Comprend pas, la personne utilisait Kubuntu, alors, que vient faire Gnome-look là-dedans ? Et c’est quoi cette histoire de Mandriva ? Déjà, elle est d’accord pour changer d’OS la personne concernée ? C’est pas parce qu’on a fait une connerie que l’on doit changer l’OS ! Changer d’oS doit être un choix mûrement réfléchit et non venir après un “coup de sang”. Surtout que ce n’est pas toi qui en sera l’utilisateur.
Rien n’empèche de charger une appli gnome alors qu’on utilise KDE (hé heureusement, car cetaines applis sont bien mieux chez gnome que chez KDE, et inversement).
sudo n’a pas de faille comme le demande franb. sudo est prévu pour donner des droits d’un autre utilisateur à l’utilisateur courant, sur certaines commandes bien spécifiques.
Par exemple autoriser l’utilisateur courant à utiliser la cmd shutdown (qui demande les droits root).
sudo veut dire “substitute user”, on peux se substituer à n’importe quel user, pas forcement le root.
Le fichier sudoers permet justement de définir qui peux se substituer à qui, et pour faire quoi. ubuntu met des * partout, c’est à dire que le 1er utilisateur créer par le système peux avec son password effectuer toute les taches root. La recommandation généralement donnée est de ne pas utiliser cet utilisateur, mais d’en créer un autre qui n’aura pas accès à cette fonctionnalité. Alors que sur les autres distributions cet utilisateur “couranr” est créer automatiquement à l’install, sur ubuntu c’est une action volontaire de la personne qui l’installe, et ce n’est jamais fait. C’est pourquoi j’écris qu’ubuntu est à réserver à des utilisateurs avertis.
Mandriva est de base plus blindé vis à vis des fausses manips, à condition bien évidement de passer par le centre de controle pour effectuer les taches de maintenance. Un utilisateur qui passe root en ligne de commande peux évidement faire des dégâts. Un débutant qui démarre avec mandriva ne prends pas ce mauvais réflexe et donc fait moins de bêtises.
nota: waterfall existe aussi sur KDE look mais je ne sais pas si c’est le même malware. en tout cas il se contente de prendre le controle du PC pour faire un DOS en.wikipedia.org/wiki/Linux_malware. Comment a t il pu faire autant de dégat puisque son objectif est d’étre le plus discret possible ?
Je n’ai pas trouvé si ce malware était dans la base de clamav.
Plop je m’incruste sur le fil, j’ai lu pleins de trucs interessent sur sudo, dont je me sers enormement. Par curiosité le seul moyen pour que sudo soit aussi securisé qu’un vrai log / delog en root sa serait qu’il demande le mot de passe systematiquement au lieu de garder la session “active” pendant 5 min ?
Salut,
Ajoutes à sudoers la ligne suivante :
Defaults env_reset
Defaults:gerard timestamp_timeout=0
Mais est-ce que sans ça sudo est vraiment dangereux ? 
Re,
J’ai déjà répondu à cette question dans ce post 
A toi de juger si ce risque est acceptable 
Merci gerard, je t’avait devancer en ajoutant directe timestamp_timeout=0 juste apres env,reset sur la premiere ligne default, j’ai mal fait ? Du coup sudo me demande bien le mdp a chaque commande la
Re,
Et donc la porte reste encore moins longtemps ouverte que si tu te logue sous root
[quote=“piratebab”]sudo veut dire “substitute user”, on peux se substituer à n’importe quel user, pas forcement le root. [/quote]+10000… 
:smt003
Tout comme “su” d’ailleurs… 
le su ser pour faire de la grosse mintenance si t’a plus de 30 commande a taper tu va pas taper 30 fois le mots de passe
“su” sert à “changer d’identité”… mais pas forcément pour devenir “root”… 
… c’est ça que je voulais dire au dessus… (ce n’est pas parce que la plupart du temps on s’en sert pour devenir root qu’il est limité à cela…)
[quote=“ggoodluck47”]Re,
J’ai déjà répondu à cette question dans ce post A toi de juger si ce risque est acceptable [/quote]
Excuse-moi, j’étais passé un peu en diagonale.
Donc si je comprends bien, le risque c’est que l’user que j’utilise exécute, pendant les fameuses 5mn, un script malicieux, c’est ça ?
Si c’est effectivement possible, ça me parraît très génant et insuffisamment signalé aux utilisateurs de sudo.
Dans le doute, j’ai opté pour le timeout 0.
Ben faudrait que les gens qui utilisent sudo repondent a la question de Fran.b 
Comme je ne l’utilise pas, je ne vais pas changer le /etc/sudoers juste pour voir. J’ai bien configure certaines commandes en sudo sur le portable que je partage avec ma copine pour qu’elle fasse pas de betises, mais j’ai fait comme Gerard, mot de passe demande a chaque fois.
[quote=“seb-ksl”][quote=“ggoodluck47”]Re,
J’ai déjà répondu à cette question dans ce post A toi de juger si ce risque est acceptable [/quote]
Excuse-moi, j’étais passé un peu en diagonale.
Donc si je comprends bien, le risque c’est que l’user que j’utilise exécute, pendant les fameuses 5mn, un script malicieux, c’est ça ?
Si c’est effectivement possible, ça me parraît très génant et insuffisamment signalé aux utilisateurs de sudo.
Dans le doute, j’ai opté pour le timeout 0.[/quote]
J’au faut de même, je pensait, a tort, que pendant ces 5min , seul le terminal en cours avait les pouvoirs accorder par sudo, et pas toute ma session … Un point qui merite d’etre eclaircis Ubuntu devrait adopter cette config par defaut ( le timeout 0 )
[quote=“piratebab”]ubuntu met des * partout, c’est à dire que le 1er utilisateur créer par le système peux avec son password effectuer toute les taches root. La recommandation généralement donnée est de ne pas utiliser cet utilisateur, mais d’en créer un autre qui n’aura pas accès à cette fonctionnalité. Alors que sur les autres distributions cet utilisateur “couranr” est créer automatiquement à l’install, sur ubuntu c’est une action volontaire de la personne qui l’installe, et ce n’est jamais fait. C’est pourquoi j’écris qu’ubuntu est à réserver à des utilisateurs avertis.
Mandriva est de base plus blindé vis à vis des fausses manips, à condition bien évidement de passer par le centre de controle pour effectuer les taches de maintenance. Un utilisateur qui passe root en ligne de commande peux évidement faire des dégâts. Un débutant qui démarre avec mandriva ne prends pas ce mauvais réflexe et donc fait moins de bêtises.[/quote]
Je ne comprend pas cette logique. Il faudrait donc sous Ubunut, en plus du 1er compte utilisateur créé (accédant à l’administration via sudo) créer un autre utilisateur sans possibilité d’administrer. Du coup si tu es le seul utilisateur du système, pour installer un paquet, il faut se déloguer pour se reloguer sous le nom du 1er utilisateur, faire sudo aptitude install machin, puis se déloguer et se reloguer en utilisateur bis ? J’ai dû mal comprendre 
, personne ne peut conseiller une telle gymnastique.
Il faut quand même relativiser les conneries faites par l’utilisateur qui ne va pas dès qu’il acquiert les droits d’administration pulvériser son système. Au bout d’un moment, que ce soit par sudo, le compte root ou autre moyen, faut bien les prendre ces foutus droits. Ou alors on se met au Minitel ou à un système tout fermé où tu ne peux rien administrer (genre Mac je crois).
Moi je pense, sous Debian, que pour un utilisateur unique et root accessible via la commande su suffisent, de même que sudo + utilisateur unique sous Ubuntu. Par contre, si y’a plusieurs personnes utilisatrices de la bécane, là sudo semble être intéressant à installer sous Debian.
Waterfall ne semble donc pas responsable du “désastre” à l’origine de ce fil, le mystère reste entier sur le comment du pourquoi des dommages importants au système. Drôle d’affaire. Ou alors la personne n’a pas osé dire ce qu’elle a vraiment fait.
Bonjour,
Houlala en suivant le fil, je me met a m’inquieter:
J’utilise fréquemment gksu, lequel peut se baser sur su - ou sudo ( su - chez moi ) or il garde fréquemment les droits root ouvert jusqu’a la fin de la session ( plus de mdp a taper).
En vrai feignasse pur jus cette conf me convenait.
Mais si les droits sudo ouvert 5 mn sont dangereux, une ouverture - root pendant une session entiere: c’est une cata ??? Non
[quote=“Clem_ufo”]Bonjour,
Houlala en suivant le fil, je me met a m’inquieter:
J’utilise fréquemment gksu, lequel peut se baser sur su - ou sudo ( su - chez moi ) or il garde fréquemment les droits root ouvert jusqu’a la fin de la session ( plus de mdp a taper).
En vrai feignasse pur jus cette conf me convenait.
Mais si les droits sudo ouvert 5 mn sont dangereux, une ouverture - root pendant une session entiere: c’est une cata ??? Non [/quote]
Quand j’utilise gksu, je decoche la case “remember password” et voila.
Concernant le sudo sous ubuntu et la création d’un 2eme utilisateur, je me susi contenté de retranscrire la réponse qu’il m’est faite systématiquement lorsque j’aborde ce point avec un utilisateur d’ubuntu. Je suis bien d’accord avec toi, c’est complètement crétin comme réponse.
Par définition un utilisateur débutant va faire des conneries lorsqu’il a les droits root en ligne de commande (que se soit via su ou sudo).
C’est pour cela que j’apprécie le centre de contrôle de mandriva qui limite les possibilités de faire des dégâts lorsqu’on ne maitrise pas tout. C’est un très bon garde fou.
Quand a kdesu (qui est devenu bien plus difficile à lancer avec KDE4) ou gksu, on peut faire aussi beaucoup de dégat (lancer kwrite sur un fichier de conf par ex …). Mais généralement ou se limite à synaptic (ou nmap, ou wireshark), donc moins de risque.
Je me sert regulierement de gksu, du moins quand je vais placer une ilb a la main dans /usr/lib par exemple, je suis un feinéant de la ligne de commande pour ce genre d’opération, mais je me fait pas de soucis car il ne retiens pas le pass et me le redemande a chaque fois, par contre quid du “trousseau de clefs” sur gnome ?
Bon, je viens de faire un test
- Je met mets dans les utilisateurs sudo avec mot de passe, timestamp usuel.
- Je fais un bête sudo whoami. Il demande le mot de passe.
- Sur une autre console, pendant 15 minutes, un sudo de mon compte donne immédiatement les droits root. Cela signifie que n’importe quel script pendant 15 minutes pourra prendre les droits root sans vérification. Pour moi c’est la porte ouverte aux virus et vers.
La solution de Gérard est une rustine, une autre solution serait de lier le sudo à la console: Je croyais vraiment que c’était le cas, je suis stupéfait que ça ne le soit pas. Avec su, quoique je fasse sur Internet, quels que soient les fichiers que j’éxécute, les dégats seront minimes sur le système. Je déconseille donc un sudo confirmé à la va vite ou comme substitut du compte root.