Sudoer


#1

Bonjour à tous

Je viens vous demander comment on configure l’utilisateur principal pour pouvoir l’utiliser avec la commande ‘sudo’

Plus concretement, voila command ca se passe:

user@localhost:~$ sudo /usr/local/src/lazy.sh
Password: ‘mon-passwd’
‘user’ is not in the sudoers file. This incident will be reported.

Pouvez vous m’aider pour que la sudo fonctionne de manière à pas prendre de rique en étant obligé d’ installer en ‘root’ .

A ce sujet, auriez vousdes conseils à me donner (install de script de maniere à ce que les fichiers ne puissent pas être modifié par n’importe qui.

Merci à vous


#2

Déjà, comprends bien l’usage des forums: "trucs et astuces est la partie “proactive” comme on dit, et sert quand on a un “truc” à donner aux autres, pour les questions, c’est dans “GNU/linux en général”.
Bon, ensuite, un quart de seconde de recherche sur le mot clé sudo t’aurait permis de trouver ça:
forum.debian-fr.org/viewtopic.ph … light=sudo


#3

Ecuse moi pour avoir posté au mauvais endroit

Pour la recherche sur forum-debian’, je l’ai bien faite (je recherche toujours, où que je soit), bien entendu et j’ai vu le post dont tu me fais part, mais je n’ai pas appliqué immédiatement cette exemple car je me demandais a quoi cela servait finalement de mettre mon user avec droits ALL ALL ALL ,

Voila pourquoi j’ai posé la question après, car je voudrais bien comprendre la différence en un ‘user’ qui a tous les droits et ‘root’ .

Si tu pouvais m’expliquer celà et le pourquoi du comment de la chose ?

Merci d’avance


#4

La difference fondamentale est qu’il faut précisé sudo avant la commande pour l’executer avec les droits root tout en étant qu’user.

Ensuite, il faut configurer ton fichier /etc/sudoers de manière à avoir acces a toutes les commandes nécessaires pour toi mais de maniere a devoir donner le mot de passe à chaque fois (sinon ca ne sert pas a grands choses).


#5

Ok tres bien je te remercie pour ta réponse.

Mais comment vraiment protéger l’access à ssh?

Genre; impossible de se connecter en root directement ?

OU donner droit qu’à mon ip (fixe) de se connecter à ssh ?

Comment réaliser ceci?

Merci pour vos infos

Amicalement, Manu


#6

Sur le principe qu’on n’est jamais trop prudent, voici ce que je fais pour limiter au maximum l’accès à ssh:

Dans /etc/ssh/sshd_config

[code]# interdire login root
PermitRootLogin no

liste des users autorisés

AllowUsers user_toi

se déconnecte après 10 sec. si le login n’est pas fait.

LoginGraceTime 10[/code]

Dans iptables

# Autorisation acces SSH Chain INPUT (policy DROP) target prot opt source destination ACCEPT tcp -- 192.168.0.0/24 anywhere tcp dpt:ssh

Dans /etc/hosts.allow


#7

si tu es obligé de protèger mais que tu ne peux pas te restreindre à une ip, tu as aussi le paquet fail2ban, qui blackliste un certain temps les adresses faisant des echecs répètés.


#8

Très intéressant. Je pense que je vais me l’installer.

C’est le bantime qui me semble particulièrement intéressant. Quelques secondes de ban me semble suffisant pour décourager les bots sans bloquer définitivement pour cela l’IP qui pourrait être celui d’un proxy légitime!

Cela évite un dos inverse!


#9

pour ceux qui sont un peut plus techniques, il y a un module pam qui permet d’appliquer un blacklisting d’un login ou d’une adresse avec un délai de réactivation, mais je ne l’ai pas essayé, et il faudrait que je recherche la réfèrence dans debian-security-list… (ou peut être que c’est ici que j’en ai parlé).
Enfin bon, ça existe aussi :wink:


#10

Super les gars, vous êtes trop géniaux :smiley:

Je vais voir celà de suite.

PS: j’ai fais pas mal de recherche sur vos explications, et j’ai bien compris maintenant la différence entre un ‘user’ en ‘sudoer’ ALL ALL ALL et un ‘root’

Je vous remercie, car c’est surtout grâce à la mentalité communautaire des personnes telles que vous que le libre prend le pas et fait son chemin chez les professionnels.

Merci