Configurer sudo (discussion)

[quote=“terix”]Salut,
J’ai personnellement choisi

terix@ordi-1:~$ su Mot de passe : root@ordi-1:/home/terix# exit exit terix@ordi-1:~$
C’est sur qu’il faut taper exit,après chaque utilisation,mais comme ça je limite les risques de faire des bourdes
Je ne vois pas la nécessité d’envisager les choses différemment…[/quote]
Non, il n’y a pas obligation si tu fais :
$ su -c commande
ou
$ su -c 'commande en plusieurs mots’
Une fois ta commande effectuée, tu te retrouve systématiquement en user ‘$’

[quote=“terix”]Salut,
J’ai personnellement choisi

terix@ordi-1:~$ su Mot de passe : root@ordi-1:/home/terix# exit exit terix@ordi-1:~$
C’est sur qu’il faut taper exit,après chaque utilisation,mais comme ça je limite les risques de faire des bourdes
Je ne vois pas la nécessité d’envisager les choses différemment…[/quote]
Tu peux faire Ctrl + d au lieu de faire exit. Ce sera plus rapide.

[quote=“ricardo”]$ su -c commande
$ su -c ‘commande en plusieurs mots’[/quote]

Merci pour les tuyaux!..

[quote=“terix”]Salut,
J’ai personnellement choisi

terix@ordi-1:~$ su Mot de passe : root@ordi-1:/home/terix# exit exit terix@ordi-1:~$
C’est sur qu’il faut taper exit,après chaque utilisation,mais comme ça je limite les risques de faire des bourdes
Je ne vois pas la nécessité d’envisager les choses différemment…[/quote]
Dans /root/.bashrc (si tu utilise bash) :

Et ça te délogue automatiquement après 100 secondes d’inactivité.

MisterFreez, le système avec “su -c” a cet avantage sur tous les autres, c’est qu’il n’enlève pas la possibilité de conserver les autres méthodes.
Si tu fais ton ‘time out 100’, il reste valable même si tu as envie de conserver une ouverture plus longue ponctuellement.
Là, si une commande, ‘su -c’
si besoin de conserver une ouverture plus longue : le classique ‘su -’ est en place sans ne rien faire.
Pas mieux que ‘su -c commande’

Tu as raison, mais je trouve super lourd d’écrire su -c “cmd” donc autant proposer une fonction bash :

function sudo { su -c "$*" }

Su…per!
Cool, je garde tout ça sous le coude,le bash…ça m’interesse de plus en plus…merci @ vous

Bonjour,

Là, je trouve que ça devient kafkaïen…

Pour mon premier message sur ce forum, je me réservais pour un script que je voulais diffuser ici.

Durant la polémique sur la censure qui a fait rage il y a quelques jours, ça a commencé à me démanger. J’ai résisté, alors je ne m’étendrai pas sur ce point…

Mais faire un alias sudo pour remplacer la commande su, ce serait pas réinventer en dérisoire l’intérêt, justement énorme, qu’apporte la commande sudo ??
Sans blague, vous croyez pas que ceux qui ont inventé sudo l’ont fait pour apporter des réponses à des lacunes vraiment prégnantes ?

Personnellement, su me paraît littéralement désuet. Je ne l’utilise jamais.

• Ça oblige à donner à l’utilisateur root un mot de passe, et donc à permettre un accès avec un utilisateur que tout le monde connaît (et en plus, c’est le maître à bord !).
  Utilisant sudo, un mec qui se connecte à ma machine pourra s’échiner à jouer avec le root, il n’arrivera à rien. Il lui faudra déjà trouver le nom d’un utilisateur pour faire quelque chose…
  Positionner PermitRootLogin à no est la seule parade offerte aux utilisateurs de su sur ce point, et ça ne concerne que SSH…
  Ce genre de paramétrage devient inutile pour un utilisateur de sudo, quel que soit le service.
  Autrement dit, sudo fait au-moins autant que su.

• Maintenant, sortons de nos machines mono-utilisateur. La plupart des systèmes ont plusieurs administrateurs.
  Imaginons un système avec 3 administrateurs. Avec su, ça fait 3 personnes à connaître le mot de passe root. Que faut-il faire si on veut réduire ce nombre à 2 ?? Bah faut changer le mot de passe du root et informer les 2 personnes admin de ce changement. C’est lourd et dangereux.
  Avec sudo, un visudo et on ajuste les droits à qui on veut…
  sudo fait au-moins autant que su.

• Restons avec le précédent exemple…
  2 administrateurs, et un troisième avec quelques privilèges seulement (genre arrêt/relance LAMP)… Avec su ? Je ne sais pas.
  Avec sudo, un visudo et on ajuste les droits à qui on veut, comme on veut…
  sudo fait au-moins autant que su.

Les défenseurs de su me parlent parfois de sécurité en me disant qu’ils ne comprennent pas qu’un simple utilisateur puissent avoir tous les droits.
N’est-ce pas exactement la même chose avec su ? Quelle différence ??
Et si un pirate choppe le mot de passe de mon sudoer ? Bah c’est exactement comme s’il choppait le mot de passe de mon root avec su. Y’a pas de différence… Encore que, avec sudo, il faudra déjà au pirate qu’il connaisse le login de mon sudoer (mais ça, je l’ai déjà dit).

Et si vraiment il faut distinguer l’utilisateur habituel de l’administrateur, avec sudo, il suffit que l’utilisateur avec lequel on se connecte ne soit pas sudoer et qu’un autre utilisateur, avec lequel on ne se connecte pas, le soit.

Enfin, quand je disais que je ne faisais jamais de su, je ne le fais jamais.
En effet, je vois souvent des commandes du style sudo su. Mais il suffit de parcourir la doc pour voir les options faîtes pour ça :

Zut, je risque la censure, là ???
Plutôt que de me censurer, parcourez la doc, et proposer un fichier sudoers qui évite l’accès au shell…

su est désuet. Son système présentait des lacunes auquelles sudo répond.
Il convient donc de présenter plutôt comment configurer son fichier sudoers, nan ?

Une dernière chose.
Au collège, en cours de physique, mon livre présentait un personnage qui tenait dans sa main gauche un fil rouge (phase) et dans sa main droite un fil noir (neutre). Ce personnage subissait une électrocution. Plus loin, il ne touchait que la phase, et il s’électrocutait également.
Voir ces images ne m’ont jamais poussé à m’électrocuter. Au contraire. Aujourd’hui, je suis toujours vivant, c’est en partie grâce à la pédagogie de ces bouquins, et je me serais peut-être déjà pris des méchantes châtaignes si je n’avais pas ces images en tête…
On ne protège que temporairement par l’obscurantisme…

Je vais pas tous reprendre mais si j’administre une machine et que deux autres personnes peuvent avoir besoin de droits exceptionnel je leur file pas accès à su ( personne n’a prétendu ça ici relis bien ).

Pour ce qui est de la censure elle à été faite simplement pour empêcher que sur ce forum on permette à quelqu’un qui manifestement ne maîtrise pas un minimum sa distribution linux de ne pas se retrouver avec les pouvoir de root sans aucun mots de passe , et ça c’est dérangeant.

Dommage tous de même j’ai bien aimé la lecture de tes propos sur la désuétude de su, moi je l’utilise assez souvent chez moi en local et jamais en export ssh.

Chacun son point de vue après coup sur le sujet

Je crois que c’est de l’humour.

Il est bien le script de MisterFreeze, c’est pratique sudo sans sudo, non ?
On devrait l’appeler “sumf” (su MisterFreeze)

Edit… sumf apporte-moi-une-biere

J’ai une petite question;

Si un terminal root est ouvert avec un processus en cour,est-ce une porte ouverte ?
Ou,le processus ne permettra pas de valider une autre commande, tant qu’il est actif ?

J’ai pas trouvé de réponse…

Bnojour,

[quote=“BorX”]Pour mon premier message sur ce forum, je me réservais pour un script que je voulais diffuser ici.[/quote]T’inquiètes, que tu le réserves pour ton premier ou pour un message ultérieur, ton script sera le même.

[quote=“BorX”]Personnellement, su me paraît littéralement désuet. Je ne l’utilise jamais.

• Ça oblige à donner à l’utilisateur root un mot de passe, et donc à permettre un accès avec un utilisateur que tout le monde connaît (et en plus, c’est le maître à bord !).
  Utilisant sudo, un mec qui se connecte à ma machine pourra s’échiner à jouer avec le root, il n’arrivera à rien. Il lui faudra déjà trouver le nom d’un utilisateur pour faire quelque chose…
  Positionner PermitRootLogin à no est la seule parade offerte aux utilisateurs de su sur ce point, et ça ne concerne que SSH…[/quote]
  Si quelqu’un a un accès physique à ta machine, que utilises su ou sudo tu ne seras pas mieux protégé.

À distance comme tu l’as aussi toi même remarqué, interdire la connection à root revient à forcer un attaquant à trouver un login plus deux mot de passe minimum, ce qui m’a l’air au moins aussi sûr que ce que tu vantais pour sudo …

J’utiise su ou sudo selon les cas et ton roman ne m’a pas convaincu d’y renoncer…
Il faudra retravailler l’argumentation.

Ça me rappel un truc ce fil, vous vous souvenez d’un gars (ubunteros) qui avait eu un “virus” choppé via un script récupéré sur un site? fran.b avait cherché un peu et s’était aperçu que ça venait de l’utilisation par défaut de sudo (édit: de la configuration “de base”)… une sombre histoire où le sudo avait la main sur tout le système et non juste sur le shell d’où il était lancé… ça plus l’absence de demande de mot de passe et vlan, ça la perte ouverte à toutes les fenêtres… (genre un script qui attend patiemment qu’un sudo soit lancé pour pouvoir agir… ça avait été un des cas évoqués justement dans le fil en question…)

sudo est un bon outil pour déléguer des droits (limités et affinés) pas pour remplacer le “root”…

Tout ce qui est fait avec su peut être fait avec sudo. Question de config…
L’inverse, non… su ne se configure pas.

Quand même un petit peu…
L’utilisateur en cours n’est pas forcément sudoer. Et pour connaître les sudoers :

$ cat /etc/sudoers cat: /etc/sudoers: Permission non accordée
Quand bien même l’utilisateur en cours serait sudoer, il reste, aussi, la nécessité de passer le mot de passe…

Et en cas de mot de passe d’un sudoer connu par une personne malveillante, il n’y a qu’un utilisateur a modifier sans devoir changer les habitudes des autres administrateurs du système…

Oui. sudo fait au-moins autant que su.
Pour 2 trucs qui font pareil, autant garder le plus évolutif, non ?

Comment permettre à un utilisateur le redémarrage régulier d’un LAMP ?

Typiquement, à mon tàf, on a une flopée de serveurs qu’on est plusieurs personnes à administrer.
sudo, ils voyaient pas l’intérêt avant que je leur en vante la souplesse.
Du coup, encore aujourd’hui, on se loggue SSH sur chaque bécane avec le même utilisateur. Partout. Sécurité 0.
Le MdP root fait partie d’un lot de 3 ou 4 mots de passe.
Au fil des passages successifs d’admins, des interventions de stagiaires, les mots de passe deviennent peu à peu connus.
A changer, c’est lourd. Alors personne le fait.
En cas de connerie, c’est personne (tout le monde est root, alors qui voulez-vous que ce soit).

sudo simplifie les interventions ponctuelles. Il tend à rendre les actions nominatives (plus simple pour savoir qui a fait quoi).
Et surtout, il pérennise la sécurité.

Les réacs partisans du su me parleront de politique de sécurité. Certes. Y’a des pratiques ; y’a des process ; y’a des méthodes…
sudo répond par 1 fichier : /etc/sudoers.

[quote=“eol”]J’utiise su ou sudo selon les cas et ton roman ne m’a pas convaincu d’y renoncer…
Il faudra retravailler l’argumentation. [/quote]
C’est tout vu.
su marche bien… On peut toujours faire du neuf avec du vieux.
C’est juste dommage de se passer du progrès quand il apporte vraiment quelque chose.

+1
Fait tourner

On a tous une anecdote d’un gars qui a fait n’importe quoi avec sa config de sécu…
On peut faire n’importe quoi avec la config d’Apache. C’est pas pour autant qu’il faut se passer d’Apache.

+1
Merci de le rappeler. A la limite, je me contente de ça.
Ça me faisait mal de voir l’intérêt principal de sudo si simplement ignoré.

Y’a quand même quelques petits avantages…
mais bon…
T’en veux ?

Allez on n’est pas vendredi mais le troll est laché alors c’est qui le plus balaise entre sudo et su

Je le rappel le sujets était au départ fixé sur le fait que l’on encourage à virer le passe sur sudo pour des personnes ne maîtrisant pas leur environnement d’ailleurs c’est un doux euphémisme car il auraient, et ça à été déjà dit, plus simple de consulter “the fucking manual”

Mais avant que le troll attaque encore quelqu’un d’autre n’oubliez pas de relire depuis le przemier message et de retrouver le fil de départ

Alors SUDO vs SU

[quote=“Num’s”]…sudo est un bon outil pour déléguer des droits (limités et affinés) pas pour remplacer le “root”…
[/quote]
C’est tout à fait mon avis.
En gros :
sudo réservé aux commandes moins sensibles et en graphique – MDP assez fort quand même.
su pour toutes les commandes sensibles et en TTy – MDP en béton
J’ajouterai :
quelques très rares commandes bien définies et en lecture seule, avec sudo sans MDP.
quelques modifications d’appartenance au groupe ‘adm’, afin de pouvoir lire certains logs
Quelques bidouilles pour passer certaines commandes en lecture, en user (ifconfig, par exemple).

Au fait, à notre ami qui nous a fait un gros laïus :
Comment fais-tu pour modifier ton sudoers, puisque tu ne te sers jamais de ‘su’

[quote=“BorX”]
Enfin, quand je disais que je ne faisais jamais de su, je ne le fais jamais.[/quote]

[quote=“ricardo”]Au fait, à notre ami qui nous a fait un gros laïus :
Comment fais-tu pour modifier ton sudoers, puisque tu ne te sers jamais de ‘su’ [/quote]

C’est bien ce que je sous ligné les deux sont utiles selon l’utilisation que l’on a.

Vous savez, lorsque j’utilise su, et oui je l’utilise, ce n’est pas par politique de sécurité ou autre… c’est juste que j’ai 100 commandes à taper, que je n’en vois pas le bout, et que 5 caractères ( l’espace compte ) multiplié par 100 ça fait beaucoup à force…

su est donc très utile dans le cas où vous avez besoin d’une session longue. ça a déjà été dit et redit, mais je crois que notre ami BorX a oublié ce détail: sudo c’est chiant à taper. ( et un autre détail pour moi: l’auto-complétion de paquets ne marche qu’avec su, pas avec sudo chez moi, d’ailleurs faut que je corrige ce défaut )