Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 06-06-2015 00:20:56

Tyly
Membre
Lieu : Val de Marne (94)
Distrib. : Jessie & backports
Noyau : Linux 3.16.0-4-686-pae / Linux 3.16.0-4-amd64
(G)UI : Xfce 4.10
Inscription : 15-05-2015

[Résolu] Su, sudo ou les deux?

Bonsoir,

Un peu fou comme histoire. J'ai pratiqué su il y a une paire d'années, je ne connaissais que ça pour administrer mon système maison (domestique... pas pro quoi). Puis sudo a été popularisé et en gros j'ai suivi le mouvement.

En installant Jessie dernièrement, après quelques années de vacances dirais-je, j'ai répondu positivement à l'invitation de créer un mot de passe pour root (rien de choquant pour moi) et puis dans le feu de l'action, en post-installation, j'ai délégué des droits d'administrateur à l'utilisateur Toto que je suis (sudo).

Dans le principe, sudo est à mes yeux une délégation. Je me trompe?

D'un autre côté j'ai quand même l'impression que sudo et Toto en l'occurrence n'a pas les pleins pouvoirs. Pour certaines questions, su reste le maître (tiens, rien que pour donner des ordres de reboot ou d'arrêts système à Slim)  et je me demande s'il n'est pas utile de le conserver quand la machine connaît plus d'un utilisateur.

Première question, j'ai  donc deux administrateurs, un grand et un moins grand si j'ai bien compris. Est-ce un problème en soi?

Si non, sudo n'est-il pas plus indiqué dans le cadre d'une mono-utilisation?

Pas d'urgence sur cette interrogation mais ce ne serait pas mal de faire le point.

Dernière modification par Tyly (12-06-2015 16:04:46)

Hors ligne

#2 06-06-2015 00:48:05

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : [Résolu] Su, sudo ou les deux?

Bonsoir,

sudo est effectivement utilisé pour faire des sortes de délégations.
Le paramétrage le plus courant avec sudo, c'est de déléguer les droits root à un utilisateur. À ce moment là, l'utilisateur en question peut passer root quand il veut, sans le mot de passe root, mais avec son propre mot de passe à lui. Les droits ainsi obtenus sont exactement les mêmes qu'avec su. L'effet des commandes peut en revanche être différent à cause des variables d'environnement.

L'utilisation exclusive de su (par rapport à une utilisation ubuntuesque de sudo) possède au moins deux gros avantages niveau sécurité.

D'abord, cela nécessite à l'individu/au script mal intentionné de passer une double barrière avant de pouvoir lancer des commandes en tant que root. Typiquement, sur un serveur, l'attaquant devra d'abord trouver un point d'entré sur un compte utilisateur, puis de là trouver un moyen de passer root (les connexions par mot de passe au compte root étant en général interdites).
Sur un système utilisant sudo, un seul mot de passe est nécessaire, voire dans le pire des cas, aucun.

Ensuite, toujours avec la configuration par défaut de sudo, il y a un délai entre les demandes de mot de passe par sudo. Si l'on tape sudo apt-get update, puis sudo apt-get dist-upgrade (par exemple), il ne demandera pas le mot de passe la deuxième fois parce que celui-ci a été donné peu de temps avant. Cet intervalle de temps peut être utilisé par un script malicieux (par exemple un script utilisant une faille du plugin flash pour les malheureux qui s'en servent) pour exécuter une commande avec les droits super-utilisateurs. Il arrive également que ce délai ne tienne pas compte de l'hibernation, permettant ainsi au réveil d'un ordi de taper des commandes avec sudo si l'ordinateur a par exemple mis en veille avec sudo…

Ceci-dit, ces failles sont à nuancer. Principalement dans le cas d'un poste de travail « desktop », principalement parce qu'une fois que l'utilisateur utilisant su ou sudo est touché, il est facile de récupérer le mot de passe root lorsque l'utilisateur le tape… Ensuite, parce que je ne parle là que de la configuration par défaut, mais les utilisateurs prudents configurent sudo pour qu'il redemande le mot de passe à chaque commande, voire pour qu'il ne demande pas le mot de passe utilisateur appelant, mais le mot de passe de l'utilisateur appelé (comportement comme su.)

Bref… Que tu utilises l'un ou l'autre n'a pas trop d'importance, du moment que tu l'utilises bien. Si tu n'es pas trop sûr, je dirais que su permet de prendre de meilleures habitudes.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#3 06-06-2015 01:30:39

chiwawa
Membre
Distrib. : Débian Satable
Noyau : Celui présent dans la dernière stable
(G)UI : Gnome 3
Inscription : 18-04-2009

Re : [Résolu] Su, sudo ou les deux?

Chez moi au taf c'est sudo qu'ont utilisé le plus souvent avec l'éditeur vi pour basculer en root.
Cela permet d'avoir un accès root sens avoir le mot de passe du compte root ( ce qui est meilleur pour la sécurité, moins de personnes ont les mots de passes root mieux, c'est dans une grosse structure) et en ayant tous de tracé, pour retrouver qui a fait quoi.

Car nos serveurs Unix (est Windaube) sont en général tous équiper de NIM (je ne sais pas, si quelqu’un connaît ici NIM) pour la partie gestion des droits admin.

Tous mes PC sont sous Débian maintenant.
Poste mobile => ASUS M51S.
Poste fixe => PROC AMD double cœur + 4 go de ram + 3 disques en raid 5 + disque système (un jour ce sera un ssd promis).

Hors ligne

#4 06-06-2015 15:29:47

stephgarg
Membre
Lieu : Périgueux
Distrib. : Debian GNU/Linux Stable (Jessie)
Noyau : Linux 3.16.0-4-amd64
(G)UI : KDE 4.14.2
Inscription : 01-01-2015

Re : [Résolu] Su, sudo ou les deux?

Bonjour à tous.


Personnellement, j'ai une préférence pour la commande 'su'. smile


Généralement, je l'utilise de deux façons :


A. Si je veux lancer une seule commande (accompagnée éventuellement d'options ou d'arguments) - exemple :

su -c 'ls -l /root'




B. Si j'ai plusieurs commandes à exécuter :

su




Il reste qu'il est toujours préférable d'éviter d'exécuter une commande en tant qu'administrateur - même si c'est à travers de su ou de sudo - si on peut obtenir le même résultat en tant que simple utilisateur.


Utilisateur autant que possible, administrateur autant que nécessaire wink


A bientôt.


Trois PC dont un fixe Sirius, un transportable Canopus et un miniportable Arcturus. smile
Sirius : AMD Athlon 64 X2 à 3 GHz, SDRAM DDR2 800 MHz de 8 Gio, 2 WD VelociRaptor SATA2 de 1000 Go.
Canopus : Intel Core 2 Duo à 2 GHz, SDRAM DDR2 667 MHz de 4 Gio, WD Black Mobile SATA2 de 750 Go.
Arcturus : Intel Atom N270 à 1,6 Ghz, SDRAM DDR2 533 MHz de 2 Gio, Hitachi SATA2 de 160 Go.

Hors ligne

#5 07-06-2015 00:48:11

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Su, sudo ou les deux?

Tyly a écrit :

j'ai quand même l'impression que sudo et Toto en l'occurrence n'a pas les pleins pouvoirs


Qu'est-ce qui te donne cette impression ? Si tu n'as pas mis de restrictions à l'utilisation de sudo par l'utilisateur toto, cela donne les même pouvoirs qu'avec su.

Tyly a écrit :

sudo n'est-il pas plus indiqué dans le cadre d'une mono-utilisation?


Au contraire, il est plus indiqué dans le cadre d'une machine ayant plusieurs administrateurs.

Hors ligne

#6 07-06-2015 00:57:17

Tyly
Membre
Lieu : Val de Marne (94)
Distrib. : Jessie & backports
Noyau : Linux 3.16.0-4-686-pae / Linux 3.16.0-4-amd64
(G)UI : Xfce 4.10
Inscription : 15-05-2015

Re : [Résolu] Su, sudo ou les deux?

Bonsoir,

Si j'essaie de synthétiser, sudo requiert finalement un degré d'expertise supérieur et c'est un outil utile dans le cadre d'une administration relativement complexe. Je ne savais pas qu'on pouvait le configurer, entre autres, pour qu'il demande le mot de passe de l'utilisateur appelé.

Curieux que sudo ait été présenté à une certaine époque comme une simplification des tâches d'administration.

Utilisateur autant que possible, administrateur autant que nécessaire? J'aime bien la formule.

Bref, su quand c'est nécessaire et puis c'est tout.

Hors ligne

#7 07-06-2015 01:14:28

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : [Résolu] Su, sudo ou les deux?

Par défaut, c'est une simplification au prix d'une dégradation de la sécurité. Du coup, si c'est plus accessible que su aux débutants, c'est aussi plus risqué pour eux. Et bien le configurer pour ne pas subir ces dégradations est non-trivial (à moins de bêtement recopier un tuto, mais bon, bêtement recopier les tutos, ce n'est pas la voie vers la sécurité big_smile )

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#8 07-06-2015 01:46:53

Tyly
Membre
Lieu : Val de Marne (94)
Distrib. : Jessie & backports
Noyau : Linux 3.16.0-4-686-pae / Linux 3.16.0-4-amd64
(G)UI : Xfce 4.10
Inscription : 15-05-2015

Re : [Résolu] Su, sudo ou les deux?

raleur a écrit :

Qu'est-ce qui te donne cette impression ? Si tu n'as pas mis de restrictions à l'utilisation de sudo par l'utilisateur toto, cela donne les même pouvoirs qu'avec su.


Je n'ai mis aucune restriction à l'utilisation de sudo par moi même mais j'ai donné un exemple prouvant que je n'ai pas toujours les pleins pouvoirs. Je ne peux pas déconnecter le système ou le rebooter  à partir de Slim, mon gestionnaire de connexion (un peu particulier car pour ce faire il faut lui passer une commande, halt ou reboot, dans le champs utilisateur et la valider en saisissant un mot de passe root). Maintenant, chez moi, il y a root et son délégué, toto, ce qui modifie peut-être la donne.

raleur a écrit :

Au contraire, il est plus indiqué dans le cadre d'une machine ayant plusieurs administrateurs.


Probablement, je comprends pourquoi à présent, et je me suis mal exprimé. Dans le cadre d'un poste de "travail" desktop (genre ordinateur familial) avec un administrateur et quelques utilisateurs, sudo à sec, sans configuration particulière n'est pas toujours aisé et si pratique à l'usage qu'il n' y paraît.

Hors ligne

#9 07-06-2015 01:51:44

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : [Résolu] Su, sudo ou les deux?

Tyly a écrit :

Je n'ai mis aucune restriction à l'utilisation de sudo par moi même mais j'ai donné un exemple prouvant que je n'ai pas toujours les pleins pouvoirs. Je ne peux pas déconnecter le système ou le rebooter  à partir de Slim, mon gestionnaire de connexion (un peu particulier car pour ce faire il faut lui passer une commande, halt ou reboot, dans le champs utilisateur et la valider en saisissant un mot de passe root).


Où tu vois trace de sudo là-dedans ? smile

Si tu fais un

sudo reboot


tu verras que tu rebooteras bien smile

Je ne vais pas parler de systemctl reboot, qui utilise encore une autre méthode de gestion des privilèges… (par sièges)


captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#10 07-06-2015 02:01:10

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : [Résolu] Su, sudo ou les deux?

Il y a en fait deux manières d’utiliser sudo.

La méthode "mono-utilisateur", pour une machine où utilisateur et administrateur sont la même personne, ayant une légère tendance à l’amnésie et préférant donc utiliser un unique mot de passe pour les tâches courantes et les tâches d’administration. C’est ce qui est utilisé par Debian en cas d’installation sans mot de passe défini pour le compte root, ainsi que par Ubuntu par défaut. Cette méthode réduit bel et bien la sécurité de la machine (il suffit de prendre le contrôle du compte utilisateur pour avoir accès à toutes les tâches normalement réservées à root).

La méthode "gestion fine des droits", sudo permettant aussi d’être défini comme pouvant être utilisé sur un panel restreint et clairement défini de commandes, avec ou sans mot de passe. Ça permet d’autoriser à certains utilisateurs/groupes l’utilisation de certaines commandes nécessitant normalement les droits root.
Tu peux par exemple autoriser un utilisateur à éteindre la machine depuis la console, ou gérer les connexions réseau, sans pour autant lui donner un droit d’accès sans limite aux commandes d’administration.

Jouer sous Debian ? Facile !

Hors ligne

#11 08-06-2015 00:24:42

Tyly
Membre
Lieu : Val de Marne (94)
Distrib. : Jessie & backports
Noyau : Linux 3.16.0-4-686-pae / Linux 3.16.0-4-amd64
(G)UI : Xfce 4.10
Inscription : 15-05-2015

Re : [Résolu] Su, sudo ou les deux?

captnfab a écrit :


Où tu vois trace de sudo là-dedans ? smile

Si tu fais un

sudo reboot


tu verras que tu rebooteras bien smile




Dans un terminal cela fonctionne parfaitement bien sûr mais comme commande passée dans le champs Nom d'utilisateur (Login) de Slim, non, cela ne fonctionne pas.


L'explication se trouve dans le fichier de configuration de Slim (/etc/slim.conf). Extrait :


# Commands for halt, login, etc.
halt_cmd            /sbin/shutdown -h now
reboot_cmd          /sbin/shutdown -r now
console_cmd         /usr/bin/xterm -C -fg white -bg black +sb -T "Console login" -e /bin/sh -c "/bin/cat /etc/issue.net; exec /bin/login"
#suspend_cmd        /usr/sbin/suspend




Slim fonctionne comme ça et ainsi configuré il ne peut pas répondre à une commande qu'il ignore, du genre :


sudo reboot




Rien à voir, ainsi que je me l'imaginais, avec une quelconque limitation de sudo en tout cas.

Dernière modification par Tyly (08-06-2015 22:17:55)

Hors ligne

#12 08-06-2015 01:19:36

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : [Résolu] Su, sudo ou les deux?

Tyty : Tu as essayé de modifier directement la commande appelée dans slim.conf ?

reboot_cmd         sudo shutdown -r now


Jouer sous Debian ? Facile !

Hors ligne

#13 08-06-2015 02:19:36

Tyly
Membre
Lieu : Val de Marne (94)
Distrib. : Jessie & backports
Noyau : Linux 3.16.0-4-686-pae / Linux 3.16.0-4-amd64
(G)UI : Xfce 4.10
Inscription : 15-05-2015

Re : [Résolu] Su, sudo ou les deux?

vv222 a écrit :

Tyty : Tu as essayé de modifier directement la commande appelée dans slim.conf ?

reboot_cmd         sudo shutdown -r now




Je viens d'essayer par curiosité plus que par nécessité et Slim n'a pas aimé du tout : écran noir après la séquence Grub.


Recovery mode, correction du fichier slim.conf en root avec nano... et me re-voici.


Sinon, suffit-il que je me dégage du groupe sudo pour ne plus administrer le système qu'en root? (je pourrais aussi peut-être plus simplement virer sudo mais je veux le garder sous le coude).

Hors ligne

#14 08-06-2015 16:05:00

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : [Résolu] Su, sudo ou les deux?

Tyly a écrit :

vv222 a écrit :

Tyty : Tu as essayé de modifier directement la commande appelée dans slim.conf ?

reboot_cmd         sudo shutdown -r now




Je viens d'essayer par curiosité plus que par nécessité et Slim n'a pas aimé du tout : écran noir après la séquence Grub.


Recovery mode, correction du fichier slim.conf en root avec nano... et me re-voici.


Essaye peut-être en donnant le chemin complet vers sudo, comme c’était le cas pour /usr/sbin/shutdown, et en configurant une utilisation sans mot de passe de "sudo shutdown".


Tyly a écrit :

Sinon, suffit-il que je me dégage du groupe sudo pour ne plus administrer le système qu'en root? (je pourrais aussi peut-être plus simplement virer sudo mais je veux le garder sous le coude).


Si dans le fichier /etc/sudoers les droits sont donnés au groupe "sudo" plutôt que directement à ton utilisateur, ça devrait suffire.


Jouer sous Debian ? Facile !

Hors ligne

#15 08-06-2015 18:06:48

Tyly
Membre
Lieu : Val de Marne (94)
Distrib. : Jessie & backports
Noyau : Linux 3.16.0-4-686-pae / Linux 3.16.0-4-amd64
(G)UI : Xfce 4.10
Inscription : 15-05-2015

Re : [Résolu] Su, sudo ou les deux?

vv222 a écrit :


Essaye peut-être en donnant le chemin complet vers sudo, comme c’était le cas pour /usr/sbin/shutdown, et en configurant une utilisation sans mot de passe de "sudo shutdown".



Pas trop le temps d'approfondir cette question dans l'immédiat mais je vais y revenir.

w222 a écrit :


Si dans le fichier /etc/sudoers les droits sont donnés au groupe "sudo" plutôt que directement à ton utilisateur, ça devrait suffire.



Extrait de sudoers :

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL



Je pense que c'est bon (mon nom d'utilisateur n'apparaît nulle part dans ce fichier).


Edit : j'ai deux petits portables sensiblement configurés à l'identique. Sur le plus petit je me suis dégagé du groupe sudo et je suis redevenu un simple utilisateur (mais j'appartiens à plus de groupes que ma femme par exemple... cdrom floppy audio dip video plugdev bluetooth, tout ça pour moi en plus, et quelques uns inutiles). Accessoirement si je tente d'utiliser sudo cela génère un rapport d' incident.

Dernière modification par Tyly (08-06-2015 18:32:10)

Hors ligne

#16 08-06-2015 18:58:42

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : [Résolu] Su, sudo ou les deux?

Ouais, il te suffit de commenter la ligne, ou de te retirer du groupe sudo pour que sudo ne soit plus « actif » » (il restera utilisable par root, mais bon…).

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#17 12-06-2015 16:03:11

Tyly
Membre
Lieu : Val de Marne (94)
Distrib. : Jessie & backports
Noyau : Linux 3.16.0-4-686-pae / Linux 3.16.0-4-amd64
(G)UI : Xfce 4.10
Inscription : 15-05-2015

Re : [Résolu] Su, sudo ou les deux?

captnfab a écrit :

Ouais, il te suffit de commenter la ligne, ou de te retirer du groupe sudo pour que sudo ne soit plus « actif » » (il restera utilisable par root, mais bon…).



Entendu merci, j'avais bien pensé aussi commenter la ligne et tant qu'on y est on peut aussi commenter celle de root. Pour l'instant je me retire simplement du groupe sudo. Je passe la question en "résolu" même s'il n'existait pas de vrai souci (juste une inquiétude).

Hors ligne

Pied de page des forums