Bonsoir,
Une petite question sans importance (sauf pour moi !), sous Gnome dans Système -> Administration -> Utilisateurs et Groupes, il y a la possibilité de créer un utilisateur administrateur, mais qu’a-t-il de plus qu’un utilisateur << normal >> vu que pour installer un logiciel il faut passer en root (su…) ? 
Ça doit être un utilisateur qui appartient au groupe wheel (groupe des admins). Qui a le droit de faire su et sudo…
Ah oui, je peux aussi donc faire su (mot de pass root) aptitude install mon_super_truc
et su administrator (mot de pass administrator) aptitude install mon_super_truc ;
et dans ce cas que reste-t-il de plus à root ?
su n’a rien de plus que root. Le compte “su” n’existe pas. su appelle root si on ne lui précise pas d’utilisateur.
root a le maximum, rien de plus rien de moins.
Pour compliquer la chose,
login : root
$ su -
$ su -l
$ su --login
sont équivalents, mais pas
$ su
su sans “–login” correspond à root avec les réglages de l’utilisateur.
Entrent en jeu l’environnement et les variables plus ou moins heureux hérités de l’utilisateur.
N’importe qui peut appeler “su” (faut connaitre le mot de passe), tout le monde ne peut pas appeler sudo.
L’accès à sudo est conditionné Pour en avoir le coeur net.
$ sudo -l
[quote]N’importe qui peut appeler “su” (faut connaitre le mot de passe), tout le monde ne peut pas appeler sudo.
L’accès à sudo est conditionné Pour en avoir le coeur net.[/quote]
Ca c’est ben vrai, et c’est très bien comme ça (on n’est pas chez ubuntu ici!)
[quote]su sans “–login” correspond à root avec les réglages de l’utilisateur.
[/quote] ça je le savais,
[quote]
Entrent en jeu l’environnement et les variables plus ou moins heureux hérités de l’utilisateur. [/quote]ça je ne le savais pas,
[quote]tout le monde ne peut pas appeler sudo.
L’accès à sudo est conditionné [/quote]
oui, via le fichier /etc/sudoers (?)
Mais reste une partie de ma question :
root étant ce qu’il est, et “administrator” étant un compte administrateur
root a le maximum, rien de plus rien de moins ; alors administrator a-t-il moins que root ?
root, définition du "jargon file"
retrologic.com/jargon/R/root.html
[quote]root: n.
1. [Unix] The superuser account (with user name ‘root’) that ignores permission bits, user number 0 on a Unix system. The term avatar is also used.
2. The top node of the system directory structure; historically the home directory of the root user, but probably named after the root of an (inverted) tree.
3. By extension, the privileged system-maintenance login on any OS. See root mode, go root, see also wheel.[/quote]
recherche dans /etc/group “user number 0 on a Unix system” nous donne
root:x:0:
Compare le résultat de cette commande avec root et le dénommé “administrator”.
$id
Dans l’antiquité UNIX on n’était pas obligé d’appeler root de ce nom il prenait l’identité de god, wheel … Il en est resté un vestige, le groupe
d’administrateur wheel qui peut prendre les privilèges de root.
[quote]$ man sudoers | grep wheel
%wheel ALL = (ALL) ALL
We let root and any user in group wheel run any command on any host as any user.[/quote]
Faisant partie de wheel administrator est un simple utilisateur auquel on concède le droit
de lancer sudo sans mot de passe.
root ne demande la permission à personne là où "administrator"
se voit octroyer l’autorisation temporaire de prendre autant de latéralité que root.
Enlèver “administrator” du groupe wheel ne prendra qu’un instant .
Supprimer “administrator” ne prendra qu’un instant.
deluser administrator
supprimer totalement root de son système malgré sa bonne volonté ubuntu n’y est pas encore parvenu.
.
@ Etxeb…
Super intéressant tout ça que j’ignorais totalement 
Tu devrais en rajouter quelques lignes dans le fil de T&A sur “root, sudo, etc”. Ça y aurait tout à fait sa place.
http://forum.debian-fr.org/viewtopic.php?f=3&t=17125
Si j’ai bien compris, en se plaçant dans le groupe wheel, on peut jouer à root ?
doit-on entrer un pass qunad même, celui de l’user présent dans le groupe, celui de root, aucun ???
J’ai été vite en besogne sur certains points.
“sans mot de passe” demande une précision
À condition de valider
%wheel ALL=NOPASSWD: ALL
dans /etc/sudoers.
même tarif que
%sudo ALL=NOPASSWD: ALL
Réglages sans mot de passe, la porte ouverte à des abus.
Le filtre est justement celui du mot de passe bien costaud et confidentiel qui est ici anéanti.
Autre précision : contrairement à mon assertion "N’importe qui peut appeler su"
on peut justement empêcher ce comportement en validant wheel.
Décommenter /etc/login.defs
#SU_WHEEL_ONLY
Les FreeBSD sont ainsi réglées par défaut.
En fait alors, wheel équivaut à un user dans le groupe root, non ?
Je connais, bien sûr, tous les inconvénients de ces pratiques, ce n’est que pour ma seule information.
Débutants, ne pas lire
C’est plus clair (bien qu’assez compliqué) pour moi, je retiendrai en priorité :
[quote]root ne demande la permission à personne là où "administrator"
se voit octroyer l’autorisation temporaire de prendre autant de latéralité que root.[/quote]
Merci pour ma lanterne.
Au fait, wheel a-t-il besoin d’être déclaré quelque part ?
Sinon, quel est son pass, celui de root ?
EDIT :
Du nouveau au sujet de wheel :
[code]################# OBSOLETED BY PAM ##############
These options are now handled by PAM. Please
edit the appropriate file in /etc/pam.d/ to
enable the equivelants of them.
###############
#MOTD_FILE
#DIALUPS_CHECK_ENAB
#LASTLOG_ENAB
#MAIL_CHECK_ENAB
#OBSCURE_CHECKS_ENAB
#PORTTIME_CHECKS_ENAB
#SU_WHEEL_ONLY
#CRACKLIB_DICTPATH
#PASS_CHANGE_TRIES
#PASS_ALWAYS_WARN
#ENVIRON_FILE
#NOLOGINS_FILE
#ISSUE_FILE
#PASS_MIN_LEN
#PASS_MAX_LEN
#ULIMIT
#ENV_HZ
#CHFN_AUTH
#CHSH_AUTH
#FAIL_DELAY[/code]
Sur le thème de la symbolique de la roue.
fr.wikipedia.org/wiki/Chakra#Un_ … de_pouvoir
Dans la lointaine antiquité la roue à rayons c’est à dire l’usage de chars légers offrait une supériorité militaire sur les attardés aux chars lourds à roue pleine ou les primitifs piétons.
fr.wikipedia.org/wiki/Char_%28An … o-Iraniens
[quote]Les chars sont un élément important de la mythologie des Indo-Iraniens et de la mythologie hindoue, tout comme dans la mythologie perse : la plupart des dieux du panthéon perse sont représentés sur un char de guerre. Le mot sanskrit pour un char, ratha, est commun à tous les Proto-indo-européens pour désigner la roue, et a donné en latin la rota.
[/quote]
La roue représentait la puissance.
La roue de paon a-t-elle des freins ?
Refermons la parenthèse, revenons à nos moutons.
Wheel n’est pas une émanation de root comme toor (root dupliqué), ce n’est qu’un groupe dans lequel on inclut des comptes “de confiance” comme tu inclus des membres au groupe audio pour qu’ils puissent écouter le cor le soir au fond des bois.
Subjectif et arbitraire , qu’est-ce qu’un compte “de confiance” ?
Imagine que les comptes de Jean-Kevin
et de Raymonde aient droit au privilège suprême du groupe % wheel "famille du patron"
et le restant au groupe %users “sherpas corvéables”.
L’user sherpa1 du groupe %users sera empeché d’éxécuter
$ su sherpa2
pour prendre l’identité de sherpa2.
wheel se rencontre surtout en *BSD.
Moins courant en debian (même kfreebsd) , il y a une raison plus politique que technique .
en anglais
gnu.org/software/coreutils/m … ation.html
23.6.1 Why GNU su does not support the ‘wheel’ group
(This section is by Richard Stallman.)
“Sa sainteté” assure que wheel n’est qu’un groupe autoritariste privilégié , le club privé de ceux qui s’approprient /bin/su excluant les pauvres manants de la basse plèbe .
ricardo, je pense que tu pourrais t’inspirer de
debian.org/doc/manuals/refer … ne.fr.html
9.2.2 Pourquoi GNU su ne supporte pas le groupe wheel
Le titre est trompeur, il soutient le contraire.
recettes à base de pam.
Que tout cela est bien dit 
De la technique, liée à de la poésie, avec une pincée d’histoire accomodée d’un soupçon d’ironie, j’adore, d’autant plus que la syntaxe est correcte !
Je lirai tous ces liens à tête reposée, merci 
“Lu et approuvé”
Plus rien à dire (ça c’est autre chose 
), tout y est 
Perso, je suis un peu comme Mr Jourdain, en dehors de well, que je ne connaissais pas, j’utilise déjà le groupe “adm” pour lire facilement certains fichiers, en tant qu’‘user’ (merci François) et “sudo”, avec quelques rares ‘NOPASSWD’ et quelques alias.
‘root’ directement, je n’utilise que très rarement.
J’ajoute que je suis SEUL sur mes machines, sauf quand mes enfants et petits-enfants viennent à la maison. Dans ce dernier cas, ils n’ont accès qu’à une machine sans aucune permission.
Un extrait de man su
[quote]Ce programme ne gère pas le “groupe wheel” utilisé pour
restreindre l’accès par su au compte Super-Utilisateur,
car il pourrait aider des administrateurs systèmes
fascistes à disposer d’un pouvoir incontrôlé sur les
autres utilisateurs.
[/quote]
Et il existe le package super
[quote]Super permet aux utilisateurs spécifiés d’exécuter des scripts (ou
d’autres commandes) comme s’ils étaient root ou peut changer l’identifiant
d’usager et/ou de groupe selon la commande avant de l’exécuter. Il est
destiné à être une alternative sécurisée pour écrire des scripts setuid
root.[/quote]
Ce qui prouve que le sujet est vaste et complexe, et qu’on vite fait de faire des bétises avec! Donc quand on ne maitrise pas, on ne touche pas!