la Tourmentine

En matière de bonnes pratiques de sécurité, il est fortement conseillé de ne pas abuser des droits root (car "avec un grand pouvoir vient une grande responsabilité"). Si c'est une pratique que j'ai adopté depuis tellement longtemps que s'en est devenu naturel, la puissance du legacy a fait que ce n'est arrivé que progressivement sur l'ensemble de mes machines.

Il y a quelques années QNAP a eu le bon goût d'interdire l'accès admin non-nominatif de porcos par défaut, il a donc fallu créer un nouvel utilisateur et tout adapter, j'en ai également profité pour faire de même pour le conteneur LXD qui me sert à contourner les limitations de mon NAS. Tout mon réseau local était rootless, c'était le bonheur, mais les serveurs de la Tourmentine sont restés tels quels parce que la flemme, avec toutes les opérations lancées en root (y compris via Ansible) et quelques comptes systèmes dédiés aux applis.

Je me suis donc fait violence et après trois jours de taf (la faute à une preprod toujours lente et bancale, bref) j'ai enfin pu activer le fatidique:

PermitRootLogin no

Pas mal de scripts à adapter, en particulier les transferts par rsync, toujours un peu acrobatiques sans accès root, mais c'est à peu près tout. Dans certains cas ça simplifie même les choses.

Et non, la récente sortie de Sudo pour Windows n'a rien à voir avec cette décision 😅