Configurer sudo (discussion)

A quoi me servirait su puisque mon utilisateur root n’a pas de mot de passe ?
Pour rappel/info, squeeze propose la configuration de sudo dès l’installation ; donc le root n’a jamais de mot de passe, c’est directement sudo visudo pour modifier le fichiers sudoers.

Alors, bon, c’est vrai, certes…
Pour mes VMs Xen installées par debootstrap, j’utilise su le temps d’installer sudo

EDIT : A y réfléchir, je devrais même pouvoir me passer de ce dernier su, puisqu’il me suffit de copier mon fichier sudoers dans mon chroot…

[quote=“L0u!$”]Vous savez, lorsque j’utilise su, et oui je l’utilise, ce n’est pas par politique de sécurité ou autre… c’est juste que j’ai 100 commandes à taper, que je n’en vois pas le bout, et que 5 caractères ( l’espace compte ) multiplié par 100 ça fait beaucoup à force…
su est donc très utile dans le cas où vous avez besoin d’une session longue. ça a déjà été dit et redit, mais je crois que notre ami BorX a oublié ce détail: sudo c’est chiant à taper. [/quote]
Nan nan, j’en ai parlé :

sudo -s sudo -i man sudo

Regarde du côté de

Une fois chargé, c’est magique…

[quote=“BorX”]A quoi me servirait su puisque mon utilisateur root n’a pas de mot de passe ?
Pour rappel/info, squeeze propose la configuration de sudo dès l’installation ; donc le root n’a jamais de mot de passe, c’est directement sudo visudo pour modifier le fichiers sudoers.

Alors, bon, c’est vrai, certes…
Pour mes VMs Xen installées par debootstrap, j’utilise su le temps d’installer sudo

EDIT : A y réfléchir, je devrais même pouvoir me passer de ce dernier su, puisqu’il me suffit de copier mon fichier sudoers dans mon chroot…[/quote]
Attends, je rêve ou quoi
Il t’est donc arrivé d’utiliser ‘su’
et ‘root’ n’a pas de MDP , que tu dis ???
Autrement dit, tout le monde peut se loguer en tant que ‘root’ sans MDP, chez toi ?
C’est pire que chez windows

je pense qu’il voulait dire que si on choisit sudo a l’installation , le compte root n’est pas ouvert

Salut,

[quote=“BorX”]A quoi me servirait su puisque mon utilisateur root n’a pas de mot de passe ?
Pour rappel/info, squeeze propose la configuration de sudo dès l’installation ; donc le root n’a jamais de mot de passe, c’est directement sudo visudo pour modifier le fichiers sudoers.
[/quote]

On installe pas le même système alors.
Quand j’installe une Debian, quelle que soit la branche (Mode expert).

Il me demande si j’active les mots de passe cachés (Oui par défaut)
Il me demande si j’accepte les connexions de root (Oui par défaut)
Il me demande le mot de passe de Root
Il me demande si je souhaite ajouter des utilisateurs.

Jamais une Debian ne m’a proposé de configurer Sudo à l’installation.
Je n’arrive pas à croire que sur l’installation automatisée il choisisse d’autres choix que ceux proposés par défaut par l’installation expert.

Ou alors tu choisi une option qui n’est pas activée par défaut.

+1
Merci de le rappeler. A la limite, je me contente de ça.
Ça me faisait mal de voir l’intérêt principal de sudo si simplement ignoré.[/quote]
Ouai, ça c’est indéniable personne n’a jamais dis le contraire. Mais de ce que tu dis toi même, tu utilise sudo pour tout type de commandes, donc ça reviens exactement au même que sumf à la différence que le mot de passe demandé n’est pas le même. Donner les droits roots sur tout binaire avec sudo c’est tout sauf “limités et affinés”.

Très franchement je n’ai rien contre sudo que j’utilise, mais dans une configuration mono utilisateur la déléguation de droit n’a tout simplement pas de sens.

Bref je ne vois pas pourquoi orienté les gens vers une solution ou une autre. Personnellement je m’amuse à en de nouvelles de temps en temps.

On a tous une anecdote d’un gars qui a fait n’importe quoi avec sa config de sécu…
On peut faire n’importe quoi avec la config d’Apache. C’est pas pour autant qu’il faut se passer d’Apache.[/quote]Sauf que dans cette “anecdote”, le problème ne venait pas d’une config modifiée par l’utilisateur mais bien de la configuration par défaut de sudo (chose qui a été modifié depuis, il me semble…)

• Installation de debian sans mot de passe root: Je crois que je suis tombé sur ce cas une fois dans Debian j’ignore comment. Mais le problème n’est pas là. On peut utiliser su en tapant
  $ sudo su
  qui te met sur le compte root même si celui ci n’a pas de mot de passe.

• Est il gênant de travailler sous root?
  En graphique indéniablement, le graphisme a pour but de faciliter les taches (suppression de fichier, etc) et une fausse manoeuvre est très vite arrivée. La question n’est pas de savoir si on fera cette erreur mais quand.
  En mode console, cela se révèle parfois indispensable (remise en état d’une machine, mise à jour, etc).

• Est ce dangereux?
  Si on n’est pas connecté et que le portable est inaccessible, ça n’est pas très grave et on pourrait imaginer un portable ne tournant que sur root. En effet la personne trouvant ce portable n’aura aucune difficulté à acquérir les droits root et à faire ce qu’elle veut du portable. Si ça n’est pas le cas, oui c’est dangereux car c’est la porte ouverte aux virus, vers et autres cochonneries abondant sous Windows parce que 90% des machines tournent en administrateur.

• sudo ou su ou connexion sous root?
  Chacun son truc, un «sudo» général fait reposer la sécurité sur un seul compte, ne permet pas de repérer une intrusion éventuelle et n’enregistre pas les commandes sensibles dans le .bash_history. Moi je n’aime pas mais bon. C’est prévu dans Debian (cf manuel debian).

Il y avait effectivement un problème dans les options par défaut de sudo qui faisait que par défaut, l’option tty_tickets était à off et que l’authentification ne dépendait pas de la console (cf ce fil puis la conclusion, pour mémoire le fil sur debian-devl est ici et la réponse du mainteneur du paquet sudo est ici)

Un su ou une session root permet de conserver un historique des commandes root sur une plus longue période mais peut s’oublier sur une machine. Dans tous les cas, il est important de mettre un timeout.
Le su peut poser un problème important si il est utilisé à partir d’un compte inconnu: Ainsi, si on crée un programme «su» dans le répertoire courant contenant

#!/bin/sh echo -n Mot de passe:" " read -s passe echo $passe > /tmp/pass sleep 1 echo su : Échec d\'authentification mv su innocent
puis qu’on rend exécutable et qu’on met «.» dans le passe, on appelle l’administrateur pour une opération nécessitant un droit root (typiquement le prof), dans la plupart des cas, il tapera
$ su
puis le mot de passe, pensera se tromper et recommencera avec succès ce coup là. Il n’aura rien remarqué et hop on a le mot de passe. Cette méthode antedéluvienne (que j’ai utilisé avec succès sur Unix en 1982, il y a prescription) montre que si on agit en tant qu’administrateur à partir d’un compte qui n’est pas le notre, il ne faut pas utiliser su. Personnellement, je fais les taches d’administration sur les machines des élèves via réseau et à partir de mon compte même si jamais un élève n’a encore essayé cette méthode.

Salut,
Je note que le mainteneur (véxé ?) a rétrogadé ton rapport de bug de critical à important…

[quote=“lol”]Salut,
Je note que le mainteneur (véxé ?) a rétrogadé ton rapport de bug de critical à important… [/quote]

Ou mais je n’avais pas vu le dernier message:

[quote]Date: Wed, 08 Sep 2010 23:18:29 +0200

Package: sudo
Version: 1.7.4p4-1

From the upstream NEWS file:

• The tty_tickets sudoers option is now enabled by default.
  [/quote]

Là, j’avoue que ça me satisfait un peu car le mainteneur semblait vraiment hostile à cette idée, comme quoi… (je pense qu’il y a eu du débat). C’est étonnant que je n’ai jamais reçu ce message…

On parle de GNU/Debian, avec les choix qu’elle propose…

[quote=“lol”]Quand j’installe une Debian, quelle que soit la branche (Mode expert).

Il me demande si j’active les mots de passe cachés (Oui par défaut)
Il me demande si j’accepte les connexions de root (Oui par défaut)
Il me demande le mot de passe de Root
Il me demande si je souhaite ajouter des utilisateurs.

Jamais une Debian ne m’a proposé de configurer Sudo à l’installation.[/quote]
Si, c’est juste que tu déclines l’invitation à choix fois

[quote=“lol”]Je n’arrive pas à croire que sur l’installation automatisée il choisisse d’autres choix que ceux proposés par défaut par l’installation expert.
Ou alors tu choisi une option qui n’est pas activée par défaut.[/quote]
Tout-à-fait, je réponds Non à la 2ème question.
GNU/Debian, c’est le choix, c’est pour ça que je l’ai choisie…

[quote=“ricardo”][quote=“BorX”]A quoi me servirait su puisque mon utilisateur root n’a pas de mot de passe ?
Pour rappel/info, squeeze propose la configuration de sudo dès l’installation ; donc le root n’a jamais de mot de passe, c’est directement sudo visudo pour modifier le fichiers sudoers.

Alors, bon, c’est vrai, certes…
Pour mes VMs Xen installées par debootstrap, j’utilise su le temps d’installer sudo

EDIT : A y réfléchir, je devrais même pouvoir me passer de ce dernier su, puisqu’il me suffit de copier mon fichier sudoers dans mon chroot…[/quote]
Attends, je rêve ou quoi
Il t’est donc arrivé d’utiliser ‘su’
et ‘root’ n’a pas de MDP , que tu dis ???
Autrement dit, tout le monde peut se loguer en tant que ‘root’ sans MDP, chez toi ?
C’est pire que chez windows [/quote]

le root n’a jamais de mot de passe[/b] au même titre que daemon, bin, sys, etc…

Là, quand même, tu friserais pas un peu la mauvaise fois ??
Relis mon post, ou bien apprends ce que j’entends par VMs Xen installées par debootstrap.

Perso, je pense avoir dit ce qu’il fallait pour redorer un peu l’intérêt du sudo

et puis rien…

Bonjour,

[quote=“BorX”]Tout-à-fait, je réponds Non à la 2ème question.
GNU/Debian, c’est le choix, c’est pour ça que je l’ai choisie…[/quote]

Avoir le choix sudo/root à l’install, c’est mieux.
Je choisis toujours sudo à l’installation.
Si on veut activer root après l’installation (parfois certains préfèrent), ça se fait rapidement.

A+

[quote=“lol”]
Jamais une Debian ne m’a proposé de configurer Sudo à l’installation.[/quote]
enfin presque, si on considère que crunchbang est une debian, elle le fait me semble t-il

enfin presque, si on considère que crunchbang est une debian, elle le fait me semble t-il[/quote]
Si on considère ubuntu comme une Debian, elle le fait aussi.

[quote=“BorX”]…
le root n’a jamais de mot de passe[/b] au même titre que daemon, bin, sys, etc…

Là, quand même, tu friserais pas un peu la mauvaise fois ??
Relis mon post, ou bien apprends ce que j’entends par VMs Xen installées par debootstrap.

[/quote]
Eh camarade ! ce n’est pas moi qui dis ça, je cite tes propres écrits.
C’est bien toi qui écris que "root n’a jamais (souligné) de mot de passe. Cela laisse à supposer que ‘root’ existe bien quand même et que donc, il est bien installé chez toi et … sans MDP.
Si c’est ton choix, OK mais assume.

Tu ne frises plus la mauvaise foi, tu as les 2 pieds dedans.

Avec les droits root, fais un cat /etc/shadow et tu comprendras peut-être que ton système est composé d’une multitude d’utilisateurs sans mot de passe.
Dès lors, reviens débattre avec des arguments un peu plus pertinents.

Pour ma part : /unsubscribe.

Quand même un petit peu…
L’utilisateur en cours n’est pas forcément sudoer. Et pour connaître les sudoers :

$ cat /etc/sudoers cat: /etc/sudoers: Permission non accordée
Quand bien même l’utilisateur en cours serait sudoer, il reste, aussi, la nécessité de passer le mot de passe…[/quote]Non, si j’ai un accès physique à ta machine, ton disque dur n’a pas plus de secret que n’importe quel périphérique amovible.

Oui. sudo fait au-moins autant que su.
Pour 2 trucs qui font pareil, autant garder le plus évolutif, non ?[/quote]
Non plus :
avec sudo, juste besoin de trouver un login et un mot de passe
avec su, besoin de trouver un login et 2 mot de passe

Sauf si tu te connectes avec un utilisateur qui n’est pas dans les sudoers et que tu utilises su pour passer à un login présent dans les sudoers.
Mais comme tu n’utilises jamais su …

Dans ce cas, chaque système est aussi vulnérable que l’autre.
Autant prendre le plus souple et le plus évolutif…

[quote=“eol”]Non plus :
avec sudo, juste besoin de trouver un login et un mot de passe
avec su, besoin de trouver un login et 2 mot de passe

Sauf si tu te connectes avec un utilisateur qui n’est pas dans les sudoers et que tu utilises su pour passer à un login présent dans les sudoers.[/quote]
Absolument
Au moins, à l’inverse du système su, seuls quelques utilisateurs peuvent passer root, pas tous…

Je conseille juste l’utilisation de sudo -s
Aux réfractaires de sudo qui ne connaissent pas sudo :

man sudo

Option -u

C’est quand même fou, cette fronde de réacs

Encore une fois, su c’est bien ! Ça marche !
sudo, c’est juste mieux !
Arrêtez de le pourrir, et rendez-vous à l’évidence

enfin presque, si on considère que crunchbang est une debian, elle le fait me semble t-il[/quote]
Si on considère ubuntu comme une Debian, elle le fait aussi.[/quote]

Vous trollez là…
Quand je veux dire Debian, ben… je dit Debian… Elle porte un nouveau nom ?

@BorX: pour ce qui est de la mauvaise foie, tu t’en sort pas mal aussi… Si tu choisi les options PAR DEFAUT, root existe, et il a un mot de passe…
Après libre à toi de customiser ta Debian, mais ne vient pas dire:

[quote=“BorX”]Pour rappel/info, squeeze propose la configuration de sudo dès l’installation ; donc le root n’a jamais de mot de passe, c’est directement sudo visudo pour modifier le fichiers sudoers.[/quote]en faisant passer ça pour une vérité absolue… Parce que c’est des conneries…

squeeze ne propose pas la configuration de sudo dès l’installation ???

Excusez du peu, mais l’installation de GNU/Debian propose des tas de choses, par défaut ou pas.
Quoi ? Vous installez Debian en anglais parce que c’est l’option par défaut ???
Quoi ? Vous formatez l’intégralité du disque parce que c’est l’option par défaut ???
Quoi ? Vous installez l’environnement graphique parce que c’est l’option par défaut ???

tsss…
/unsubscribe

Vous savez quoi ? Des trolls, y’en a plein le net depuis des années.
Ça fait 13 ans que je suis sous GNU/Linux. Des trolls, j’en ai vu d’autres, j’y participe jamais.
Ce qui me mine, et ce qui m’a poussé à intervenir cette fois, c’est de voir des censeurs avec un parti pris.

Je pensais retrouver sur ce forum une universalité qui se perd sur les forum Ubuntu, au même titre que je retrouvais sur les systèmes GNU/Debian une universalité qui se perd sur les systèmes GNU/Ubuntu.
Je suis triste de constater que debian-fr n’est finalement qu’un derivé de Debian, qui n’est finalement pas plus ouvert que d’autres dérivés de Debian.

Je trouve malhonnête de cacher cette fermeture d’esprit derrière l’universalité que représente Debian.