Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
doc:systeme:sudo [12/08/2012 19:46] martin_mtl |
doc:systeme:sudo [22/09/2013 23:31] 127.0.0.1 modification externe |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== SUDO ====== | + | ====== sudo ====== |
- | ===== ATTENTION ! ===== | + | <note warning>Il est déconseillé d'utiliser **sudo** inconsidérément sans en remanier la configuration par défaut.</note> |
- | + | ||
- | Il est déconseillé d'utiliser **sudo** inconsidéremment sans en remanier la configuration par défaut. | + | |
== En effet : == | == En effet : == | ||
Ligne 12: | Ligne 10: | ||
- qu'on en ouvre un de nouveau... //le mot de passe n'est plus demandé// ! | - qu'on en ouvre un de nouveau... //le mot de passe n'est plus demandé// ! | ||
- | Pour éviter cet inconvénient, porte ouverte à l'infection par des virus et des vers, veiller à configurer votre sudo selon le paragraphe : **Configuration de sécurité élémentaire** | + | Pour éviter cet inconvénient, porte ouverte à l'infection par des virus et des vers, veillez à configurer votre sudo selon le paragraphe : **Configuration de sécurité élémentaire** |
- | <note important>De toute façon, mieux vaut privilégier la commande su chaque fois que cela est possible.</note> | + | De toute façon mieux vaut **privilégier** la commande [[:doc:systeme:su]] chaque fois que cela est possible. |
Ligne 45: | Ligne 43: | ||
En mettant le timeout à 0, les droits **root** ne seront plus utilisables dès que vous aurez validé l'exécution de votre commande. | En mettant le timeout à 0, les droits **root** ne seront plus utilisables dès que vous aurez validé l'exécution de votre commande. | ||
- | Pour réserver l'utilisation de sudo à mon_user seulement, écrivez : | + | Pour réserver l'utilisation de sudo à mon_nom seulement, écrivez : |
- | Defaults:mon_user tty_tickets | + | Defaults:mon_nom tty_tickets |
- | Où mon_user est le nom que vous utilisez dans votre session. | + | Où mon_nom est le nom que vous utilisez pour vous connecter à votre session. |
== DÉCONSEILLÉ : == | == DÉCONSEILLÉ : == | ||
- | Si vous voulez ouvrir les droits de **sudo** pour **plusieurs users** sans les énumérer ici, écrivez : | + | Si vous voulez ouvrir les droits de **sudo** pour **plusieurs utilisateurs** sans les énumérer ici, écrivez : |
Defaults:All tty_tickets | Defaults:All tty_tickets | ||
Ligne 60: | Ligne 58: | ||
- | ===== Configuration pour un user ===== | + | ===== Configuration pour un utilisateur ===== |
<note tip> | <note tip> | ||
- | Pour un seul //user//, il n'est pas nécessaire d'intégrer cet //user// dans le groupe //sudo//</note> | + | Pour un seul //utilisateur//, il n'est pas nécessaire d'intégrer ce dernier dans le groupe //sudo// |
+ | </note> | ||
//Merci à //**Asmodée**// pour cette indication précise !// :-D | //Merci à //**Asmodée**// pour cette indication précise !// :-D | ||
- | ==== sudo UN SEUL user AVEC mot de passwd demandé ==== | + | ==== sudo UN SEUL utilisateur AVEC mot de passwd demandé ==== |
C'est la configuration préconisée pour tous les utilisateurs de sudo débutant. | C'est la configuration préconisée pour tous les utilisateurs de sudo débutant. | ||
Ligne 74: | Ligne 74: | ||
Sous la ligne ''root ALL=(ALL) ALL'', écrivez : | Sous la ligne ''root ALL=(ALL) ALL'', écrivez : | ||
badaboum ALL=(ALL) ALL | badaboum ALL=(ALL) ALL | ||
- | (**badaboum** étant votre nom d'utilisateur **user**, par exemple...) | + | (**badaboum** étant votre nom d'utilisateur **mon_nom**, par exemple...) |
- | Ainsi, **badaboum** sera le seul //user// autorisé à se servir de la commande **sudo** dans un terminal. | + | Ainsi, **badaboum** sera le seul //utilisateur// autorisé à se servir de la commande **sudo** dans un terminal. |
=== Pour les branches testing (Wheezy) et unstable (Sid) === | === Pour les branches testing (Wheezy) et unstable (Sid) === | ||
Ligne 88: | Ligne 88: | ||
root ALL=(ALL:ALL) ALL | root ALL=(ALL:ALL) ALL | ||
- | Celle qui pour utilisateur donné va de mȩme. Donc pour l'utilisateur badamoum, elle devient : | + | Celle que l'on écrit pour un utilisateur change de la même façon. Donc pour l'utilisateur badamoum ci-haut, elle devient : |
- | badaboum ALL=(ALL:ALL) ALl | + | |
- | Dans un terminal user, tapez une commande root : | + | badaboum ALL=(ALL:ALL) ALL |
+ | |||
+ | Dans un terminal utilisateur, tapez une commande root : | ||
$ sudo fdisk -l | $ sudo fdisk -l | ||
Ligne 99: | Ligne 100: | ||
Et la commande s'exécute ! | Et la commande s'exécute ! | ||
- | ==== sudo UN SEUL user SANS mot de passwd demandé ==== | + | ==== sudo UN SEUL utilisateur SANS mot de passwd demandé ==== |
- | <note warning>**Ceci est une utilisation réservée :**</note> | + | |
- | * aux machines __non connectées__ sur la toile ou dont le [[config:proxy|PROXY Serveur]] intermédiaire est configuré soigneusement par un EXPERT. | + | <note warning> |
+ | **Ceci est une utilisation réservée :** | ||
+ | </note> | ||
+ | * aux machines __non connectées__ sur la toile ou dont le serveur proxy intermédiaire est configuré soigneusement par un EXPERT. | ||
* aux EXPERTS, sachant protéger leurs machines par des configurations personnelles en amont. | * aux EXPERTS, sachant protéger leurs machines par des configurations personnelles en amont. | ||
- | * aux EXPERTS couvrant des tâches d'Administration exigeant l'usage du **super-utilisateur** et non de **root**. Un usage particulier de [[logiciel:kvm|KVM - Fork de Qemu]] par exemple... | + | * aux EXPERTS couvrant des tâches d'Administration exigeant l'usage du **super-utilisateur** et non de **root**. Un usage particulier de [[:doc:systeme:kvm|KVM - Fork de Qemu]] par exemple... |
- | voir : [[manuel:parefeu-iptables|IPTABLE]] et autres sécurités évoluées. | + | voir : [[:doc:reseau:iptables|iptable]] et autres sécurités évoluées. |
- | Sous la ligne ''root ALL=(ALL) ALL'' écrivez seulement : | + | Sous la ligne ''root ALL=(ALL) ALL'', écrivez seulement : |
badaboum ALL=NOPASSWD: ALL | badaboum ALL=NOPASSWD: ALL | ||
- | (**badaboum** étant votre nom d'utilisateur **user**, par exemple...) | + | (**badaboum** étant votre nom d'utilisateur **mon_nom**, par exemple...) |
+ | |||
+ | <note>Si vous utilisez la branche testing, soit Wheezy, ou bien Sid, veuillez tenir compte de la modification mentionné plus haut </note> | ||
- | À partir de maintenant, vous pouvez quitter le shell //root// et faire le reste sous votre //user// avec **sudo** sans plus taper de mot de passe. | + | À partir de maintenant, vous pouvez quitter le shell //root// et faire le reste sous votre //nom// avec **sudo** sans plus taper de mot de passe. |
=== Exemple : === | === Exemple : === | ||
Ligne 119: | Ligne 125: | ||
$ sudo fdisk -l | $ sudo fdisk -l | ||
- | <note important>Et la commande s'exécute sans demande de passwd !</note> | + | <note important> |
+ | Et la commande s'exécute sans demande de passwd ! | ||
+ | </note> | ||
- | ===== Configuration pour plusieurs users ===== | + | ===== Configuration pour plusieurs utilisateurs ===== |
- | ==== sudo PLUSIEURS users AVEC mot de passwd demandé === | + | ==== sudo PLUSIEURS utilisateur AVEC mot de passwd demandé === |
Sous la ligne : | Sous la ligne : | ||
Ligne 131: | Ligne 139: | ||
%sudo ALL=(ALL) ALL | %sudo ALL=(ALL) ALL | ||
- | Il vous sera alors possible d'ajouter chaque //user// que vous voulez au groupe //sudo// pour leur faire partager les droits sudo. | + | ou, selon votre situation : |
+ | %sudo ALL=(ALL:ALL) ALL | ||
- | Mettons que vous ayez un pote... Un vrai... nommé //ploumploum// par exemple. Pour l'ajouter à la commande sudo, il suffira de taper : | + | Il vous sera alors possible d'ajouter chaque //utilisateur// que vous voulez au groupe //sudo// pour leur faire partager les droits sudo. |
+ | |||
+ | Mettons que vous ayez un pote... un vrai hein... nommé //ploumploum// par exemple. Pour l'ajouter à la commande sudo, il suffira de taper : | ||
# adduser ploumploum sudo | # adduser ploumploum sudo | ||
Ligne 149: | Ligne 160: | ||
**Tchibâââ** ! :-D | **Tchibâââ** ! :-D | ||
- | ==== sudo PLUSIEURS users SANS mot de passwd demandé ==== | + | ==== sudo PLUSIEURS utilisateurs SANS mot de passwd demandé ==== |
- | <note warning>**Bien que possible**, il n'est absolument pas recommandé d'offrir les droits **root** automatiquement et __sans mot de passwd__ à tous les users.</note> | + | <note warning> |
+ | **Bien que possible**, il n'est absolument pas recommandé d'offrir les droits **root** automatiquement et __sans mot de passwd__ à tous les utilisateurs. | ||
+ | </note> | ||
Ligne 158: | Ligne 171: | ||
Il est ainsi possible d'accomplir : | Il est ainsi possible d'accomplir : | ||
* Moultes configurations de votre système sans maintenir un terminal root permanent. | * Moultes configurations de votre système sans maintenir un terminal root permanent. | ||
- | * De préserver ainsi une certaine sécurité en n'opérant pas de commande accidentelles sous **root**... | + | * De préserver ainsi une certaine sécurité en n'opérant pas de commande accidentelle sous **root**, la demande de mot de passe servant de rattrape-couillonnade... |
+ | |||
+ | Il est à noter que si toutes les opérations d'administrations peuvent se faire sous sudo, le passage par su option trait (-) est plus confortable pour des opérations multiples et longues à s'effectuer. | ||
+ | |||
+ | //Merci à //**Y316**// pour sa relecture des tutos et la pertinence de ses interrogations postés sur le forum concernant la terminologie de ceux-ci//. ;-) | ||
+ | |||
+ | ==== Exemple ==== | ||
+ | |||
+ | On veut donner à deux utilisateurs le droit d'installer/enlever des paquets et de pouvoir éteindre/redémarrer le système. | ||
+ | |||
+ | <note>Le fichier /etc/sudoers ci-dessous n'est pas complet. Seul les éléments illustrant cet exemple ont été mis en évidence.</note> | ||
+ | |||
+ | Pour ce faire, on éditera le fichier /etc/sudoers ainsi : | ||
+ | <code> | ||
+ | # /etc/sudoers | ||
+ | # | ||
+ | # This file MUST be edited with the 'visudo' command as root. | ||
+ | # | ||
+ | # See the man page for details on how to write a sudoers file. | ||
+ | # | ||
+ | |||
+ | Defaults env_reset | ||
+ | |||
+ | # Définition d'un Alias pour deux utilisateurs | ||
+ | User_Alias MESADMINS = jojo,zozo | ||
+ | |||
+ | # Définition de deux Alias de commandes | ||
+ | Cmnd_Alias ETEINDRE = /sbin/shutdown, /sbin/reboot, /sbin/halt | ||
+ | Cmnd_Alias PAQUETS = /usr/bin/dpkg, /usr/bin/apt-get, /usr/bin/aptitude | ||
+ | |||
+ | # Les utilisateurs faisant partie de l'Alias MESADMINS peuvent installer/enlever des paquets et | ||
+ | # redémarrer/éteindre le système. | ||
+ | MESADMINS ALL = ETEINDRE, PAQUETS | ||
+ | </code> | ||
===== Lien et remerciements ===== | ===== Lien et remerciements ===== |