Héberger configurer droits d'accès SSH serveur

[rtyu]

Je vais devoir conserver des informations importantes dans une Base MySql
et il me semble naturel que moi-seul puisse accéder à sa configuration.

1- Hélas j'ai cru comprendre qu'une personne ayant les droits sous le Linux
qui héberge le système, peut accéder :
(a : à la lecture des fichiers de données ?
(b : aux routines php qui contiennent des mots-de-passe, ou à My.cnf ?
(c : ou tout simplement arrêter le serveur Sql, et repartir avec l'option skip_grant_tables
pour ré-installer un passe root Sql.

2 - Hors je ne possède pas vraiment les compétences pour gérer un Linux-Apache en SSH.
Est-il envisageable qu'un hébergeur fasse des interventions sur le système
avec mon mot-de-passe, après que j'ai retiré de ce système (c'est à dire rapatrié
sur mon ordinateur à la maison) les fichiers de données de la Base, le My.conf,
et quels autres fichiers ?
Et donc y a-t-il une procédure "simple" (En accès SSH (ou FTP?) pour que je recharge ensuite
un nouveau mot-de-passe afin que moi seul ai de nouveau accès au serveur ?

[nico@nc]

Je ne connais pas grand chose dans tout ça, mais il va falloir que tu fasse un minimum confiance à ton hébergeur. Il est tout de même responsable de ce qu'il héberge.

Si ce n'est pas indiscret, de quel genre de données importantes va-t'il s'agir ?

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6

[calimo]

A priori, à moins d'héberger ton serveur chez toi, il y a bien un moment où tu devras faire confiance à l'hébergeur

Le my.cnf ne contient rien d'intéressant, pas de mot de passe (normalement).

Cela dit je n'ai pas trop compris le point 2... pourquoi l'hébergeur utiliserait-il ton mot de passe ? Il a surement le mot de passe root, pas pas besoin du tien...

Ensuite, tu voudrais retirer "les fichiers de la base" ? Je vois pas trop là... si tu retires ces fichiers, ta base n'est plus en ligne... ça me fait penser à ça, tiens : http://www.genezys.net/blog/2004/09/04/ ... -de-gueule


Tu as des infos ultra-confidentielles ou quoi ? Des données du FBI ? De la nasa ? Des secrets médicaux ? Des casiers judiciaires ? Dans ce cas, le mieux c'est de passer un contrat avec ton hébergeur dans lequel il s'engage à ne pas aller regarder tes données parce que de toutes façons il le pourra

[Yoko]

Moi non plus j'ai pas compris grand chose.

Mais comprend bien que FTP fait transiter les données en claire sur le réseau.
Soit tu passe par sftp soit par scp. Les deux sont très sur.

Tu veut administrer un LAMP avec juste un accès ssh ? C'est pas compliqué il y a pleins d'explication sur forum.debian-fr.org par exemple.

Pour ce qui est de MySQL j'y connais absolument rien. Bonne chance et ne psychote pas trop des données il y en a des milliards sur le web pour qu'elles se fassent embarquer il faut avoir la poisse.

Message envoyé avec : Mozilla/5.0 (X11; U; Linux x86_64; fr; rv:1.8.1.6) Gecko/20070723 Iceweasel/2.0.0.6 (Debian-2.0.0.6-0etch1)

[calimo]

ne psychote pas trop des données il y en a des milliards sur le web pour qu'elles se fassent embarquer il faut avoir la poisse.

Ou tenter de les obscurcir, ce qui les rend forcément attrayantes !

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.6) Gecko/20061201 Firegecko Firefox/2.0.0.6 (Ubuntu-feisty)

[rtyu]

Bonjour nico@nc, bonjour calimo,
bonjour Yoko

Je serais très heureux que tu puisses nous expliquer SFTP et SCP.
(J'imagine que ce sont les versions cryptées, mais qu'est-ce que ça implique.
Les hébergeurs ont-ils forcément le module ? Connexion très ralentie ?
Ca permet quand même pas de passer outre les "droits de fichiers Linux" ?..
Et si "l'écoute" de données qui sortent d'un serveur tient plutôt de la chimère..
Sinon quels genres de moyens concrèts le permettent.

Calimo selon toi on peut faire une mécanique PHP-MySql sans qu'aucun fichier
ne contienne un mot-de-passe root MySql en clair ? Je suis étonné.
(Ta précision : il s'agit d'octroyer un "root" Linux afin que l'hébergeur fasse les opérations de maintenance qui le concernent, puis de re-changer en SSH cette autorisation "root" Linux, afin que moi-seul reprenne le contrôle de la machine (au moins partiellement, et jusqu'à quel point d'ailleurs. C'est ça la question).

Les explications que vous pourrez fournir n'ont d'autre but que de clarifier
les rapports entre les appareils, où sont les points d'accès,
et comment circule l'information sur un plan technique.

Sur un plan contentieux la "confiance" n'a rien à voir.
lorsque les gens concluent un accord tout est rose.
Seulement voilà, les choses de la vie font que parfois, deux voisins peuvent
entrer en conflict alors même qu'ancun des deux n'est particulièrement fautif.
Un employé-boulanger peut mettre trop de sel dans le pain
parce qu'il pense qu'il n'est pas assez payé.
Un stagiaire informaticien peut même tout simplement commettre une erreur
après avoir été trop curieux.
Ainsi chez les gens parfaitement clairs, protocoles et information sont diffusés
pas du tout uniquement pour la seule tranquilité du client...

Merci de la remarque, il fallait que ce soit dit.


Message envoyé avec : Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)

[Yoko]

Je serais très heureux que tu puisses nous expliquer SFTP et SCP.
(J'imagine que ce sont les versions cryptées, mais qu'est-ce que ça implique.
Les hébergeurs ont-ils forcément le module ? Connexion très ralentie ?
Ca permet quand même pas de passer outre les "droits de fichiers Linux" ?..
Et si "l'écoute" de données qui sortent d'un serveur tient plutôt de la chimère..
Sinon quels genres de moyens concrèts le permettent.

SFTP c'est du ftp dans un tunnel SSL. Du coté du server il faut un server SSH bien configuré et un server FTP.
SCP c'est un transfert de protocole inclue à SSH donc il suffit d'un server SSH je crois.

Passer outre les droit de fichiers je comprend pas trop, tu ne pourras transférer que des fichier que tu peut lire.

Avec ces deux protocoles il est plus facile de s'attaquer aux données quand elles sont sur la machine du servers que pendant le transfert.

Message envoyé avec : Mozilla/5.0 (X11; U; Linux x86_64; fr; rv:1.8.1.6) Gecko/20070723 Iceweasel/2.0.0.6 (Debian-2.0.0.6-0etch1)

[calimo]

Calimo selon toi on peut faire une mécanique PHP-MySql sans qu'aucun fichier
ne contienne un mot-de-passe root MySql en clair ? Je suis étonné.

J'ai dit ça ? Si c'est le cas tu m'as mal compris, la seule solution c'est que tu sois physiquement derrière la machine à entrer manuellement le mot de passe à chaque requête : il y a bien un moment où il faut l'indiquer ce mot de passe ! (à moins de ne pas en mettre évidemment, mais je ne pense pas que ce soit la solution )

(Ta précision : il s'agit d'octroyer un "root" Linux afin que l'hébergeur fasse les opérations de maintenance qui le concernent, puis de re-changer en SSH cette autorisation "root" Linux, afin que moi-seul reprenne le contrôle de la machine (au moins partiellement, et jusqu'à quel point d'ailleurs. C'est ça la question).

Hum, manifestement tu n'y connais rien à Linux, je suis juste ?
Le "root", c'est l'équivalent de l'administrateur sous Windows, celui qui peut tout faire. Il y a forcément un compte root. Il suffit d'avoir le mot de passe pour pouvoir l'utiliser, ou un compte utilisateur qui ait les droit suffisants pour devenir root.
Et je doute qu'aucun hébergeur accepte de ne plus avoir aucun contrôle sur ses machines

Les explications que vous pourrez fournir n'ont d'autre but que de clarifier
les rapports entre les appareils, où sont les points d'accès,
et comment circule l'information sur un plan technique.

Du moment que quelqu'un a un accès physique à la machine, tu peux oublier toute notion de sécurité, il peut nécessairement faire tout ce qu'il veut.

Au démarrage, tu as des modes de récupération qui te permettent d'être "root" sans fournir le moindre mot de passe. Il suffit donc de redémarrer... peut-être pas avec toutes les distributions ?
Il suffit également de retirer le disque dur et de le mettre sur une machine sur laquelle on a les droits... non, sérieusement, c'est une chimère

Sur un plan contentieux la "confiance" n'a rien à voir.

Bien sur que si, ça a tout à voir !
Du moment que l'hébergeur a un accès physique à ta machine, tu ne pourras pas l'empêcher de faire ce qu'il veut. Donc le seul moyen de garantir la sécurité c'est de lui faire confiance. Il n'y a pas d'autre possibilité...

Si tu ne lui fais pas confiance, alors tu montes ton propre serveur, tu le sécurise, tu es le seul à pouvoir y accéder, et là tu es bon

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.6) Gecko/20061201 Firemarsupilami Firefox/2.0.0.6 (Ubuntu-feisty)

[Yoko]

Calimo selon toi on peut faire une mécanique PHP-MySql sans qu'aucun fichier
ne contienne un mot-de-passe root MySql en clair ? Je suis étonné.

J'ai dit ça ? Si c'est le cas tu m'as mal compris, la seule solution c'est que tu sois physiquement derrière la machine à entrer manuellement le mot de passe à chaque requête : il y a bien un moment où il faut l'indiquer ce mot de passe ! (à moins de ne pas en mettre évidemment, mais je ne pense pas que ce soit la solution )

J'ai pas tout compris ce que tu as dis Calimo, mais sous Linux les mot de passe ne sont jamais enregistré en claire. Le fichier shadow contiens les mots de passe crypté par exemple un mot de passe peut être "XXXXXXXXXXXXXXXXXXXXXX". Je sais que je suis un peu taré mais j'ai mes limites
Prends un checksum comme md5. À la création du mot de passe il enregistre le checksum de celui - ci. Puis au connexion il compare bit à bit les checksum enregistré et calculé (note je ne sais pas si c'est md5 ou un autre qui est utilisé).

Message envoyé avec : Keep Out


Modération: merci de ne pas laisser de mot de passe sur le forum, même sous forme hashée.

[Benoit]

Le principe d'un utilisateur root (ou administrateur) c'est précisément qu'il n'a pas besoin de ton mot de passe pour accéder à tes fichiers.

Après, le contenu de ces fichiers pourrait théoriquement être lui-même chiffré, mais si ils sont utilisés par un serveur Web qui est utilisé sur la machine, il est toujours possible de reproduire les instructions qui ont permis de le lire puisqu'elles se trouvent sur place.

[Mori]

[Modération] moi, ce que j'aime dans la sécurité du root password comme du baudet password ... c'est qu'il ne faut pas s'amuser à croire qu'on est à l'abri.

[calimo]

J'ai pas tout compris ce que tu as dis Calimo, mais sous Linux les mot de passe ne sont jamais enregistré en claire.

En fait, je parlais du mot de passe pour MySQL. Pour connecter un script php au serveur MySQL, il faut indiquer le mot de passe, et celui-là ne peut être qu'en clair !

Le principe d'un utilisateur root (ou administrateur) c'est précisément qu'il n'a pas besoin de ton mot de passe pour accéder à tes fichiers.

Non, mais il faut un mot de passe pour se connecter en root (sauf en failsave évidemment)

Bref, à moins de faire confiance à l'hébergeur ou d'avoir son propre serveur...

[rtyu]

Je crois que c'est le "root" Linux qui m'échappe.
Mettons de côté le fait que l'hébergeur peut accéder physiquement à la machine,
et retirer le disque pour le lire ailleurs.
Si je loue un dédié chez un hébergeur : ne suis-je pas le "root" du système ?
avec la faculté de bloquer l'accès à quiconque ?
L'idée est alors que je paramètre en SSH un autre passe "root" sytème afin que
l'hébergeur fasse à l'occasion son travail de maintenance logicielle, (après que j'ai retiré
les fichiers de données sensibles), puis une fois terminée, j'annule l'autorisation de ce passe
en y remettant un nouveau passe qui m'est personnel.


Message envoyé avec : Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)

[calimo]

Si je loue un dédié chez un hébergeur : ne suis-je pas le "root" du système ?

Ben, je sais pas, pas nécessairement... je n'ai pas d'expérience avec les hébergements dédiés. Je pense que oui, tu as les droits root, mais il est possible que tu ne sois pas "root" lui-même, juste un utilisateur avec privilèges et possibilité de faire un "sudo" pour modifier les fichiers de ton système. En gros tu n'es pas root, mais tu as les droits root.

L'hébergeur peut rester root lui-même et te donner tous les droits, mais il faut savoir qu'il peut "restreindre" ce que peux faire un utilisateur, même un avec droits root, comme celui de changer le mot de passe root... c'est ce qui me parait le plus probable, comme je l'ai dit plus haut, je doute qu'ils laissent complètement la machine à leurs utilisateurs... mais on ne sait jamais

Le seul moyen de vraiment le savoir, c'est de contacter ton hébergeur et de voir avec lui ce qui est possible / pas possible

[The BLION Corp.]

Troll spotted...
Notre troll a posé cette question sur divers forums. Dont ceux d'OVH... Il a eu les mêmes réponses qu'ici...

Pas la peine d'insister.

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.7) Gecko/20070914 Firefox/2.0.0.7