Sudo permet aussi de donner les droits vers un autre utilisateur que root. On peut parfois s'en sortir avec suid mais c'est beaucoup moins granulaire.
Par exemple avec sudo, tu peux donner le droit à l'utilisateur de l'agent zabbix de lancer des commandes précises en tant que root, pour interroger du matériel par exemple (comme voir l'état d'un volume raid mais sans autoriser la destruction du volume pour autant). Ou pour récupérer les stats d'une base mariadb avec le user mariadb.
Il y a plein de situations où c'est très pratique. Je ne saurais m'en passer :).
Par contre, oui, donner le shell root comme c'est le cas à trop d'endroits, c'est souvent dispensable.
Moi non plus je ne l'utilise pas. Et je me demandais si c'était vraiment sérieux. Mais, finalement, ce que je comprends, étant la seule utilisatrice de mes machines et, par conséquent, aussi l'administratrice, sudo ça compliquerait plus qu'autre chose pour mes besoins.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
su - # avec le mot de passe distinct de ton login principal, idéalement
sudo -i # ce qui permet une traçabilité de qui l'a effectué, qui doit être dans le groupe wheel, avec ou sans mot de passe si tu choisis de placer la ligne %wheel ALL=(ALL) NOPASSWD: ALL dans /etc/sudoers via visudo
Posté par BAud (site web personnel) .
Évalué à 5 (+3/-0).
Dernière modification le 29 avril 2024 à 14:01.
le - pour su est important : il permet de ne pas hériter de l'environnement de ton login principal (qui a pu être compromis : alias, PATH, LD_LIBRARY_PATH…) et prendre un environnement root adapté (PATH incluant /usr/local/sbin/:/usr/sbin/ mais sans /usr/local/games…). De l'intérêt du sudo -i qui le fait par défaut.
Sinon, dans le centre de contrôle Mageia (avec mot de passe utilisateur) / système / Ouvrir une console administrateur ça revient au même.
Sinon, si peut vous rassurer, je n'utilise su que pour installer-désinstalle LibreOffice (la version TDF) et pour flatpak. Ça ne va pas plus loin vu que tout fonctionne.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
je pensais que c'était etymologiquement explicatif:
Le drapeau rootpw indique que le mot de passe root va être demandé pour la ou les commandes concernées, targetpw demande le mot de passe de l'utilisateur dont on veut obtenir les privilèges avec l'option -u, runaspw demande le mot de passe de l'utilisateur défini par l'option runas_default (qui est root par défaut). Et quand il n'y a pas de drapeau c'est le comportement standard de demander le mot de passe de l'utilisateur qui exécute la commande sudo.
Ça ne rend pas du tout l'utilisation de -i inutile. Le fais de ne pas hériter des variables permet d'éviter des erreurs. Ça n'est pas une question de sécurité.
Un attaquant qui a la possibilité de créer un fichier et de manipuler tes variables d'environnement aura vite fait de créer son propre su et sudo prioritaire dans ton path.
Posté par Maderios .
Évalué à 2 (+0/-0).
Dernière modification le 29 avril 2024 à 14:36.
J'ai toujours utilisé su
Utiliser su avec Xorg peut être dangereux pour la sécurité, j'utilise 'ssh root@xxxx', en console tty ou un terminal dans une session X. Il y aussi l'option 'ssh -X'
ça dépends, parfois t'as besoin que l'utilisateur change 2/3 truc comme la configuration réseau ou vpn, lui permettre de redémarrer des services…
Bon par contre faut être vigilant, lui laisser installer des packages hors dépôts, c'est lui filer un accès root, le laisser faire ce qu'il veut avec docker c'est pareil, un alternatives mal géré c'est du même niveau ;)
sous mageia, y'a consoleHelper (ou un truc de ce genre) qui fait à peu près la même chose.
De même y'a généralement un équivalent pour l'arrêt redémarrage de la machine (et oui ça aussi c'est des droit root !) tout comme changer son mot de passe à coup de passwd :P
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
Posté par gUI (Mastodon) .
Évalué à 8 (+5/-0).
Dernière modification le 29 avril 2024 à 15:12.
Je n'ai jamais installé ni utilisé sudo en 25 ans d'utilisation de Linux. Pour moi, donner des droits root à l'utilisateur est une aberration.
Question d'habitude : moi je fais tout avec sudo et je ne lance jamais de shell root. J'aime pas le shell root, j'ai déjà oublié que j'étais root et ça fait plutôt peur. Les rares utilisations de su que j'ai c'est pour switcher d'utilisateur.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
Posté par Psychofox (Mastodon) .
Évalué à 6 (+3/-0).
Dernière modification le 29 avril 2024 à 13:14.
De ce que je comprends, run0 ne remplaçerait pas sudo mais seulement une fonctionnalité de celui-ci: sur une distro lambda permettre à un utilisateur du groupe wheel d'exécuter n'importe quelle commande en tant que root.
Si tu veux quelque chose d'autre, il faudrait te farcir des règles polkit qui ne sont pas vraimen plus buvables que des règles sudoers ou doas.
Posté par gUI (Mastodon) .
Évalué à 5 (+2/-0).
Dernière modification le 30 avril 2024 à 07:46.
C'est ce que je faisais à mes grands débuts sur Linux (style en 95-96) où j'y comprenais rien dans la gestion des droits, que de toutes façons c'était pas ma machine principale (à peu près rien à perdre) et que fondamentalement je ne comprenais pas l'intérêt d'avoir plusieurs comptes alors que je suis tout seul ^^
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
# see also
Posté par Krunch (site web personnel) . Évalué à 4 (+2/-0).
Cet échange discute aussi de problèmes avec su/sudo et ssh : https://infosec.exchange/@lcamtuf/112352157578365711
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# sudo vraiment nécessaire?
Posté par Maderios . Évalué à 0 (+0/-2).
Je n'ai jamais installé ni utilisé sudo en 25 ans d'utilisation de Linux. Pour moi, donner des droits root à l'utilisateur est une aberration.
[^] # Re: sudo vraiment nécessaire?
Posté par cg . Évalué à 10 (+9/-0).
Sudo permet aussi de donner les droits vers un autre utilisateur que root. On peut parfois s'en sortir avec suid mais c'est beaucoup moins granulaire.
Par exemple avec sudo, tu peux donner le droit à l'utilisateur de l'agent zabbix de lancer des commandes précises en tant que root, pour interroger du matériel par exemple (comme voir l'état d'un volume raid mais sans autoriser la destruction du volume pour autant). Ou pour récupérer les stats d'une base mariadb avec le user
mariadb.Il y a plein de situations où c'est très pratique. Je ne saurais m'en passer :).
Par contre, oui, donner le shell root comme c'est le cas à trop d'endroits, c'est souvent dispensable.
[^] # Re: sudo vraiment nécessaire?
Posté par ff9097 . Évalué à 2 (+0/-0).
Moi non plus je n'ai jamais installé sudo…
[^] # Re: sudo vraiment nécessaire?
Posté par Thomas Douillard . Évalué à 7 (+5/-1).
Il a toujours été livré pré-installé avec ta distro c'est ça ? Ou tu es Windowsien ?
[^] # Re: sudo vraiment nécessaire?
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 3 (+0/-0).
Moi non plus je ne l'utilise pas. Et je me demandais si c'était vraiment sérieux. Mais, finalement, ce que je comprends, étant la seule utilisatrice de mes machines et, par conséquent, aussi l'administratrice, sudo ça compliquerait plus qu'autre chose pour mes besoins.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: sudo vraiment nécessaire?
Posté par BAud (site web personnel) . Évalué à 3 (+1/-0).
pour prendre le rôle d'admin, tu peux utiliser
su -# avec le mot de passe distinct de ton login principal, idéalementsudo -i# ce qui permet une traçabilité de qui l'a effectué, qui doit être dans le groupewheel, avec ou sans mot de passe si tu choisis de placer la ligne%wheel ALL=(ALL) NOPASSWD: ALLdans/etc/sudoersviavisudo[^] # Re: sudo vraiment nécessaire?
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 5 (+2/-0).
J'ai toujours utilisé
su! Et tu viens de me confirmer que c'est, effectivement, plus simple :-)« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: sudo vraiment nécessaire?
Posté par BAud (site web personnel) . Évalué à 5 (+3/-0). Dernière modification le 29 avril 2024 à 14:01.
le
-poursuest important : il permet de ne pas hériter de l'environnement de ton login principal (qui a pu être compromis :alias,PATH,LD_LIBRARY_PATH…) et prendre un environnement root adapté (PATHincluant/usr/local/sbin/:/usr/sbin/mais sans/usr/local/games…). De l'intérêt dusudo -iqui le fait par défaut.Sinon, dans le centre de contrôle Mageia (avec mot de passe utilisateur) / système / Ouvrir une console administrateur ça revient au même.
[^] # Re: sudo vraiment nécessaire?
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 3 (+0/-0).
Ah non, le CCM chez moi, il s'ouvre avec le mot de passe root.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: sudo vraiment nécessaire?
Posté par Psychofox (Mastodon) . Évalué à 4 (+1/-0).
C'est à ça que servent les drapeaux
rootpw,targetpwandrunaspw(pas besoin d'expliquer à quoi chacun sert) dans le fichierssudoers.[^] # Re: sudo vraiment nécessaire?
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 3 (+0/-0).
à moi si :-)
Sinon, si peut vous rassurer, je n'utilise
suque pour installer-désinstalle LibreOffice (la version TDF) et pour flatpak. Ça ne va pas plus loin vu que tout fonctionne.« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: sudo vraiment nécessaire?
Posté par Psychofox (Mastodon) . Évalué à 3 (+0/-0).
je pensais que c'était etymologiquement explicatif:
Le drapeau
rootpwindique que le mot de passe root va être demandé pour la ou les commandes concernées,targetpwdemande le mot de passe de l'utilisateur dont on veut obtenir les privilèges avec l'option-u,runaspwdemande le mot de passe de l'utilisateur défini par l'optionrunas_default(qui est root par défaut). Et quand il n'y a pas de drapeau c'est le comportement standard de demander le mot de passe de l'utilisateur qui exécute la commande sudo.[^] # Re: sudo vraiment nécessaire?
Posté par BAud (site web personnel) . Évalué à 2 (+0/-0).
moui, l'utilisation de sudo d'une distribution à l'autre diffère un peu, selon la configuration retenue :
/etc/sudoersressemble à cela : https://svnweb.mageia.org/packages/cauldron/sudo/current/SOURCES/sudoers?view=markupwheelest utilisé pour identifier les utilisateurs pouvant passer rootPour Debian, c'est un peu plus succinct…
Pour ubuntu, par défaut l'utilisateur est dans un groupe sudo…
[^] # Re: sudo vraiment nécessaire?
Posté par Krunch (site web personnel) . Évalué à 2 (+0/-0).
Sauf qu'il suffit de compromettre le terminal. Donc ça change pas grand chose. Cf le lien que j'ai mentionné ci-dessus.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: sudo vraiment nécessaire?
Posté par barmic 🦦 . Évalué à 3 (+1/-0).
Ça ne rend pas du tout l'utilisation de -i inutile. Le fais de ne pas hériter des variables permet d'éviter des erreurs. Ça n'est pas une question de sécurité.
Un attaquant qui a la possibilité de créer un fichier et de manipuler tes variables d'environnement aura vite fait de créer son propre su et sudo prioritaire dans ton path.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: sudo vraiment nécessaire?
Posté par Maderios . Évalué à 2 (+0/-0). Dernière modification le 29 avril 2024 à 14:36.
Utiliser su avec Xorg peut être dangereux pour la sécurité, j'utilise 'ssh root@xxxx', en console tty ou un terminal dans une session X. Il y aussi l'option 'ssh -X'
[^] # Re: sudo vraiment nécessaire?
Posté par fearan . Évalué à 3 (+0/-0). Dernière modification le 29 avril 2024 à 14:39.
Tu peux développer ? Quel est la différence (d'un point de vue sécurité, j'entends)
J'ajouterai que dans sshd, je n'ai pas autorisé le root login, qui est une faille en soit.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: sudo vraiment nécessaire?
Posté par Psychofox (Mastodon) . Évalué à 3 (+0/-0).
Tu peux authoriser rootlogin depuis localhost seulement.
[^] # Re: sudo vraiment nécessaire?
Posté par Maderios . Évalué à 2 (+0/-0).
Vu les multiples problèmes de sécurité qui ont affecté Xorg, il me semble plus sûr de me connecter en ssh au root à l'intérieur d'une session X.
[^] # Re: sudo vraiment nécessaire?
Posté par fearan . Évalué à 3 (+0/-0).
Certes, mais je ne vois pas la différence entre ssh root@localhost et su. Qu'est ce qui est protégé? Quelle est la différence avec un su -
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: sudo vraiment nécessaire?
Posté par Maderios . Évalué à 1 (+0/-1).
On peut retourner la question: qu'est-ce qui te fait dire que les deux solutions se valent en matière de sécurité à l'intérieur d'une session X ?
[^] # Re: sudo vraiment nécessaire?
Posté par fearan . Évalué à 5 (+2/-0).
En fait pour la sécurité je débranche le clavier et je saute a cloche pied autour avant de le rebrancher.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: sudo vraiment nécessaire?
Posté par fearan . Évalué à 3 (+0/-0).
ça dépends, parfois t'as besoin que l'utilisateur change 2/3 truc comme la configuration réseau ou vpn, lui permettre de redémarrer des services…
Bon par contre faut être vigilant, lui laisser installer des packages hors dépôts, c'est lui filer un accès root, le laisser faire ce qu'il veut avec docker c'est pareil, un alternatives mal géré c'est du même niveau ;)
sous mageia, y'a consoleHelper (ou un truc de ce genre) qui fait à peu près la même chose.
De même y'a généralement un équivalent pour l'arrêt redémarrage de la machine (et oui ça aussi c'est des droit root !) tout comme changer son mot de passe à coup de passwd :P
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: sudo vraiment nécessaire?
Posté par gUI (Mastodon) . Évalué à 8 (+5/-0). Dernière modification le 29 avril 2024 à 15:12.
Question d'habitude : moi je fais tout avec
sudoet je ne lance jamais de shell root. J'aime pas le shell root, j'ai déjà oublié que j'étais root et ça fait plutôt peur. Les rares utilisations desuque j'ai c'est pour switcher d'utilisateur.En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
# Y a pas que Sudo
Posté par GG (site web personnel) . Évalué à 5 (+3/-0).
Il y a doas, qui est plus simple et très bien.
On n'est pas obligé d'installer sudo sur ses machines/serveurs.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Y a pas que Sudo
Posté par devnewton 🍺 (site web personnel) . Évalué à 9 (+6/-0).
Il faudrait aussi
duhastpour demander des droits en jouant du Rammstein.Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# run0
Posté par Psychofox (Mastodon) . Évalué à 6 (+3/-0). Dernière modification le 29 avril 2024 à 13:14.
De ce que je comprends, run0 ne remplaçerait pas sudo mais seulement une fonctionnalité de celui-ci: sur une distro lambda permettre à un utilisateur du groupe wheel d'exécuter n'importe quelle commande en tant que root.
Si tu veux quelque chose d'autre, il faudrait te farcir des règles polkit qui ne sont pas vraimen plus buvables que des règles sudoers ou doas.
la manpage de run0
# lundredi
Posté par Maclag . Évalué à 10 (+8/-0).
Tout ça est bien compliqué, alors qu'on peut régler la question en utilisant root comme utilisateur principal de sa machine!
---------> [ ]
[^] # Re: lundredi
Posté par Pol' uX (site web personnel) . Évalué à 7 (+6/-1).
Oui c'est la solution fournie par le paquet windo
Adhérer à l'April, ça vous tente ?
[^] # Re: lundredi
Posté par gUI (Mastodon) . Évalué à 5 (+2/-0). Dernière modification le 30 avril 2024 à 07:46.
C'est ce que je faisais à mes grands débuts sur Linux (style en 95-96) où j'y comprenais rien dans la gestion des droits, que de toutes façons c'était pas ma machine principale (à peu près rien à perdre) et que fondamentalement je ne comprenais pas l'intérêt d'avoir plusieurs comptes alors que je suis tout seul ^^
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.