Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 01-06-2019 23:01:26

merlin
Membre
Distrib. : Debian GNU/Linux 9.9
Noyau : Linux 4.9.0-9-amd 64 (x86_64)
(G)UI : XFCE 4
Inscription : 07-04-2019

Faut-il créer un compte administrateur et définir un mdp root ?

Bonjour,

Mon ordinateur est à usage personnel, et je ne crois pas avoir besoin de travailler beaucoup en lignes de commande sous le compte root je n'ai donc à priori pas besoin de compte administrateur.
Faut-il créer un compte administrateur, et donc définir un mdp root, pour ne jamais utiliser ce compte administrateur ?
Ou bien faut-il ne pas définir le mdp root et fonctionner avec un compte utilisateur principal (premier utilisateur), l'accès au compte root se faisant avec le mdp utilisateur ? Dans ce cas, il semble qu'un attaquant pourrait pirater plus facilement le compte utilisateur et définir lui-même le mdp root pour contrôler ainsi tous le système ?
Quelles sont les conséquences de ce choix pour la sécurité du système?

Abréviations et autres raccourcis : mdp : mot de passe ; root : compte système.

Dernière modification par merlin (01-06-2019 23:06:18)


Processeur Intel Core i5-3320M-2,6 GHz.

Hors ligne

#2 01-06-2019 23:06:29

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Faut-il créer un compte administrateur et définir un mdp root ?

C'est à toi de choisir ; et dans les deux cas c'est assez équivalent...

datalove-datalove-s1-2.png agendadulibre-lagendadulibre.png arzinfo-arzinfo.png

Hors ligne

#3 02-06-2019 08:24:31

smolski
admin quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Faut-il créer un compte administrateur et définir un mdp root ?

Si, dans ta situation réelle, tu as conscience de la différence d'utiliser un mdp root, je te conseille de séparer root de l'utilisateur.
Sinon, tu peux t'en passer.

Pour info :
Quand j'installe debian chez des utilisateurs de pc lambda, je ne mets pas de pass root et crée l'ouverture automatique de l'utilisateur. Plus simple en cas de SAV par telephone.
Pour tous les pc de mon domicile, je crée le passwd root.

"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#4 02-06-2019 08:35:29

Debian Alain
Adhérent(e)
Lieu : zone 51
Distrib. : W$10 / stable / ubuntu / F29 / testing
Noyau : Linux 4.19.0-4 amd 64 debian
(G)UI : Gnome wayland / Gdm3
Inscription : 11-03-2017

Re : Faut-il créer un compte administrateur et définir un mdp root ?

bonjour , smile smile smile

si çà peut aider , perso , je dispose d'un compte root et d'un compte user . cool

adepte de  sudo .  lol

en conséquence , j'utilise peu root dont je vois pas  trop l'intérêt dans ce cas . roll

1498812139.jpg JEANNE MAS - Sauvez Moi   
RYZEN7 1700X - PRIME X370 PRO - 16 Go DDR4 - RADEON PULSE RX 550 4GB DDR5 OC UEFI - CORSAIR RM750X - SSD crucial MX500 500GB

Hors ligne

#5 02-06-2019 10:22:32

raleur
Membre
Inscription : 03-10-2014

Re : Faut-il créer un compte administrateur et définir un mdp root ?

merlin a écrit :

Dans ce cas, il semble qu'un attaquant pourrait pirater plus facilement le compte utilisateur et définir lui-même le mdp root pour contrôler ainsi tous le système ?


Il ne suffit pas de pirater le compte utilisateur : il faut aussi connaître son mot de passe pour exécuter sudo. Si le compte utilisateur est compromis, l'attaquant pourrait détourner les commandes su et sudo pour obtenir le mot de passe root ou le mot de passe de l'utilisateur. Pour l'éviter, on doit se connecter directement en root au lieu d'utiliser su ou sudo.

Du point de vue pratique, les deux ne sont pas équivalents : je ne sais pas si c'est encore d'actualité, mais il était impossible de lancer le shell d'urgence après avoir démarré en mode dépannage si le mot de passe root n'est pas défini.

Pour ma part je définis systématiquement un mot de passe root, et si besoin j'autorise des utilisateurs à exécuter sudo.

Hors ligne

#6 02-06-2019 10:55:22

smolski
admin quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Faut-il créer un compte administrateur et définir un mdp root ?

raleur a écrit :

Pour ma part je définis systématiquement un mot de passe root, et si besoin j'autorise des utilisateurs à exécuter sudo.


C'est à dire que tu ouvres la session en console par les raccourcis ?

https://debian-facile.org/doc:systeme:console scratchhead.gif


"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#7 02-06-2019 11:00:11

Debian Alain
Adhérent(e)
Lieu : zone 51
Distrib. : W$10 / stable / ubuntu / F29 / testing
Noyau : Linux 4.19.0-4 amd 64 debian
(G)UI : Gnome wayland / Gdm3
Inscription : 11-03-2017

Re : Faut-il créer un compte administrateur et définir un mdp root ?

je ne sais pas si c'est encore d'actualité, mais il était impossible de lancer le shell d'urgence après avoir démarré en mode dépannage si le mot de passe root n'est pas défini.


toujours d'actualité .
(testé sur DFL buster)


1498812139.jpg JEANNE MAS - Sauvez Moi   
RYZEN7 1700X - PRIME X370 PRO - 16 Go DDR4 - RADEON PULSE RX 550 4GB DDR5 OC UEFI - CORSAIR RM750X - SSD crucial MX500 500GB

Hors ligne

#8 02-06-2019 11:07:47

dejieres
Membre
Lieu : Moselle
Distrib. : Stretch 64 bits
Noyau : Linux 4.9.0-7-amd64
(G)UI : GNOME 3.22.2
Inscription : 07-02-2017

Re : Faut-il créer un compte administrateur et définir un mdp root ?

raleur a écrit :

mais il était impossible de lancer le shell d'urgence après avoir démarré en mode dépannage si le mot de passe root n'est pas défini


C'est un truc qui m'est arrivé il n'y a encore pas si longtemps. J'avais bidouillé le fstab, s'il m'en souvient bien, en faisant une erreur dedans, bien sûr, sinon ça n'a pas d'intérêt, et je me suis retrouvé coincé parce que root n'avait pas de mot de passe...

Du coup, je fais comme toi, j'en mets un systématiquement au compte root.

Hors ligne

#9 02-06-2019 11:32:06

raleur
Membre
Inscription : 03-10-2014

Re : Faut-il créer un compte administrateur et définir un mdp root ?

smolski a écrit :

C'est à dire que tu ouvres la session en console par les raccourcis ?


Je ne comprends pas la question. Quels raccourcis ?

Hors ligne

#10 02-06-2019 13:11:25

smolski
admin quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Faut-il créer un compte administrateur et définir un mdp root ?

raleur a écrit :

Je ne comprends pas la question. Quels raccourcis ?


Les raccourcis du clavier pour ouvrir une session en console ? smile


"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#11 02-06-2019 13:46:18

raleur
Membre
Inscription : 03-10-2014

Re : Faut-il créer un compte administrateur et définir un mdp root ?

Je ne vois pas de quoi tu parles. Si tu veux parler des combinaisons de touches Ctrl+Alt+Fn pour basculer vers les différentes consoles virtuelles, ce ne sont pas des raccourcis clavier puisqu'à ma connaissance c'est le seul moyen, et je ne vois pas le rapport avec le fait de définir un mot de passe root.

Hors ligne

#12 02-06-2019 14:19:45

smolski
admin quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Faut-il créer un compte administrateur et définir un mdp root ?

Oui c'est cela, les combinaisons de touches, merci. smile

"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#13 02-06-2019 14:39:59

raleur
Membre
Inscription : 03-10-2014

Re : Faut-il créer un compte administrateur et définir un mdp root ?

Et donc, quel est le rapport entre le fait de définir systématiquement un mot de passe root et l'ouverture de session dans une console virtuelle ?

Hors ligne

#14 02-06-2019 22:37:28

smolski
admin quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Faut-il créer un compte administrateur et définir un mdp root ?

raleur a écrit :

quel est le rapport entre le fait de définir systématiquement un mot de passe root


Le sujet de ce post est très intéressant, je désire mettre tout ça en complément dans le tuto su.
Donc je pose des questions sur le fait que tu indiques ouvrir systèmatiquement en session root, je pense que c'est en console et pas en graphique.
Juste ? cool


"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#15 02-06-2019 23:54:43

raleur
Membre
Inscription : 03-10-2014

Re : Faut-il créer un compte administrateur et définir un mdp root ?

smolski a écrit :

tu indiques ouvrir systèmatiquement en session root


Non, je n'ai jamais écrit cela.

Hors ligne

#16 03-06-2019 00:30:15

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Faut-il créer un compte administrateur et définir un mdp root ?

Je pense que la confusion vient d'ici : 

il était impossible de lancer le shell d'urgence après avoir démarré en mode dépannage si le mot de passe root n'est pas défini.


Faut dire que "shell d'urgence" ça me parle pas des masses, moi x)


datalove-datalove-s1-2.png agendadulibre-lagendadulibre.png arzinfo-arzinfo.png

Hors ligne

#17 03-06-2019 05:38:38

LaFouine
Membre
Distrib. : Debian testing
Noyau : 4.19.0-4-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : Faut-il créer un compte administrateur et définir un mdp root ?

bonjours,

Personnellement je ne vois pas ça de cette manière,
un administrateur peux tomber la machine et la rendre inutilisable.
On retrouve les mêmes faille à ce moment que sur d'autre système d'exploitation.

L'utilisateur à par défaut des droits plus restreins, et sur une distribution debian, il ne peut pas casser son système.
Il peux par contre tout a fait casser ces propre fichier et donc empêcher son interface de démarrer.
il ne peux pas atteindre les autres  utilisateurs. en cas de problème on peut crée un nouvel user et ça prend 5 seconde:)

Un pirate sera d'abord confiner a l’utilisateur, il faudra qu'il bosse un peux plus pour arriver a ces fin,
c'est pas a la portée de tout le monde.

il faut comprendre ce que l'on fait. le simple faite de rentrer le mots de passe reviens à dire:
Ne fait pas le c.. sinon sa va piquer.cthulhu.gif


le shell d'urgence c'est disponible dans le menu grub l’écran que tu a aux démarrage du système, en principe car c est pas obligatoire.
il va charge que le strict nécessaire pour que l'administrateur ce mette aux boulôt.

Dernière modification par LaFouine (03-06-2019 05:41:02)


Debian testing, nvidia 980 gtx sli, cm asurock 16 gb ram cpu i7 4,2 ghz

Hors ligne

#18 03-06-2019 06:22:55

smolski
admin quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Faut-il créer un compte administrateur et définir un mdp root ?

raleur a écrit :

Non, je n'ai jamais écrit cela.


Ref - Post #5 :
https://debian-facile.org/viewtopic.php … 41#p301341

raleur a écrit :

l'attaquant pourrait détourner les commandes su et sudo pour obtenir le mot de passe root ou le mot de passe de l'utilisateur. Pour l'éviter, on doit se connecter directement en root au lieu d'utiliser su ou sudo.


C'est ce qui a éveillé mon intérêt.
J'ai mal interprété ton intervention ? roll


"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#19 03-06-2019 11:12:24

raleur
Membre
Inscription : 03-10-2014

Re : Faut-il créer un compte administrateur et définir un mdp root ?

Je ne faisais qu'énoncer une condition, je ne disais pas que je le faisais.
Et ce n'est pas cette partie de mon message que tu avais citée dans ton message #6, d'où mon incompréhension.

Dernière modification par raleur (03-06-2019 11:13:03)

Hors ligne

#20 03-06-2019 12:45:55

smolski
admin quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Faut-il créer un compte administrateur et définir un mdp root ?

Pardon de mes reccourcis trop concis. smile
Donc, tu ouvres bien root en console et non en graphique lorsque tu l'utilises notamment pour les mises à jour et les installations, histoire d'être clair pour un tuto ?
Si oui, fermes-tu alors tous les graphiques ouverts ? (c'est ce que je pratique...) smile

"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#21 03-06-2019 13:54:34

raleur
Membre
Inscription : 03-10-2014

Re : Faut-il créer un compte administrateur et définir un mdp root ?

Non, la plupart du temps j'utilise su dans un émulateur de terminal.

Hors ligne

#22 03-06-2019 15:10:43

Jean-Pierre Pinson
Membre
Lieu : Orléans
Distrib. : Trisquel 8 64bits Ordi.: Thinkpad T400
Noyau : 4.15.0-42-generic x86_64
(G)UI : xfce
Inscription : 04-03-2017

Re : Faut-il créer un compte administrateur et définir un mdp root ?

ne serait ce que pour faire les mises a jour tu auras besoin de faire su - pour etre root, donc il te faut un mot de passe root smile

Trisquel 8 64bits
Bureau : xfce
Ordinateur : Thinkpad T400 libreboot

Hors ligne

#23 03-06-2019 21:11:00

fiche
Membre
Lieu : Paris
Distrib. : Debian stable Stretch
Noyau : Linux 4.9.0-9-686-pae
(G)UI : Xfce
Inscription : 11-07-2016

Re : Faut-il créer un compte administrateur et définir un mdp root ?

Bonsoir,

Je profite de ce sujet pour tenter de m'éclaircir les idées sur le compte root (que je ne maitrise pas).
Avec l'ISO Debian (jusqu'à la version 9 en tout cas car sur la 10 non finalisée, je n'ai rien vu), lors de l'installation, on peut définir :
- un mot de passe root qui va générer la création du compte root
- un mot de passe utilisateur qui va générer le compte standard

Si je veux installer un programme ou faire les mises à jours (ou modifier un fichier système) :
- j'ouvre le compte root au démarrage du PC
- je lance le gestionnaire de paquets Synaptic
- (ou j'édite le fichier système voulu et le modifie)
Et je me déconnecte du compte root.

Pour l'usage courant, j'ouvre le compte standard (qui ne dispose pas de sudo, a priori).

J'ai entendu dire qu'il ne fallait pas lancer d'applications en mode graphique dans le compte root.
Pour quelle raison, si c'est effectivement préconisé ?
Et comment procède t'on concrètement dans ce cas ?

Hors ligne

#24 04-06-2019 00:54:06

cpo
Membre
Inscription : 02-06-2019

Re : Faut-il créer un compte administrateur et définir un mdp root ?

fiche a écrit :

J'ai entendu dire qu'il ne fallait pas lancer d'applications en mode graphique dans le compte root.
Pour quelle raison, si c'est effectivement préconisé ?
Et comment procède t'on concrètement dans ce cas ?



Perso, je préfère utiliser sudo. Les raisons d'utiliser un compte root directement ne me convainquent pas. Celles d'utiliser sudo, si.
(Quand j'ai vraiment besoin d'être root en raison d'une longue séquence, sudo su fait l'affaire).
Dans un cas comme dans l'autre je ne vois aucune raison de ne pas utiliser une application en mode graphique (ex synaptic, gparted).
La seule chose, c'est que une fois root, une appli a tous les pouvoirs. Donc, on ne le fait QUE si l'appli en a besoin.
Il y a même des applis qui refusent de s'exécuter en root (ex install de hplip), ce qui est une bonne pratique, à mon sens.

Attention en particulier avant de lancer un gestionnaire de fichier en mode root....:)

Dernière modification par cpo (04-06-2019 00:55:24)

Hors ligne

#25 04-06-2019 07:00:40

smolski
admin quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Faut-il créer un compte administrateur et définir un mdp root ?

Le principal défaut de lancer une application en mode superadministrateur : https://debian-facile.org/doc:systeme:superutilisateur est la dangerosité d'une mauvaise manipulation en graphique qui peut avoir une grande conséquence sur le système autant que sur les données, toutes les données...

Le mode utilisateur a été spécialement conçu afin de pallier à tout risque d'utilisation érronée. Et si les dev debian l'ont pensé ainsi, c'est d'abord pour leur propre sécurité, d'après leur propre expérience.
Il y a aussi qu'en terminal, le mode utilisateur et le mode root sont respectivement identifiable par le signe $ pour utilisateur et le signe # pour superadministrateur, ce qui n'est pas prévu en graphique.

En fait, graphique ou console/terminal :

TOUT CE QUI PEUT SE FAIRE EN MODE UTILISATEUR DOIT SE FAIRE DANS CE MODE, SANS EXCEPTION.


"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

Pied de page des forums