[install] question : autoriser connexion superutilisateur ?

Support Debian
#1

Bonjour,

Lors de l’installation, à un moment, il y a la question : « Faut-il autoriser les connexions du superutilisateur ? »
Description : Si vous choisissez de désactiver les connexions du superutilisateur (root), le premier compte qui sera créé pourra obtenir les privilèges du superutilisateur avec la commande sudo.

Faut-il désactiver les connexions de root ou pas ? Qu’est-ce qui est le plus intéressant pour une question de sécurité ?

Il faut laisser un compte root et un compte normal et effectuer les installations, etc, qu’à partir du compte root ?

Merci
++

#2

perso, j’ai interdit toute connexion de root depuis l’exterieur et j’y ai mis un mot de passe de dingue.

Il est vrai que sudo est pas mal si tu le configure bien mais il y a des applications qui n’utilisent pas sudo et posent problème pour l’administration a distance.

tu as eut cette question sur debian ? tiens, c’est nouveau ca :slightly_smiling: Comme je ne fais que des upgrade et que ca marche super bien :slightly_smiling: ca fait un petit moment que je n’ai pas fait d’install :slightly_smiling:

c’est pour chez toi ou au boulot ?

#3

C’est pour faire un serveur chez moi mais qui sera ouvert sur l’internet pour que je puisse y accéder de n’importe ou.

Ben en fait, oui, c’est lors de l’installation en mode expert que cette question apparait…

Donc en fait toi, c’est impossible de se connecter avec root sur ta machine ?
Mais du coup pour les installations et mises à jour de paquets, tu fais comment ? Avec la commande sudo ?

Moi, la commande sudo n’est pas reconnue la… je ne sais pas comment ca se fait :frowning: ???

Sinon, quel est l’intérêt de bannir root si avec sudo on peut quand même tout faire ? je ne comprends pas trop… puisqu’en mettant sudo, on peut tout faire comme root donc ca ne change rien d’un point de vue de sécurité non ?

Merci
++

#4

mon ordi est accessible de l’exterieur, mais la subtilité est que les gens qui essaient de craquer le compte root perdent leur temps.

Tu n’as pas le droit de te connecter en root, mais rien ne t’interdit de te connecter en utilisateur standart et ensuite seulment de devenir root avec la commande su -

Il est donc administrable de l’exterieur. :wink:

en interdisant root, on empeche les mec d’essayer de craquer le pc avec un scan par annuaire. ca oblige le mec a connaitre, comme sous M$ le compte et le passsword.

il faut aller dans lefichier conf de sudo et lui dire ce que chaque utilisateur a le droit de faire.

#5

Ah oui effectivement, subtile mais intéressant :smiley:

Mais là, tu parles pas de l’option de SSH : PermitRootLogin ? (à modifier le fichier /etc/ssh/sshd_config) qui interdit de se loguer directement en root via ssh…

Ou c’est l’option qu’on me demande à l’installation pour le compte root en général ?

Et comme j’ai dis, la commande sudo n’est pas reconnue, quelqu’un sait d’ou ca peut venir ? Il manque un paquet ?

Bonne nuit
++

#6

j’ai interdit de logguer en root sur toute appli sortant, ssh, l’interface graphique et à chaque logiciel que j’ajoute quand je peux.

Tu dois installer sudo oui, mais il faut le configurer, lui dire à quel logiciel quel utilisateur à le droit d’accéder :slightly_smiling:

bonne chance :wink: j’ l’avais fait une fois, mais ca remonte à longtemps.

Sinon, demande sur le site de ubuntu qu’un mec te donne son fichier de config de sudo, ca te donnera une idée

#7

Je viens de regarder dans les fichiers /etc/passwd et /etc/group pour voir les utilisateurs créés et les groupes.
Est-ce normal qu’il y en a plein ?? Ce n’est pas un problème de sécurité ?

Est-ce possible de tous les supprimer et n’en laisser qu’un seul, celui que j’utilise pour me connecter à la machine… ?

Et pour sudo, je peux donner tous les droits à l’utilisateur que j’utilise ? ou c’est trop risquée de tout donné ?

#8

up :smiley:

#9

S’il s’agit de te connecter à ta machine via ssh
tu mets le PermitRootLogin à no comme précisé par italiansky…
Après je ne suis pas convaincu de l’utilisation automatique de sudo

#10

Oui

Non

Oui, c’est possible et c’est un excellent moyen de casser ta Debian.

#11

Les autres utilisateurs sont des utilisateurs “système” i.e certains programmes utilisent des comptes limités comme ca si on infiltre une faille dans le programme, eh ben on est limité.

Pour l’histoire de root, effectivement ca a l’air nouveau sous debian.
Tu peux aussi désactiver le compte root manuellement en lui mettant /sbin/nologin dans /etc/passwd

Il faut alors que ton compte puisse utiliser sudo.
Je suppose que si tu choisis à l’install de désactiver root, il installera sudo pour ton compte (puisque pour le faire tu dois être root !)

Pour le faire manuellement :

export EDITOR=vim visudo

Remplaces “vim” par ton editeur préféré dans la commande précédente
La commande visudo ouvres le fichier /etc/sudoers avec l’éditeur en question.
Tu dois rajouter la ligne :
user ALL= (ALL) ALL
où “user” est ton nom d’utilisateur.

Plus de détails sur le pourquoi et le comment sur http://doc.ubuntu-fr.org/sudo

L’autre avantage de sudo c’est que tu peux définir certains droits et pas d’autres aux utilisateurs.
http://www.andesi.org/reseau:comment-donner-certains-droits-root-a-un-utilisateur-avec-sudo

#12

Ca reste un peu obscure tout ca, surtout qu’il y a su et sudo…

su est installé par défaut apparement et sudo non.

Si je crée un compte root lors de l’install, ensuite je n’ai qu’à utiliser su pour avoir les droits de superutilisateur non ?
sudo n’est alors pas utile si je n’ai qu’un autre compte utilisateur ?
comme j’ai compris, sudo devient utile si il y a plusieurs utilisateurs pour spécifie à chacun si ils ont le droit ou pas d’effectuer des taches d’administrateur ?

Qu’est-ce que vous me conseillez ?
Créer le compte root lors de l’install + mon compte utilisateur que je vais utiliser tous les jours et utiliser la commande su pour pouvoir faire les taches d’administration ?

  • empêcher depuis SSH de se connecter directement en root pour la sécurité

OU

Ne pas créer le compte root lors de l’install et utiliser sudo pour permettre à mon compte utilisateur d’avoir accès aux taches d’admin ?

Sachant que je ne vais créer qu’un seul compte utilisateur pour moi car je suis le seul qui utilise cet ordinateur et que l’utilisation que j’en fait, c’est pour un serveur donc connecté en permanence à internet…

Merci de vos avis :slightly_smiling:

#13

[quote=“italiasky”]Créer le compte root lors de l’install + mon compte utilisateur que je vais utiliser tous les jours et utiliser la commande su pour pouvoir faire les taches d’administration ?

  • empêcher depuis SSH de se connecter directement en root pour la sécurité[/quote]Je suis pas spécialiste en sécurité mais je pense que c’est un bon choix.
#14

Ok merci, je vais faire comme ca alors :wink:

S’il y a d’autres avis, dites toujours vos arguments :slightly_smiling:

Merci
++