[quote=“ggoodluck47”]Salut,
Citation:
juste une légère modif, car je ne veux pas de sudo, pour importer la clé
Si tu acceptes de discuter de ton opinion à ce sujet je suis prêt à te donner les miens dans un post que tu ouvres dans Pause Café 
[/quote]
salut
je ne vois pas l’utilité de sudo mais peut-être ai-je tord 
C’est une question de goût. On peut vouloir donner certains privilèges à un utilisateur sans qu’il connaisse le mdp root.
Dans le cas d’une machine personnelle l’intérêt est limité si ce n’est qu’avec sudo tu ne peux casser que ce que les droits te permettent. Alors qu’en root tu peux tout casser.
Salut,
Lorsque tu passes par su, que tu sois attentif ou non (comme moi) tu resteras maitre du système plus longtemps que nécessaire et c’est pendant cette période que TU ou un cheval de Troie peuvent faire des dégats.
Après une discussion avec les grandes pointures de ce forum, nous en étions arrivé à cette solution :
Ajouter ces deux options à sudoers
La première ne laisse pas la possibilité de passer une seconde commande, la seconde empêche d’en passer une depuis une autre console.
gerard ALL=(ALL) ALL
Et bien sûr je suis le seul à pouvoir me servir de sudo
Configurer sudo c’est bien, mais il faut aussi avoir un mot de passe différent pour root et son compte et se retirer le droit de passer en root avec su (je crois que c’est le group wheel).
Perso je n’ai pas vraiment d’avis entre l’un et l’autre, par contr chez moi root a toujours dans son ~/.profile :
readonly TMOUT=100
export TMOUT[quote=“MisterFreez”]Configurer sudo c’est bien, mais il faut aussi avoir un mot de passe différent pour root et son compte et se retirer le droit de passer en root avec su (je crois que c’est le group wheel).
Perso je n’ai pas vraiment d’avis entre l’un et l’autre, par contr chez moi root a toujours dans son ~/.profile :
readonly TMOUT=100
export TMOUT
[/quote]
Tu prends au moins quelques précautions contre toi même 
Sur ma distrib (aptosid) sudo n’est même plus valable pour les paquets graphiques, il paut passer par kdesu ou son copain G
Il y a tout un fil dans T&A, il me semble.
C’est pourquoi nous avons pris la décision de bavarder en “Pause Café” ou même l’eternelle discussion droite vs gauche est réouverte à la moindre occasion bien qu’il ne s’agisse pas de Debian 
Salut,
Je ne sais pas trop point de vue sécurité…
Sudo est utilisé par les système qui veulent empêcher root de se connecter directement, mais comme ils donnent l’accès à tout le système via Sudo, je ne vois pas ou est la protection…
Un peu comme Windows ou la plupart des gens qui l’installe (à la maison évidemment, pas dans une boite ou il y a un admin…) ouvrent leur session en tant qu’administrateur…
J’utilisais pas mal Sudo, mais au final c’est plus chiant qu’autre chose… il faut taper sudo à chaque commande…
Maintenant, c’est su - + je fais ce que j’ai a faire + exit!
Tu as sudo -s qui permet de ne pas retaper la commande à chaque fois.
[quote=“lol”]Salut,
Je ne sais pas trop point de vue sécurité…
Sudo est utilisé par les système qui veulent empêcher root de se connecter directement, mais comme ils donnent l’accès à tout le système via Sudo, je ne vois pas ou est la protection…
Un peu comme Windows ou la plupart des gens qui l’installe (à la maison évidemment, pas dans une boite ou il y a un admin…) ouvrent leur session en tant qu’administrateur…
J’utilisais pas mal Sudo, mais au final c’est plus chiant qu’autre chose… il faut taper sudo à chaque commande…
Maintenant, c’est su - + je fais ce que j’ai a faire + exit![/quote]
Et tu penses, dans la milli-seconde qui suit à déconnecter root ? Moi, pas ! Et pour les commandes graphiques qui ne se lancent pas sous root tu fais comment ?
Re,
[quote=“ggoodluck47”]
Et tu penses, dans la milli-seconde qui suit à déconnecter root ? Moi, pas ! Et pour les commandes graphiques qui ne se lancent pas sous root tu fais comment ?[/quote]
gksu
[quote=“lol”]Re,
[quote=“ggoodluck47”]
Et tu penses, dans la milli-seconde qui suit à déconnecter root ? Moi, pas ! Et pour les commandes graphiques qui ne se lancent pas sous root tu fais comment ?[/quote]
gksu[/quote]
Comme kdesudo ne sont-elles pas des annexes de sudo ?
Edit :Eh non, pas gksu
Oui,
Tu as raison, gksu dépend de sudo.
Mais il n’y a pas besoin de toucher à sudoers pour y accéder puisque c’est root qui est appelé.
Au fond tu as raison, mieux vaut un sudo bien configuré qu’un accès à root.
Mais… tu risque de faire les même conneries en sudo ou en su-
Dans le cas d’une utilisation unique de sudo, il faut carrément désactiver l’accès à root, comme dans Ubuntu, non ?
[quote=“ggoodluck47”][quote=“lol”]Salut,
Je ne sais pas trop point de vue sécurité…
Sudo est utilisé par les système qui veulent empêcher root de se connecter directement, mais comme ils donnent l’accès à tout le système via Sudo, je ne vois pas ou est la protection…
Un peu comme Windows ou la plupart des gens qui l’installe (à la maison évidemment, pas dans une boite ou il y a un admin…) ouvrent leur session en tant qu’administrateur…
J’utilisais pas mal Sudo, mais au final c’est plus chiant qu’autre chose… il faut taper sudo à chaque commande…
Maintenant, c’est su - + je fais ce que j’ai a faire + exit![/quote]
Et tu penses, dans la milli-seconde qui suit à déconnecter root ? Moi, pas ! Et pour les commandes graphiques qui ne se lancent pas sous root tu fais comment ?[/quote]
Tu crains de te faire agresser devant ton ordinateur ? Techniquement si tu met un TMOUT à 1, à moins que tu ne cours très vite, je vois mal quelqu’un passer derrière toi et utiliser le shell.
Par contre dans le temps on disait qu’il fallait pas lancer d’application graphique en root (ou avec des privilèges root), je suis has-been ?
Salut,
[quote]Tu crains de te faire agresser devant ton ordinateur ? Techniquement si tu met un TMOUT à 1, à moins que tu ne cours très vite, je vois mal quelqu’un passer derrière toi et utiliser le shell.
[/quote]
Pour un cheval de Troie déjà installé les milli-secondes sont des siècles
Dans la discussion sur le sujet (T&A) nous en étions arrivé à ajouter :
timestamp_timeout=0 pour qu’une seconde commande ne puisse être passée
tty_tickets pour qu’une commande ne puisse être passée depuis un autre poste
Combien d’entre nous pensent à mettre un timeout. Comme d’habitude nous avons le choix entre plusieurs solutions, l’important est de faire et de ne pas croire qu’il n’y a de sécurité que par le mot de passe
@lol : Tu as raison gksu est donné comme un substitut de su et non de sudo mais je me méfie de moi plus que de tout et j’ai souvent raison : On ne peut être trahi que par ceux en qui l’on a placé sa confiance
[quote=“MisterFreez”]
Par contre dans le temps on disait qu’il fallait pas lancer d’application graphique en root (ou avec des privilèges root), je suis has-been ?[/quote]
C’est pratiquement aussi dangereux que de lancer “regedit” sur Windows !
Si dans l’éventualité ou par mégarde tu venais malencontreusement à exécuter une fonction quelconque … Enfin faut juste être attentif !
[quote=“debianhadic”][quote=“MisterFreez”]
Par contre dans le temps on disait qu’il fallait pas lancer d’application graphique en root (ou avec des privilèges root), je suis has-been ?[/quote]
C’est pratiquement aussi dangereux que de lancer “regedit” sur Windows !
Si dans l’éventualité ou par mégarde tu venais malencontreusement à exécuter une fonction quelconque … Enfin faut juste être attentif ![/quote]
En fait avec une application graphique tu as une stack logiciel bien plus lourde et complexe donc tu augmente d’autant le risque. Il y a pas bien longtemps, il avait était trouvé une faille dans X, qui permettait d’obtenir les droits roots très facilement.
[quote=“ggoodluck47”]Salut,
[quote]Tu crains de te faire agresser devant ton ordinateur ? Techniquement si tu met un TMOUT à 1, à moins que tu ne cours très vite, je vois mal quelqu’un passer derrière toi et utiliser le shell.
[/quote]
Pour un cheval de Troie déjà installé les milli-secondes sont des siècles [/quote]
Tu parle de celui qui t’a ajouté un alias su et sudo pour récupérer ton mot de passe ou exécuter une commande quelconque ?
[quote=“ggoodluck47”]Dans la discussion sur le sujet (T&A) nous en étions arrivé à ajouter :
timestamp_timeout=0 pour qu’une seconde commande ne puisse être passée
tty_tickets pour qu’une commande ne puisse être passée depuis un autre poste[/quote]
Le timeout ne sert que pourqu’un attaquant qui accède à ta machine après toi n’ai pas accès au compte root (dans le cas de sudo). De plus je ne suis pas sur qu’il marche dans le cas d’un sudo -s.
Dans le cas de l’usage de su, il sert à ce que tu ne lance pas une commande dangereuse dans un shell root sans le savoir. En plus d’empêcher un attaquant d’avoir accès à un shell root.
Je trouve que c’est plus simple et plus facile à apprendre que de configurer sudo correctement.
Exact
Re,
Je suis pas aussi parano que cela :
j’ai un alias halt=‘sudo halt’ doublé d’un NOPASSWD de halt. Ce qui fait donc qu’un pirate peut arrêter ma machine (pas mon serveur)
Généralement les codes malveillants ont plutôt tendance à wrapper les commandes de login, pour récupérer des mots de passe ou ouvrir une porte plutôt que d’attendre que ta commande soit passée pour choper les droits root parce que tu as utilisé sudo une fois.
Ça leur permet d’avoir du code qui fonctionne avec un maximum de machine.