Faut-il créer un compte administrateur et définir un mdp root ?

merlin · 01-06-2019 22:01:26

Bonjour,

Mon ordinateur est à usage personnel, et je ne crois pas avoir besoin de travailler beaucoup en lignes de commande sous le compte root je n'ai donc à priori pas besoin de compte administrateur.
Faut-il créer un compte administrateur, et donc définir un mdp root, pour ne jamais utiliser ce compte administrateur ?
Ou bien faut-il ne pas définir le mdp root et fonctionner avec un compte utilisateur principal (premier utilisateur), l'accès au compte root se faisant avec le mdp utilisateur ? Dans ce cas, il semble qu'un attaquant pourrait pirater plus facilement le compte utilisateur et définir lui-même le mdp root pour contrôler ainsi tous le système ?
Quelles sont les conséquences de ce choix pour la sécurité du système?

Abréviations et autres raccourcis : mdp : mot de passe ; root : compte système.

Dernière modification par merlin (01-06-2019 22:06:18)

otyugh · 01-06-2019 22:06:29

C'est à toi de choisir ; et dans les deux cas c'est assez équivalent...

smolski · 02-06-2019 07:24:31

Si, dans ta situation réelle, tu as conscience de la différence d'utiliser un mdp root, je te conseille de séparer root de l'utilisateur.
Sinon, tu peux t'en passer.

Pour info :
Quand j'installe debian chez des utilisateurs de pc lambda, je ne mets pas de pass root et crée l'ouverture automatique de l'utilisateur. Plus simple en cas de SAV par telephone.
Pour tous les pc de mon domicile, je crée le passwd root.

Debian Alain · 02-06-2019 07:35:29

bonjour ,

si çà peut aider , perso , je dispose d'un compte root et d'un compte user .

adepte de sudo .

en conséquence , j'utilise peu root dont je vois pas trop l'intérêt dans ce cas .

raleur · 02-06-2019 09:22:32

merlin a écrit :

Dans ce cas, il semble qu'un attaquant pourrait pirater plus facilement le compte utilisateur et définir lui-même le mdp root pour contrôler ainsi tous le système ?

Il ne suffit pas de pirater le compte utilisateur : il faut aussi connaître son mot de passe pour exécuter sudo. Si le compte utilisateur est compromis, l'attaquant pourrait détourner les commandes su et sudo pour obtenir le mot de passe root ou le mot de passe de l'utilisateur. Pour l'éviter, on doit se connecter directement en root au lieu d'utiliser su ou sudo.

Du point de vue pratique, les deux ne sont pas équivalents : je ne sais pas si c'est encore d'actualité, mais il était impossible de lancer le shell d'urgence après avoir démarré en mode dépannage si le mot de passe root n'est pas défini.

Pour ma part je définis systématiquement un mot de passe root, et si besoin j'autorise des utilisateurs à exécuter sudo.

smolski · 02-06-2019 09:55:22

raleur a écrit :

Pour ma part je définis systématiquement un mot de passe root, et si besoin j'autorise des utilisateurs à exécuter sudo.

C'est à dire que tu ouvres la session en console par les raccourcis ?

https://debian-facile.org/doc:systeme:console

Debian Alain · 02-06-2019 10:00:11

je ne sais pas si c'est encore d'actualité, mais il était impossible de lancer le shell d'urgence après avoir démarré en mode dépannage si le mot de passe root n'est pas défini.

toujours d'actualité .
(testé sur DFL buster)

dejieres · 02-06-2019 10:07:47

raleur a écrit :

mais il était impossible de lancer le shell d'urgence après avoir démarré en mode dépannage si le mot de passe root n'est pas défini

C'est un truc qui m'est arrivé il n'y a encore pas si longtemps. J'avais bidouillé le fstab, s'il m'en souvient bien, en faisant une erreur dedans, bien sûr, sinon ça n'a pas d'intérêt, et je me suis retrouvé coincé parce que root n'avait pas de mot de passe...

Du coup, je fais comme toi, j'en mets un systématiquement au compte root.

raleur · 02-06-2019 10:32:06

smolski a écrit :

C'est à dire que tu ouvres la session en console par les raccourcis ?

Je ne comprends pas la question. Quels raccourcis ?

smolski · 02-06-2019 12:11:25

raleur a écrit :

Je ne comprends pas la question. Quels raccourcis ?

Les raccourcis du clavier pour ouvrir une session en console ?

raleur · 02-06-2019 12:46:18

Je ne vois pas de quoi tu parles. Si tu veux parler des combinaisons de touches Ctrl+Alt+Fn pour basculer vers les différentes consoles virtuelles, ce ne sont pas des raccourcis clavier puisqu'à ma connaissance c'est le seul moyen, et je ne vois pas le rapport avec le fait de définir un mot de passe root.

smolski · 02-06-2019 13:19:45

Oui c'est cela, les combinaisons de touches, merci.

raleur · 02-06-2019 13:39:59

Et donc, quel est le rapport entre le fait de définir systématiquement un mot de passe root et l'ouverture de session dans une console virtuelle ?

smolski · 02-06-2019 21:37:28

raleur a écrit :

quel est le rapport entre le fait de définir systématiquement un mot de passe root

Le sujet de ce post est très intéressant, je désire mettre tout ça en complément dans le tuto su.
Donc je pose des questions sur le fait que tu indiques ouvrir systèmatiquement en session root, je pense que c'est en console et pas en graphique.
Juste ?

raleur · 02-06-2019 22:54:43

smolski a écrit :

tu indiques ouvrir systèmatiquement en session root

Non, je n'ai jamais écrit cela.

otyugh · 02-06-2019 23:30:15

Je pense que la confusion vient d'ici :

il était impossible de lancer le shell d'urgence après avoir démarré en mode dépannage si le mot de passe root n'est pas défini.

Faut dire que "shell d'urgence" ça me parle pas des masses, moi x)

LaFouine · 03-06-2019 04:38:38

bonjours,

Personnellement je ne vois pas ça de cette manière,
un administrateur peux tomber la machine et la rendre inutilisable.
On retrouve les mêmes faille à ce moment que sur d'autre système d'exploitation.

L'utilisateur à par défaut des droits plus restreins, et sur une distribution debian, il ne peut pas casser son système.
Il peux par contre tout a fait casser ces propre fichier et donc empêcher son interface de démarrer.
il ne peux pas atteindre les autres utilisateurs. en cas de problème on peut crée un nouvel user et ça prend 5 seconde:)

Un pirate sera d'abord confiner a l’utilisateur, il faudra qu'il bosse un peux plus pour arriver a ces fin,
c'est pas a la portée de tout le monde.

il faut comprendre ce que l'on fait. le simple faite de rentrer le mots de passe reviens à dire:
Ne fait pas le c.. sinon sa va piquer.

le shell d'urgence c'est disponible dans le menu grub l’écran que tu a aux démarrage du système, en principe car c est pas obligatoire.
il va charge que le strict nécessaire pour que l'administrateur ce mette aux boulôt.

Dernière modification par LaFouine (03-06-2019 04:41:02)

smolski · 03-06-2019 05:22:55

raleur a écrit :

Non, je n'ai jamais écrit cela.

Ref - Post #5 :
https://debian-facile.org/viewtopic.php … 41#p301341

raleur a écrit :

l'attaquant pourrait détourner les commandes su et sudo pour obtenir le mot de passe root ou le mot de passe de l'utilisateur. Pour l'éviter, on doit se connecter directement en root au lieu d'utiliser su ou sudo.

C'est ce qui a éveillé mon intérêt.
J'ai mal interprété ton intervention ?

raleur · 03-06-2019 10:12:24

Je ne faisais qu'énoncer une condition, je ne disais pas que je le faisais.
Et ce n'est pas cette partie de mon message que tu avais citée dans ton message #6, d'où mon incompréhension.

Dernière modification par raleur (03-06-2019 10:13:03)

smolski · 03-06-2019 11:45:55

Pardon de mes reccourcis trop concis.

Donc, tu ouvres bien root en console et non en graphique lorsque tu l'utilises notamment pour les mises à jour et les installations, histoire d'être clair pour un tuto ?
Si oui, fermes-tu alors tous les graphiques ouverts ? (c'est ce que je pratique...)

raleur · 03-06-2019 12:54:34

Non, la plupart du temps j'utilise su dans un émulateur de terminal.

Jean-Pierre Pinson · 03-06-2019 14:10:43

ne serait ce que pour faire les mises a jour tu auras besoin de faire su - pour etre root, donc il te faut un mot de passe root

fiche · 03-06-2019 20:11:00

Bonsoir,

Je profite de ce sujet pour tenter de m'éclaircir les idées sur le compte root (que je ne maitrise pas).
Avec l'ISO Debian (jusqu'à la version 9 en tout cas car sur la 10 non finalisée, je n'ai rien vu), lors de l'installation, on peut définir :
- un mot de passe root qui va générer la création du compte root
- un mot de passe utilisateur qui va générer le compte standard

Si je veux installer un programme ou faire les mises à jours (ou modifier un fichier système) :
- j'ouvre le compte root au démarrage du PC
- je lance le gestionnaire de paquets Synaptic
- (ou j'édite le fichier système voulu et le modifie)
Et je me déconnecte du compte root.

Pour l'usage courant, j'ouvre le compte standard (qui ne dispose pas de sudo, a priori).

J'ai entendu dire qu'il ne fallait pas lancer d'applications en mode graphique dans le compte root.
Pour quelle raison, si c'est effectivement préconisé ?
Et comment procède t'on concrètement dans ce cas ?

cpo · 03-06-2019 23:54:06

fiche a écrit :

J'ai entendu dire qu'il ne fallait pas lancer d'applications en mode graphique dans le compte root.
Pour quelle raison, si c'est effectivement préconisé ?
Et comment procède t'on concrètement dans ce cas ?

Perso, je préfère utiliser sudo. Les raisons d'utiliser un compte root directement ne me convainquent pas. Celles d'utiliser sudo, si.
(Quand j'ai vraiment besoin d'être root en raison d'une longue séquence, sudo su fait l'affaire).
Dans un cas comme dans l'autre je ne vois aucune raison de ne pas utiliser une application en mode graphique (ex synaptic, gparted).
La seule chose, c'est que une fois root, une appli a tous les pouvoirs. Donc, on ne le fait QUE si l'appli en a besoin.
Il y a même des applis qui refusent de s'exécuter en root (ex install de hplip), ce qui est une bonne pratique, à mon sens.

Attention en particulier avant de lancer un gestionnaire de fichier en mode root....:)

Dernière modification par cpo (03-06-2019 23:55:24)

smolski · 04-06-2019 06:00:40

Le principal défaut de lancer une application en mode superadministrateur : https://debian-facile.org/doc:systeme:superutilisateur est la dangerosité d'une mauvaise manipulation en graphique qui peut avoir une grande conséquence sur le système autant que sur les données, toutes les données...

Le mode utilisateur a été spécialement conçu afin de pallier à tout risque d'utilisation érronée. Et si les dev debian l'ont pensé ainsi, c'est d'abord pour leur propre sécurité, d'après leur propre expérience.
Il y a aussi qu'en terminal, le mode utilisateur et le mode root sont respectivement identifiable par le signe $ pour utilisateur et le signe # pour superadministrateur, ce qui n'est pas prévu en graphique.

En fait, graphique ou console/terminal :

TOUT CE QUI PEUT SE FAIRE EN MODE UTILISATEUR DOIT SE FAIRE DANS CE MODE, SANS EXCEPTION.

Debian-facile

#1 01-06-2019 22:01:26

Faut-il créer un compte administrateur et définir un mdp root ?

#2 01-06-2019 22:06:29

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#3 02-06-2019 07:24:31

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#4 02-06-2019 07:35:29

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#5 02-06-2019 09:22:32

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#6 02-06-2019 09:55:22

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#7 02-06-2019 10:00:11

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#8 02-06-2019 10:07:47

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#9 02-06-2019 10:32:06

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#10 02-06-2019 12:11:25

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#11 02-06-2019 12:46:18

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#12 02-06-2019 13:19:45

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#13 02-06-2019 13:39:59

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#14 02-06-2019 21:37:28

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#15 02-06-2019 22:54:43

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#16 02-06-2019 23:30:15

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#17 03-06-2019 04:38:38

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#18 03-06-2019 05:22:55

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#19 03-06-2019 10:12:24

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#20 03-06-2019 11:45:55

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#21 03-06-2019 12:54:34

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#22 03-06-2019 14:10:43

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#23 03-06-2019 20:11:00

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#24 03-06-2019 23:54:06

Re : Faut-il créer un compte administrateur et définir un mdp root ?

#25 04-06-2019 06:00:40

Re : Faut-il créer un compte administrateur et définir un mdp root ?

Pied de page des forums