Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
doc:systeme:sudo [31/01/2010 12:27] smolski |
doc:systeme:sudo [12/08/2012 20:21] martin_mtl |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | ====== SUDO ====== | ||
+ | ===== ATTENTION ! ===== | ||
+ | |||
+ | Il est déconseillé d'utiliser **sudo** inconsidéremment sans en remanier la configuration par défaut. | ||
+ | |||
+ | == En effet : == | ||
+ | |||
+ | * Si on fait un sudo dans un terminal et qu'on en ouvre un autre, //le mot de passe est bien demandé//. | ||
+ | * Si on fait un sudo dans un terminal où on donne le mot de passe, | ||
+ | - qu'on le ferme | ||
+ | - qu'on en ouvre un de nouveau... //le mot de passe n'est plus demandé// ! | ||
+ | |||
+ | Pour éviter cet inconvénient, porte ouverte à l'infection par des virus et des vers, veiller à configurer votre sudo selon le paragraphe : **Configuration de sécurité élémentaire** | ||
+ | |||
+ | <note important>De toute façon, mieux vaut privilégier la commande su chaque fois que cela est possible.</note> | ||
+ | |||
+ | |||
+ | |||
+ | ===== Introduction ===== | ||
+ | |||
+ | Voilà un logiciel permettant de lancer des commandes **root** en maintenant un terminal **user** ouvert. | ||
+ | |||
+ | ===== Installation ===== | ||
+ | |||
+ | # aptitude install sudo | ||
+ | |||
+ | Si vous avez plus simple, faite-le savoir ! ;-) | ||
+ | |||
+ | ===== Configuration de sudo - visudo ===== | ||
+ | |||
+ | Passer __obligatoirement__ par la commande **visudo** pour configurer sudo. L'utilitaire visudo vérifie la syntaxe du fichier /etc/sudoers avant d'enregistrer celui-ci. | ||
+ | |||
+ | \\ | ||
+ | Dans un terminal root, taper : | ||
+ | |||
+ | # visudo | ||
+ | |||
+ | ===== Configuration de sécurité élémentaire ===== | ||
+ | |||
+ | Sous la ligne ''Defaults env_reset'' ajoutez : | ||
+ | |||
+ | Defaults timestamp_timeout=0 | ||
+ | |||
+ | En mettant le timeout à 0, les droits **root** ne seront plus utilisables dès que vous aurez validé l'exécution de votre commande. | ||
+ | |||
+ | Pour réserver l'utilisation de sudo à mon_nom seulement, écrivez : | ||
+ | |||
+ | Defaults:mon_nom tty_tickets | ||
+ | |||
+ | Où mon_nom est le nom que vous utilisez pour vous connecter à votre session. | ||
+ | |||
+ | == DÉCONSEILLÉ : == | ||
+ | |||
+ | Si vous voulez ouvrir les droits de **sudo** pour **plusieurs utilisateurs** sans les énumérer ici, écrivez : | ||
+ | |||
+ | Defaults:All tty_tickets | ||
+ | |||
+ | Et voilà ! :-) | ||
+ | |||
+ | |||
+ | ===== Configuration pour un utilisateur ===== | ||
+ | |||
+ | <note tip> | ||
+ | Pour un seul //utilisateur//, il n'est pas nécessaire d'intégrer ce dernier dans le groupe //sudo// | ||
+ | </note> | ||
+ | |||
+ | //Merci à //**Asmodée**// pour cette indication précise !// :-D | ||
+ | |||
+ | ==== sudo UN SEUL utilisateur AVEC mot de passwd demandé ==== | ||
+ | |||
+ | C'est la configuration préconisée pour tous les utilisateurs de sudo débutant. | ||
+ | |||
+ | === Pour la branche stable, soit Squeeze === | ||
+ | |||
+ | Sous la ligne ''root ALL=(ALL) ALL'', écrivez : | ||
+ | badaboum ALL=(ALL) ALL | ||
+ | (**badaboum** étant votre nom d'utilisateur **mon_nom**, par exemple...) | ||
+ | |||
+ | Ainsi, **badaboum** sera le seul //utilisateur// autorisé à se servir de la commande **sudo** dans un terminal. | ||
+ | |||
+ | === Pour les branches testing (Wheezy) et unstable (Sid) === | ||
+ | |||
+ | Il est à noter que le fichier /etc/sudoers a subi de légers changements pour ces deux branches. | ||
+ | |||
+ | Aussi la ligne : | ||
+ | root ALL=(ALL) ALL | ||
+ | |||
+ | devient : | ||
+ | root ALL=(ALL:ALL) ALL | ||
+ | |||
+ | Celle que l'on écrit pour un utilisateur change de la même façon. Donc pour l'utilisateur badamoum ci-haut, elle devient : | ||
+ | |||
+ | badaboum ALL=(ALL:ALL) ALL | ||
+ | |||
+ | Dans un terminal utilisateur, tapez une commande root : | ||
+ | |||
+ | $ sudo fdisk -l | ||
+ | |||
+ | Le passwd de l'//user// est demandé, non celui de root : | ||
+ | [sudo] password for badaboum: <//Taper ici le passwd de cet user//> | ||
+ | Et la commande s'exécute ! | ||
+ | |||
+ | ==== sudo UN SEUL utilisateur SANS mot de passwd demandé ==== | ||
+ | |||
+ | <note warning> | ||
+ | **Ceci est une utilisation réservée :** | ||
+ | </note> | ||
+ | * aux machines __non connectées__ sur la toile ou dont le [[config:proxy|PROXY Serveur]] intermédiaire est configuré soigneusement par un EXPERT. | ||
+ | * aux EXPERTS, sachant protéger leurs machines par des configurations personnelles en amont. | ||
+ | * aux EXPERTS couvrant des tâches d'Administration exigeant l'usage du **super-utilisateur** et non de **root**. Un usage particulier de [[logiciel:kvm|KVM - Fork de Qemu]] par exemple... | ||
+ | |||
+ | voir : [[manuel:parefeu-iptables|IPTABLE]] et autres sécurités évoluées. | ||
+ | |||
+ | Sous la ligne ''root ALL=(ALL) ALL'', écrivez seulement : | ||
+ | badaboum ALL=NOPASSWD: ALL | ||
+ | (**badaboum** étant votre nom d'utilisateur **mon_nom**, par exemple...) | ||
+ | |||
+ | <note>Si vous utilisez la branche testing, soit Wheezy, ou bien Sid, veuillez tenir compte de la modification mentionné plus haut </note> | ||
+ | |||
+ | À partir de maintenant, vous pouvez quitter le shell //root// et faire le reste sous votre //nom// avec **sudo** sans plus taper de mot de passe. | ||
+ | |||
+ | === Exemple : === | ||
+ | |||
+ | Dans un terminal user, tapez une commande root : | ||
+ | |||
+ | $ sudo fdisk -l | ||
+ | |||
+ | <note important> | ||
+ | Et la commande s'exécute sans demande de passwd ! | ||
+ | </note> | ||
+ | |||
+ | ===== Configuration pour plusieurs utilisateurs ===== | ||
+ | |||
+ | ==== sudo PLUSIEURS utilisateur AVEC mot de passwd demandé === | ||
+ | |||
+ | Sous la ligne : | ||
+ | Defaults env_reset | ||
+ | |||
+ | Décommentez (ou rédigez) cette commande : | ||
+ | %sudo ALL=(ALL) ALL | ||
+ | |||
+ | ou, selon votre situation : | ||
+ | %sudo ALL=(ALL:ALL) ALL | ||
+ | |||
+ | Il vous sera alors possible d'ajouter chaque //utilisateur// que vous voulez au groupe //sudo// pour leur faire partager les droits sudo. | ||
+ | |||
+ | Mettons que vous ayez un pote... un vrai hein... nommé //ploumploum// par exemple. Pour l'ajouter à la commande sudo, il suffira de taper : | ||
+ | # adduser ploumploum sudo | ||
+ | |||
+ | Et il y sera pareillement maintenant ! | ||
+ | |||
+ | On met la petite soeurette //tagada// ? \\ | ||
+ | On le fait ainsi : | ||
+ | # adduser tagada sudo | ||
+ | |||
+ | Je vous laisse ajouter l'user //tsointsoin// si vous le voulez bien... ;-) | ||
+ | |||
+ | //Ce tuto est initié sous la musique de captnfab...// | ||
+ | ploumploum badaboum tagada tsointsoin... | ||
+ | |||
+ | **Tchibâââ** ! :-D | ||
+ | |||
+ | ==== sudo PLUSIEURS users SANS mot de passwd demandé ==== | ||
+ | |||
+ | <note warning>**Bien que possible**, il n'est absolument pas recommandé d'offrir les droits **root** automatiquement et __sans mot de passwd__ à tous les users.</note> | ||
+ | |||
+ | |||
+ | ===== Utilisation de SUDO ===== | ||
+ | |||
+ | Il est ainsi possible d'accomplir : | ||
+ | * Moultes configurations de votre système sans maintenir un terminal root permanent. | ||
+ | * De préserver ainsi une certaine sécurité en n'opérant pas de commande accidentelles sous **root**... | ||
+ | |||
+ | ===== Lien et remerciements ===== | ||
+ | |||
+ | Depuis le tuto de captnfab, là: | ||
+ | |||
+ | http://wiki.chezlefab.net/tuto_nix/installation_squeeze#rompre_la_rootine | ||
+ | |||
+ | //nôtre 'pitaine au long cours préféré sur DF !// | ||
+ | |||
+ | Vous l'auriez trouvé vous : "Rompre la rootine" ? | ||
+ | |||
+ | // - Tant de poësie émeut...// | ||
+ | |||
+ | ===== Référence ===== | ||
+ | |||
+ | [[http://www.debian.org/doc/manuals/debian-reference/ch01.fr.html#_sudo_configuration|La référence Debian]] |