Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
doc:systeme:sudo [15/07/2019 07:54] smolski [Configuration de sécurité élémentaire] |
doc:systeme:sudo [15/07/2021 15:07] (Version actuelle) smolski [sudo] |
||
---|---|---|---|
Ligne 10: | Ligne 10: | ||
* Commentaires sur le forum : [[https://debian-facile.org/viewtopic.php?id=1698 |C'est ici]]((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | * Commentaires sur le forum : [[https://debian-facile.org/viewtopic.php?id=1698 |C'est ici]]((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | ||
+ | {{https://debian-facile.org/images/file-R6679d85454aba230d70f7c482a3ada85.png}} | ||
===== Important ===== | ===== Important ===== | ||
Ligne 25: | Ligne 26: | ||
Pour éviter cet inconvénient, porte ouverte à l'infection par des virus et des vers, veillez à configurer votre sudo selon le paragraphe : **[[doc:systeme:sudo#configuration_de_securite_elementaire | Configuration de sécurité élémentaire]]** | Pour éviter cet inconvénient, porte ouverte à l'infection par des virus et des vers, veillez à configurer votre sudo selon le paragraphe : **[[doc:systeme:sudo#configuration_de_securite_elementaire | Configuration de sécurité élémentaire]]** | ||
- | De toute façon mieux vaut **privilégier** [[:doc:systeme:su | la commande su]] chaque fois que cela est possible ! | + | <note important> |
+ | De toute façon mieux vaut **privilégier** [[:doc:systeme:su | la commande su]] chaque fois que cela est possible !</note> | ||
Ligne 98: | Ligne 100: | ||
==== Droits d'exécution à un seul user ==== | ==== Droits d'exécution à un seul user ==== | ||
- | Pour réserver l'utilisation de sudo à mon_nom seulement, écrivez : | + | <note important>//mon_nom// et //badaboum// sont des exemples, il faut les remplacer par le nom de l'user réel.</note> |
+ | Pour réserver l'utilisation de sudo à //mon_nom// seulement, écrivez : | ||
- | Defaults:mon_nom tty_tickets | + | <file config sudo> |
+ | Defaults:mon_nom tty_tickets | ||
+ | </file> | ||
- | Où mon_nom est le nom que vous utilisez pour vous connecter à votre session. | + | Ici, //mon_nom// est le nom que vous utilisez pour vous connecter à votre session. |
<note tip>Ainsi, pour un seul //utilisateur//, il n'est pas nécessaire d'intégrer ce dernier dans le groupe //sudo//</note> | <note tip>Ainsi, pour un seul //utilisateur//, il n'est pas nécessaire d'intégrer ce dernier dans le groupe //sudo//</note> | ||
Ligne 115: | Ligne 120: | ||
==== sudo UN SEUL utilisateur AVEC mot de passwd demandé ==== | ==== sudo UN SEUL utilisateur AVEC mot de passwd demandé ==== | ||
+ | <note important>//mon_nom// et //badaboum// sont des exemples, il faut les remplacer par le nom de l'user réel.</note> | ||
C'est la configuration préconisée pour tous les utilisateurs de sudo débutant. | C'est la configuration préconisée pour tous les utilisateurs de sudo débutant. | ||
Sous la ligne : | Sous la ligne : | ||
root ALL=(ALL:ALL) ALL | root ALL=(ALL:ALL) ALL | ||
- | |||
écrivez : | écrivez : | ||
badaboum ALL=(ALL:ALL) ALL | badaboum ALL=(ALL:ALL) ALL | ||
- | + | (**badaboum** illustrant ici votre nom d'utilisateur **mon_nom**, par exemple...) \\ | |
- | (**badaboum** illustrant ici votre nom d'utilisateur **mon_nom**, par exemple...) | + | |
Ainsi, **badaboum** sera le seul //utilisateur// autorisé à se servir de la commande **sudo** dans un terminal. | Ainsi, **badaboum** sera le seul //utilisateur// autorisé à se servir de la commande **sudo** dans un terminal. | ||
- | **Test de la configuration modifiée :** | + | |
+ | == Test de la configuration modifiée == | ||
Tapez une commande root comme celle-ci par exemple : | Tapez une commande root comme celle-ci par exemple : | ||
Ligne 133: | Ligne 137: | ||
[sudo] password for badaboum: <//Taper ici le passwd de cet user//> | [sudo] password for badaboum: <//Taper ici le passwd de cet user//> | ||
Et la commande s'exécute ! | Et la commande s'exécute ! | ||
+ | |||
+ | == Reboot == | ||
+ | |||
+ | Autoriser user à exécuter toutes les commandes via sudo mais que sudo reboot ne demande pas le mot de passe (faire 2 lignes) : | ||
+ | |||
+ | nom_user ALL=(ALL) ALL | ||
+ | nom_user ALL=(ALL) NOPASSWD: /usr/sbin/reboot | ||
==== UN SEUL utilisateur SANS mot de passwd demandé ==== | ==== UN SEUL utilisateur SANS mot de passwd demandé ==== | ||
Ligne 141: | Ligne 152: | ||
* aux machines __non connectées__ sur la toile ou dont le serveur proxy intermédiaire est configuré soigneusement par un EXPERT. | * aux machines __non connectées__ sur la toile ou dont le serveur proxy intermédiaire est configuré soigneusement par un EXPERT. | ||
* aux EXPERTS, sachant protéger leurs machines par des configurations personnelles en amont. | * aux EXPERTS, sachant protéger leurs machines par des configurations personnelles en amont. | ||
- | * aux EXPERTS couvrant des tâches d'Administration exigeant l'usage du **super-utilisateur** et non de **root**. Un usage particulier de [[:doc:systeme:kvm|KVM - Fork de Qemu]] par exemple... | + | * aux EXPERTS couvrant des tâches d'Administration exigeant les privilèges **super-utilisateur** pour certaines commandes uniquement non d'un accès **root**. Un usage particulier de [[:doc:systeme:kvm|KVM - Fork de Qemu]] par exemple... |
voir : [[:doc:reseau:iptables|iptable]] et autres sécurités évoluées.</note> | voir : [[:doc:reseau:iptables|iptable]] et autres sécurités évoluées.</note> | ||
Ligne 153: | Ligne 164: | ||
À partir de maintenant, vous pouvez quitter le shell //root// et faire le reste sous votre //nom// avec **sudo** sans plus taper de mot de passe. | À partir de maintenant, vous pouvez quitter le shell //root// et faire le reste sous votre //nom// avec **sudo** sans plus taper de mot de passe. | ||
- | === Exemple : === | + | == Exemple == |
Tapez une commande **root** mais sous votre **user** ainsi : | Tapez une commande **root** mais sous votre **user** ainsi : | ||
Ligne 159: | Ligne 170: | ||
<note important>Et la commande s'exécute sans demande de passwd !</note> | <note important>Et la commande s'exécute sans demande de passwd !</note> | ||
+ | |||
===== Configuration pour plusieurs utilisateurs ===== | ===== Configuration pour plusieurs utilisateurs ===== | ||
Ligne 237: | Ligne 249: | ||
utiliser sudo dans une tâche cron, par nature non interactive, est une aberration. Si la tâche doit s'exécuter avec les privilèges root, il faut la créer avec root. Merci **raleur** :-) | utiliser sudo dans une tâche cron, par nature non interactive, est une aberration. Si la tâche doit s'exécuter avec les privilèges root, il faut la créer avec root. Merci **raleur** :-) | ||
+ | |||
+ | |||
+ | ===== Passer root ===== | ||
+ | |||
+ | On peut aussi [[doc:systeme:superutilisateur|passer root]] avec sudo en utilisant l'option -i ainsi: | ||
+ | <code user>sudo -i</code> | ||
+ | Le passwd de l'user est réclamé et l'on devient Superutilisateur sur son système. \\ | ||
+ | Pour quitter ce privilège, utiliser le raccourci clavier : \\ | ||
+ | ''Ctrl d'' | ||
+ | |||
===== Lien et remerciements ===== | ===== Lien et remerciements ===== | ||