Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente | Prochaine révision Les deux révisions suivantes | ||
doc:systeme:sudo [02/10/2013 07:00] smolski [Configuration de sécurité élémentaire] |
doc:systeme:sudo [02/10/2013 07:37] smolski |
||
---|---|---|---|
Ligne 14: | Ligne 14: | ||
Pour éviter cet inconvénient, porte ouverte à l'infection par des virus et des vers, veillez à configurer votre sudo selon le paragraphe : **[[doc:systeme:sudo#configuration_de_securite_elementaire | Configuration de sécurité élémentaire]]** | Pour éviter cet inconvénient, porte ouverte à l'infection par des virus et des vers, veillez à configurer votre sudo selon le paragraphe : **[[doc:systeme:sudo#configuration_de_securite_elementaire | Configuration de sécurité élémentaire]]** | ||
- | De toute façon mieux vaut **privilégier** [[:doc:systeme:su | la commande su]] chaque fois que cela est possible ! | + | De toute façon mieux vaut **privilégier** [[:doc:systeme:su | la commande su]] chaque fois que cela est possible ! |
Ligne 20: | Ligne 20: | ||
===== Introduction ===== | ===== Introduction ===== | ||
- | Voilà un logiciel permettant de lancer des commandes **root** en maintenant un terminal **user** ouvert. | + | Voilà un logiciel permettant de lancer **[[doc:systeme:superutilisateur | des commandes root]]** en maintenant un terminal **user** ouvert. |
===== Installation ===== | ===== Installation ===== | ||
- | # aptitude install sudo | + | <file root>aptitude install sudo</file> |
- | Si vous avez plus simple, faite-le savoir ! ;-) | + | //Si vous avez plus simple, faite-le savoir !// ;-) |
===== Configuration de sudo - visudo ===== | ===== Configuration de sudo - visudo ===== | ||
- | Passer __obligatoirement__ par la commande **visudo** pour configurer sudo. L'utilitaire visudo vérifie la syntaxe du fichier /etc/sudoers avant d'enregistrer celui-ci. | + | Passer __obligatoirement__ par la commande **visudo** pour configurer sudo. L'utilitaire visudo vérifie la syntaxe du fichier ''/etc/sudoers'' avant d'enregistrer celui-ci. |
- | \\ | + | Taper : |
- | Dans un terminal root, taper : | + | |
- | # visudo | + | <file root>visudo</file> |
===== Configuration de sécurité élémentaire ===== | ===== Configuration de sécurité élémentaire ===== | ||
- | Sous la ligne ''Defaults env_reset'' ajoutez : | + | ==== Droits d'exécution à une seule commande ==== |
+ | |||
+ | Sous la ligne : | ||
+ | Defaults env_reset | ||
+ | |||
+ | Ajoutez : | ||
Defaults timestamp_timeout=0 | Defaults timestamp_timeout=0 | ||
En mettant le timeout à 0, les droits **root** ne seront plus utilisables dès que vous aurez validé l'exécution de votre commande. | En mettant le timeout à 0, les droits **root** ne seront plus utilisables dès que vous aurez validé l'exécution de votre commande. | ||
+ | |||
+ | ==== Droits d'exécution à un seul user ==== | ||
Pour réserver l'utilisation de sudo à mon_nom seulement, écrivez : | Pour réserver l'utilisation de sudo à mon_nom seulement, écrivez : | ||
Ligne 50: | Ligne 56: | ||
Où mon_nom est le nom que vous utilisez pour vous connecter à votre session. | Où mon_nom est le nom que vous utilisez pour vous connecter à votre session. | ||
+ | |||
+ | <note tip>Ainsi, pour un seul //utilisateur//, il n'est pas nécessaire d'intégrer ce dernier dans le groupe //sudo//</note> | ||
+ | |||
+ | //Merci à //**Asmodée**// pour cette indication précise !// :-D | ||
<note warning>**DÉCONSEILLÉ** : \\ | <note warning>**DÉCONSEILLÉ** : \\ | ||
Ligne 55: | Ligne 65: | ||
<file>Defaults:All tty_tickets</file></note> | <file>Defaults:All tty_tickets</file></note> | ||
- | |||
- | ===== Configuration pour un utilisateur ===== | ||
- | |||
- | <note tip> | ||
- | Pour un seul //utilisateur//, il n'est pas nécessaire d'intégrer ce dernier dans le groupe //sudo// | ||
- | </note> | ||
- | |||
- | //Merci à //**Asmodée**// pour cette indication précise !// :-D | ||
==== sudo UN SEUL utilisateur AVEC mot de passwd demandé ==== | ==== sudo UN SEUL utilisateur AVEC mot de passwd demandé ==== | ||
Ligne 68: | Ligne 70: | ||
C'est la configuration préconisée pour tous les utilisateurs de sudo débutant. | C'est la configuration préconisée pour tous les utilisateurs de sudo débutant. | ||
- | === Pour la branche stable, soit Squeeze === | + | Sous la ligne : |
+ | root ALL=(ALL:ALL) ALL | ||
- | Sous la ligne ''root ALL=(ALL) ALL'', écrivez : | + | écrivez : |
- | badaboum ALL=(ALL) ALL | + | badaboum ALL=(ALL:ALL) ALL |
- | (**badaboum** étant votre nom d'utilisateur **mon_nom**, par exemple...) | + | |
+ | (**badaboum** illustrant ici votre nom d'utilisateur **mon_nom**, par exemple...) | ||
Ainsi, **badaboum** sera le seul //utilisateur// autorisé à se servir de la commande **sudo** dans un terminal. | Ainsi, **badaboum** sera le seul //utilisateur// autorisé à se servir de la commande **sudo** dans un terminal. | ||
- | === Pour les branches testing (Wheezy) et unstable (Sid) === | + | **Test de la configuration modifiée :** |
- | Il est à noter que le fichier /etc/sudoers a subi de légers changements pour ces deux branches. | + | Tapez une commande root comme celle-ci par exemple : |
+ | <file user>sudo fdisk -l</file> | ||
- | Aussi la ligne : | + | Le mot de passe de l'//user// sera alors demandé et non plus celui de root : |
- | root ALL=(ALL) ALL | + | |
- | + | ||
- | devient : | + | |
- | root ALL=(ALL:ALL) ALL | + | |
- | + | ||
- | Celle que l'on écrit pour un utilisateur change de la même façon. Donc pour l'utilisateur badamoum ci-haut, elle devient : | + | |
- | + | ||
- | badaboum ALL=(ALL:ALL) ALL | + | |
- | + | ||
- | Dans un terminal utilisateur, tapez une commande root : | + | |
- | + | ||
- | $ sudo fdisk -l | + | |
- | + | ||
- | Le passwd de l'//user// est demandé, non celui de root : | + | |
[sudo] password for badaboum: <//Taper ici le passwd de cet user//> | [sudo] password for badaboum: <//Taper ici le passwd de cet user//> | ||
Et la commande s'exécute ! | Et la commande s'exécute ! | ||
- | ==== sudo UN SEUL utilisateur SANS mot de passwd demandé ==== | + | ==== UN SEUL utilisateur SANS mot de passwd demandé ==== |
<note warning> | <note warning> | ||
Ligne 119: | Ligne 110: | ||
=== Exemple : === | === Exemple : === | ||
- | Dans un terminal user, tapez une commande root : | + | Tapez une commande **root** mais sous votre **user** ainsi : |
+ | <file user>sudo fdisk -l</file> | ||
- | $ sudo fdisk -l | + | <note important>Et la commande s'exécute sans demande de passwd !</note> |
- | + | ||
- | <note important> | + | |
- | Et la commande s'exécute sans demande de passwd ! | + | |
- | </note> | + | |
===== Configuration pour plusieurs utilisateurs ===== | ===== Configuration pour plusieurs utilisateurs ===== | ||
- | ==== sudo PLUSIEURS utilisateur AVEC mot de passwd demandé === | + | ==== PLUSIEURS utilisateur AVEC mot de passwd demandé === |
Sous la ligne : | Sous la ligne : | ||
Ligne 135: | Ligne 123: | ||
Décommentez (ou rédigez) cette commande : | Décommentez (ou rédigez) cette commande : | ||
- | %sudo ALL=(ALL) ALL | ||
- | |||
- | ou, selon votre situation : | ||
%sudo ALL=(ALL:ALL) ALL | %sudo ALL=(ALL:ALL) ALL | ||
Ligne 143: | Ligne 128: | ||
Mettons que vous ayez un pote... un vrai hein... nommé //ploumploum// par exemple. Pour l'ajouter à la commande sudo, il suffira de taper : | Mettons que vous ayez un pote... un vrai hein... nommé //ploumploum// par exemple. Pour l'ajouter à la commande sudo, il suffira de taper : | ||
- | # adduser ploumploum sudo | + | <file root>adduser ploumploum sudo</file> |
Et il y sera pareillement maintenant ! | Et il y sera pareillement maintenant ! | ||
On met la petite soeurette //tagada// ? \\ | On met la petite soeurette //tagada// ? \\ | ||
- | On le fait ainsi : | + | Alors on le fait ainsi : |
- | # adduser tagada sudo | + | <file root>adduser tagada sudo</file> |
Je vous laisse ajouter l'user //tsointsoin// si vous le voulez bien... ;-) | Je vous laisse ajouter l'user //tsointsoin// si vous le voulez bien... ;-) | ||
- | //Ce tuto est initié sous la musique de captnfab...// | + | //Ce tuto est illustré sous la célèbre musique du captnfab :// |
ploumploum badaboum tagada tsointsoin... | ploumploum badaboum tagada tsointsoin... | ||
Ligne 179: | Ligne 164: | ||
On veut donner à deux utilisateurs le droit d'installer/enlever des paquets et de pouvoir éteindre/redémarrer le système. | On veut donner à deux utilisateurs le droit d'installer/enlever des paquets et de pouvoir éteindre/redémarrer le système. | ||
- | <note>Le fichier /etc/sudoers ci-dessous n'est pas complet. Seul les éléments illustrant cet exemple ont été mis en évidence.</note> | + | <note>Le fichier ''/etc/sudoers'' ci-dessous n'est pas complet. Seul les éléments illustrant cet exemple ont été mis en évidence.</note> |
Pour ce faire, on éditera le fichier /etc/sudoers ainsi : | Pour ce faire, on éditera le fichier /etc/sudoers ainsi : | ||
- | <code> | + | </file root>visudo</file> |
- | # /etc/sudoers | + | <file> |
# | # | ||
# This file MUST be edited with the 'visudo' command as root. | # This file MUST be edited with the 'visudo' command as root. | ||
Ligne 202: | Ligne 187: | ||
# redémarrer/éteindre le système. | # redémarrer/éteindre le système. | ||
MESADMINS ALL = ETEINDRE, PAQUETS | MESADMINS ALL = ETEINDRE, PAQUETS | ||
- | </code> | + | </file> |
===== Lien et remerciements ===== | ===== Lien et remerciements ===== |