor
Joined
May 27, 2020
Messages
101
J'ai testé de cocher "lock user" sur root. Je me suis déconnecté puis reconnecté avec le compte root sur l'interface web d'administration. J'ai réussi à me connecter.
 

Pitfrr

Wizard
Joined
Feb 10, 2014
Messages
1,523
Ah dommage... :tongue: Mais fallait le tenter.

J'ai pas d'autre idée, si tu veux approfondir cela, je te conseille d'aller voir dans le forum anglophone. Je sais que ce sujet a été abordé (mais peut-être pas exactement comme tu le souhaites).
 

Nico052020

Contributor
Joined
May 27, 2020
Messages
101
Ca marche. Merci de ton aide.
 
Top