• # see also

    Posté par  (site web personnel) . Évalué à 4.

    Cet échange discute aussi de problèmes avec su/sudo et ssh : https://infosec.exchange/@lcamtuf/112352157578365711

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # sudo vraiment nécessaire?

    Posté par  . Évalué à 0.

    Je n'ai jamais installé ni utilisé sudo en 25 ans d'utilisation de Linux. Pour moi, donner des droits root à l'utilisateur est une aberration.

    • [^] # Re: sudo vraiment nécessaire?

      Posté par  . Évalué à 10.

      Sudo permet aussi de donner les droits vers un autre utilisateur que root. On peut parfois s'en sortir avec suid mais c'est beaucoup moins granulaire.

      Par exemple avec sudo, tu peux donner le droit à l'utilisateur de l'agent zabbix de lancer des commandes précises en tant que root, pour interroger du matériel par exemple (comme voir l'état d'un volume raid mais sans autoriser la destruction du volume pour autant). Ou pour récupérer les stats d'une base mariadb avec le user mariadb.

      Il y a plein de situations où c'est très pratique. Je ne saurais m'en passer :).

      Par contre, oui, donner le shell root comme c'est le cas à trop d'endroits, c'est souvent dispensable.

    • [^] # Re: sudo vraiment nécessaire?

      Posté par  . Évalué à 2.

      Moi non plus je n'ai jamais installé sudo…

    • [^] # Re: sudo vraiment nécessaire?

      Posté par  (site web personnel, Mastodon) . Évalué à 3.

      Moi non plus je ne l'utilise pas. Et je me demandais si c'était vraiment sérieux. Mais, finalement, ce que je comprends, étant la seule utilisatrice de mes machines et, par conséquent, aussi l'administratrice, sudo ça compliquerait plus qu'autre chose pour mes besoins.

      « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

      • [^] # Re: sudo vraiment nécessaire?

        Posté par  (site web personnel) . Évalué à 3.

        pour prendre le rôle d'admin, tu peux utiliser

        • su - # avec le mot de passe distinct de ton login principal, idéalement
        • sudo -i # ce qui permet une traçabilité de qui l'a effectué, qui doit être dans le groupe wheel, avec ou sans mot de passe si tu choisis de placer la ligne %wheel ALL=(ALL) NOPASSWD: ALL dans /etc/sudoers via visudo
        • [^] # Re: sudo vraiment nécessaire?

          Posté par  (site web personnel, Mastodon) . Évalué à 5.

          J'ai toujours utilisé su ! Et tu viens de me confirmer que c'est, effectivement, plus simple :-)

          « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

          • [^] # Re: sudo vraiment nécessaire?

            Posté par  (site web personnel) . Évalué à 5. Dernière modification le 29 avril 2024 à 14:01.

            le - pour su est important : il permet de ne pas hériter de l'environnement de ton login principal (qui a pu être compromis : alias, PATH, LD_LIBRARY_PATH…) et prendre un environnement root adapté (PATH incluant /usr/local/sbin/:/usr/sbin/ mais sans /usr/local/games…). De l'intérêt du sudo -i qui le fait par défaut.

            Sinon, dans le centre de contrôle Mageia (avec mot de passe utilisateur) / système / Ouvrir une console administrateur ça revient au même.

            • [^] # Re: sudo vraiment nécessaire?

              Posté par  (site web personnel, Mastodon) . Évalué à 3.

              Ah non, le CCM chez moi, il s'ouvre avec le mot de passe root.

              « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

              • [^] # Re: sudo vraiment nécessaire?

                Posté par  (Mastodon) . Évalué à 4.

                C'est à ça que servent les drapeaux rootpw, targetpw and runaspw (pas besoin d'expliquer à quoi chacun sert) dans le fichiers sudoers.

                • [^] # Re: sudo vraiment nécessaire?

                  Posté par  (site web personnel, Mastodon) . Évalué à 3.

                  (pas besoin d'expliquer à quoi chacun sert)

                  à moi si :-)

                  Sinon, si peut vous rassurer, je n'utilise su que pour installer-désinstalle LibreOffice (la version TDF) et pour flatpak. Ça ne va pas plus loin vu que tout fonctionne.

                  « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

                  • [^] # Re: sudo vraiment nécessaire?

                    Posté par  (Mastodon) . Évalué à 3.

                    je pensais que c'était etymologiquement explicatif:

                    Le drapeau rootpw indique que le mot de passe root va être demandé pour la ou les commandes concernées, targetpw demande le mot de passe de l'utilisateur dont on veut obtenir les privilèges avec l'option -u, runaspw demande le mot de passe de l'utilisateur défini par l'option runas_default (qui est root par défaut). Et quand il n'y a pas de drapeau c'est le comportement standard de demander le mot de passe de l'utilisateur qui exécute la commande sudo.

            • [^] # Re: sudo vraiment nécessaire?

              Posté par  (site web personnel) . Évalué à 2.

              il permet de ne pas hériter de l'environnement de ton login principal (qui a pu être compromis

              Sauf qu'il suffit de compromettre le terminal. Donc ça change pas grand chose. Cf le lien que j'ai mentionné ci-dessus.

              pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

              • [^] # Re: sudo vraiment nécessaire?

                Posté par  . Évalué à 3.

                Ça ne rend pas du tout l'utilisation de -i inutile. Le fais de ne pas hériter des variables permet d'éviter des erreurs. Ça n'est pas une question de sécurité.

                Un attaquant qui a la possibilité de créer un fichier et de manipuler tes variables d'environnement aura vite fait de créer son propre su et sudo prioritaire dans ton path.

                https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

          • [^] # Re: sudo vraiment nécessaire?

            Posté par  . Évalué à 2. Dernière modification le 29 avril 2024 à 14:36.

            J'ai toujours utilisé su

            Utiliser su avec Xorg peut être dangereux pour la sécurité, j'utilise 'ssh root@xxxx', en console tty ou un terminal dans une session X. Il y aussi l'option 'ssh -X'

            • [^] # Re: sudo vraiment nécessaire?

              Posté par  . Évalué à 3. Dernière modification le 29 avril 2024 à 14:39.

              Tu peux développer ? Quel est la différence (d'un point de vue sécurité, j'entends)

              J'ajouterai que dans sshd, je n'ai pas autorisé le root login, qui est une faille en soit.

              Il ne faut pas décorner les boeufs avant d'avoir semé le vent

              • [^] # Re: sudo vraiment nécessaire?

                Posté par  (Mastodon) . Évalué à 3.

                Tu peux authoriser rootlogin depuis localhost seulement.

              • [^] # Re: sudo vraiment nécessaire?

                Posté par  . Évalué à 2.

                Vu les multiples problèmes de sécurité qui ont affecté Xorg, il me semble plus sûr de me connecter en ssh au root à l'intérieur d'une session X.

                • [^] # Re: sudo vraiment nécessaire?

                  Posté par  . Évalué à 3.

                  Certes, mais je ne vois pas la différence entre ssh root@localhost et su. Qu'est ce qui est protégé? Quelle est la différence avec un su -

                  Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                  • [^] # Re: sudo vraiment nécessaire?

                    Posté par  . Évalué à 1.

                    Certes, mais je ne vois pas la différence entre ssh root@localhost et su. Qu'est ce qui est protégé? Quelle est la différence avec un su -

                    On peut retourner la question: qu'est-ce qui te fait dire que les deux solutions se valent en matière de sécurité à l'intérieur d'une session X ?

                    • [^] # Re: sudo vraiment nécessaire?

                      Posté par  . Évalué à 5.

                      En fait pour la sécurité je débranche le clavier et je saute a cloche pied autour avant de le rebrancher.

                      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: sudo vraiment nécessaire?

      Posté par  . Évalué à 3.

      ça dépends, parfois t'as besoin que l'utilisateur change 2/3 truc comme la configuration réseau ou vpn, lui permettre de redémarrer des services…

      Bon par contre faut être vigilant, lui laisser installer des packages hors dépôts, c'est lui filer un accès root, le laisser faire ce qu'il veut avec docker c'est pareil, un alternatives mal géré c'est du même niveau ;)

      sous mageia, y'a consoleHelper (ou un truc de ce genre) qui fait à peu près la même chose.

      De même y'a généralement un équivalent pour l'arrêt redémarrage de la machine (et oui ça aussi c'est des droit root !) tout comme changer son mot de passe à coup de passwd :P

      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: sudo vraiment nécessaire?

      Posté par  (Mastodon) . Évalué à 8. Dernière modification le 29 avril 2024 à 15:12.

      Je n'ai jamais installé ni utilisé sudo en 25 ans d'utilisation de Linux. Pour moi, donner des droits root à l'utilisateur est une aberration.

      Question d'habitude : moi je fais tout avec sudo et je ne lance jamais de shell root. J'aime pas le shell root, j'ai déjà oublié que j'étais root et ça fait plutôt peur. Les rares utilisations de su que j'ai c'est pour switcher d'utilisateur.

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

  • # Y a pas que Sudo

    Posté par  (site web personnel) . Évalué à 5.

    Il y a doas, qui est plus simple et très bien.

    On n'est pas obligé d'installer sudo sur ses machines/serveurs.

    Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

  • # run0

    Posté par  (Mastodon) . Évalué à 6. Dernière modification le 29 avril 2024 à 13:14.

    De ce que je comprends, run0 ne remplaçerait pas sudo mais seulement une fonctionnalité de celui-ci: sur une distro lambda permettre à un utilisateur du groupe wheel d'exécuter n'importe quelle commande en tant que root.

    Si tu veux quelque chose d'autre, il faudrait te farcir des règles polkit qui ne sont pas vraimen plus buvables que des règles sudoers ou doas.

    la manpage de run0

  • # lundredi

    Posté par  . Évalué à 10.

    Tout ça est bien compliqué, alors qu'on peut régler la question en utilisant root comme utilisateur principal de sa machine!

    ---------> [ ]

    • [^] # Re: lundredi

      Posté par  (site web personnel) . Évalué à 7.

      Oui c'est la solution fournie par le paquet windo

      Adhérer à l'April, ça vous tente ?

    • [^] # Re: lundredi

      Posté par  (Mastodon) . Évalué à 5. Dernière modification le 30 avril 2024 à 07:46.

      C'est ce que je faisais à mes grands débuts sur Linux (style en 95-96) où j'y comprenais rien dans la gestion des droits, que de toutes façons c'était pas ma machine principale (à peu près rien à perdre) et que fondamentalement je ne comprenais pas l'intérêt d'avoir plusieurs comptes alors que je suis tout seul ^^

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.