Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
doc:systeme:sudo [02/08/2018 10:48] smolski [Introduction] |
doc:systeme:sudo [11/09/2019 12:32] captnfab [Configuration de sécurité élémentaire] |
||
---|---|---|---|
Ligne 93: | Ligne 93: | ||
Ajoutez : | Ajoutez : | ||
- | |||
Defaults timestamp_timeout=0 | Defaults timestamp_timeout=0 | ||
- | |||
En mettant le timeout à 0, les droits **root** ne seront plus utilisables dès que vous aurez validé l'exécution de votre commande. | En mettant le timeout à 0, les droits **root** ne seront plus utilisables dès que vous aurez validé l'exécution de votre commande. | ||
Ligne 121: | Ligne 119: | ||
Sous la ligne : | Sous la ligne : | ||
root ALL=(ALL:ALL) ALL | root ALL=(ALL:ALL) ALL | ||
- | |||
écrivez : | écrivez : | ||
badaboum ALL=(ALL:ALL) ALL | badaboum ALL=(ALL:ALL) ALL | ||
- | + | (**badaboum** illustrant ici votre nom d'utilisateur **mon_nom**, par exemple...) \\ | |
- | (**badaboum** illustrant ici votre nom d'utilisateur **mon_nom**, par exemple...) | + | |
Ainsi, **badaboum** sera le seul //utilisateur// autorisé à se servir de la commande **sudo** dans un terminal. | Ainsi, **badaboum** sera le seul //utilisateur// autorisé à se servir de la commande **sudo** dans un terminal. | ||
- | **Test de la configuration modifiée :** | + | == Test de la configuration modifiée == |
Tapez une commande root comme celle-ci par exemple : | Tapez une commande root comme celle-ci par exemple : | ||
- | <file user>sudo fdisk -l</file> | + | <code user>sudo fdisk -l</code> |
Le mot de passe de l'//user// sera alors demandé et non plus celui de root : | Le mot de passe de l'//user// sera alors demandé et non plus celui de root : | ||
[sudo] password for badaboum: <//Taper ici le passwd de cet user//> | [sudo] password for badaboum: <//Taper ici le passwd de cet user//> | ||
Et la commande s'exécute ! | Et la commande s'exécute ! | ||
+ | |||
+ | == Reboot == | ||
+ | |||
+ | Autoriser user à exécuter toutes les commandes via sudo mais que sudo reboot ne demande pas le mot de passe (faire 2 lignes) : | ||
+ | |||
+ | nom_user ALL=(ALL) ALL | ||
+ | nom_user ALL=(ALL) NOPASSWD: /usr/sbin/reboot | ||
==== UN SEUL utilisateur SANS mot de passwd demandé ==== | ==== UN SEUL utilisateur SANS mot de passwd demandé ==== | ||
Ligne 145: | Ligne 146: | ||
* aux machines __non connectées__ sur la toile ou dont le serveur proxy intermédiaire est configuré soigneusement par un EXPERT. | * aux machines __non connectées__ sur la toile ou dont le serveur proxy intermédiaire est configuré soigneusement par un EXPERT. | ||
* aux EXPERTS, sachant protéger leurs machines par des configurations personnelles en amont. | * aux EXPERTS, sachant protéger leurs machines par des configurations personnelles en amont. | ||
- | * aux EXPERTS couvrant des tâches d'Administration exigeant l'usage du **super-utilisateur** et non de **root**. Un usage particulier de [[:doc:systeme:kvm|KVM - Fork de Qemu]] par exemple... | + | * aux EXPERTS couvrant des tâches d'Administration exigeant les privilèges **super-utilisateur** pour certaines commandes uniquement non d'un accès **root**. Un usage particulier de [[:doc:systeme:kvm|KVM - Fork de Qemu]] par exemple... |
voir : [[:doc:reseau:iptables|iptable]] et autres sécurités évoluées.</note> | voir : [[:doc:reseau:iptables|iptable]] et autres sécurités évoluées.</note> | ||
Ligne 157: | Ligne 158: | ||
À partir de maintenant, vous pouvez quitter le shell //root// et faire le reste sous votre //nom// avec **sudo** sans plus taper de mot de passe. | À partir de maintenant, vous pouvez quitter le shell //root// et faire le reste sous votre //nom// avec **sudo** sans plus taper de mot de passe. | ||
- | === Exemple : === | + | == Exemple == |
Tapez une commande **root** mais sous votre **user** ainsi : | Tapez une commande **root** mais sous votre **user** ainsi : | ||
Ligne 163: | Ligne 164: | ||
<note important>Et la commande s'exécute sans demande de passwd !</note> | <note important>Et la commande s'exécute sans demande de passwd !</note> | ||
+ | |||
===== Configuration pour plusieurs utilisateurs ===== | ===== Configuration pour plusieurs utilisateurs ===== |