[Débat] sudo - Avantages/Inconvénients

[ptitmalin59]

Salut a tous!

Je dois faire un rapport sur les avantages et inconvénients de la commande sudo a mon chef et si vous pouvez m'aider ça serais cool.

J'ai deja quelques pistes..

Avantages :

- lancer des commandes root sans etre root

-

-

Inconvénients :

- le fichier de conf ne peux etre modifié que par root

-

-

Merci!

[lorinc]

perso j'y vois un énorme inconvéniant : isudo demande beaucoup de rigueur, parce qu'on a plus l'impression d'être root.

J'ai remarqué que les gens qui utilisaient sudo faisaient des boulettes plus grave que ceux qui passent encore par la méthode traditionnelle, et je pense que c'est parce qu'ils ne sont pas root.

évidemment, cela est d'autant plus vrai quand on donne tous les droits à un user...

enfin bref, j'ai pas sudo...

[Daemonium]

Ouais c'est vrai, c'est vachement psychologique, t'as presque tendance à utiliser sudo pour tout, donc t'es quasiment toujours en root...

Mais un gros avantage c'est que.. c'est plus rapide que de se loguer en root lorsque qu'on veut juste taper une commande

[nonas]

Bah c'est comme tout, bien configuré et bien utilisé c'est quand même super pratique. Après c'est sur que si tout le monde a le droit de wheeler et que tout est en "NOPASSWORD" dans le /etc/sudoers ça craint du boudin...

Le gros avantage en fait c'est que la personne root fait son utilisation de tous les jours sous un user normal et seulement quand elle a besoin de faire des taches d'administration elle peut utiliser sudo (ça évite de se loguer en root).

Donc à part le(s) vrai(s) root(s), personne ne devrait être capable de wheeler. Après pour certaines taches spécifiques il est possible d'autoriser telle ou telle commande pour tel ou tel groupe (je pense à l'édition de httpd.conf et ftpd.conf ou à l'arrêt de la machine comme expliquer dans le /etc/sudoers de base)

En fait on en revient toujours à savoir bien gérer ses utilisateurs et les groupes auxquels ils appartiennent.

[ptitmalin59]

Ok merci pour ces infos.

Et est-ce que je peux, avec sudo, executer des commandes via un autre user ?

je m'explique :

Je suis le user toto (non root) et j'aimerais lancer une commade appartenant a titi

Puis-je passer par sudo pour lancer cette commande ? et benificier des droits de titi ?

[lorinc]

-u The -u (user) option causes sudo to run the specified command as a user other than root. To specify a uid

instead of a username, use #uid. Note that if the targetpw Defaults option is set (see sudoers(5)) it is not

possible to run commands with a uid not listed in the password database.

et le man alors !!!

[ptitmalin59]

et le man alors !!!

ok

[tuXXX]

Bah c'est comme tout, bien configuré et bien utilisé c'est quand même super pratique. Après c'est sur que si tout le monde a le droit de wheeler et que tout est en "NOPASSWORD" dans le /etc/sudoers ça craint du boudin...

Le gros avantage en fait c'est que la personne root fait son utilisation de tous les jours sous un user normal et seulement quand elle a besoin de faire des taches d'administration elle peut utiliser sudo (ça évite de se loguer en root).

Donc à part le(s) vrai(s) root(s), personne ne devrait être capable de wheeler. Après pour certaines taches spécifiques il est possible d'autoriser telle ou telle commande pour tel ou tel groupe (je pense à l'édition de httpd.conf et ftpd.conf ou à l'arrêt de la machine comme expliquer dans le /etc/sudoers de base)

En fait on en revient toujours à savoir bien gérer ses utilisateurs et les groupes auxquels ils appartiennent.

Le groupe "wheel" ?

il faut aller voir dans "info su" et regarder la partie 22.5.1 : "Why GNU `su' does not support the `wheel' group" :

22.5.1 Why GNU `su' does not support the `wheel' group

------------------------------------------------------

(This section is by Richard Stallman.)

Sometimes a few of the users try to hold total power over all the

rest. For example, in 1984, a few users at the MIT AI lab decided to

seize power by changing the operator password on the Twenex system and

keeping it secret from everyone else. (I was able to thwart this coup

and give power back to the users by patching the kernel, but I wouldn't

know how to do that in Unix.)

However, occasionally the rulers do tell someone. Under the usual

`su' mechanism, once someone learns the root password who sympathizes

with the ordinary users, he or she can tell the rest. The "wheel

group" feature would make this impossible, and thus cement the power of

the rulers.

I'm on the side of the masses, not that of the rulers. If you are

used to supporting the bosses and sysadmins in whatever they do, you

might find this idea strange at first.

[ptitmalin59]

heu.. encore une question : Sudo est-il un "open source" ?

il me semble que oui

[ano_635237531462386058]

Le man de sudo m'a envoyé ici pour la license : http://www.sudo.ws/sudo/license.html

La license a l'air la même que la GPL dans l'idée, bizarre que ça ne soit pas la même d'ailleurs...

[nonas]

Bah c'est comme tout, bien configuré et bien utilisé c'est quand même super pratique. Après c'est sur que si tout le monde a le droit de wheeler et que tout est en "NOPASSWORD" dans le /etc/sudoers ça craint du boudin...

Le gros avantage en fait c'est que la personne root fait son utilisation de tous les jours sous un user normal et seulement quand elle a besoin de faire des taches d'administration elle peut utiliser sudo (ça évite de se loguer en root).

Donc à part le(s) vrai(s) root(s), personne ne devrait être capable de wheeler. Après pour certaines taches spécifiques il est possible d'autoriser telle ou telle commande pour tel ou tel groupe (je pense à l'édition de httpd.conf et ftpd.conf ou à l'arrêt de la machine comme expliquer dans le /etc/sudoers de base)

En fait on en revient toujours à savoir bien gérer ses utilisateurs et les groupes auxquels ils appartiennent.

Le groupe "wheel" ?

il faut aller voir dans "info su" et regarder la partie 22.5.1 : "Why GNU `su' does not support the `wheel' group" :

22.5.1 Why GNU `su' does not support the `wheel' group

------------------------------------------------------

(This section is by Richard Stallman.)

Sometimes a few of the users try to hold total power over all the

rest. For example, in 1984, a few users at the MIT AI lab decided to

seize power by changing the operator password on the Twenex system and

keeping it secret from everyone else. (I was able to thwart this coup

and give power back to the users by patching the kernel, but I wouldn't

know how to do that in Unix.)

However, occasionally the rulers do tell someone. Under the usual

`su' mechanism, once someone learns the root password who sympathizes

with the ordinary users, he or she can tell the rest. The "wheel

group" feature would make this impossible, and thus cement the power of

the rulers.

I'm on the side of the masses, not that of the rulers. If you are

used to supporting the bosses and sysadmins in whatever they do, you

might find this idea strange at first.

Oui je parle du groupe wheel mais je ne comprends pas bien pourquoi il n'aime pas ça.

Si je comprends bien ce qu'il dit, normalement tout le monde peut utiliser su mais si on utilise le groupe wheel ça restreint les utilisations de su (et de sudo ? les deux ?) à ce groupe. Ben je trouve pas ça choquant, je veux pas que tous mes utilisateurs puissent changer d'identité. Y'en a en qui je n'ai pas confiance, d'autres qui pourraient tout casser etc.

[tuXXX]

Oui je parle du groupe wheel mais je ne comprends pas bien pourquoi il n'aime pas ça.

Si je comprends bien ce qu'il dit, normalement tout le monde peut utiliser su mais si on utilise le groupe wheel ça restreint les utilisations de su (et de sudo ? les deux ?) à ce groupe. Ben je trouve pas ça choquant, je veux pas que tous mes utilisateurs puissent changer d'identité. Y'en a en qui je n'ai pas confiance, d'autres qui pourraient tout casser etc.

Il dit qu'il veut que la liberté soit du côté des utilisateurs, afin de ne pas donner le pouvoir à un groupe restreint d'utilisateurs...

Ouais moi aussi je trouve ça limite...

[gauret]

En gros, il a été traumatisé par des admins paranos.

[theocrite]

perso j'y vois un énorme inconvéniant : isudo demande beaucoup de rigueur, parce qu'on a plus l'impression d'être root.

J'ai remarqué que les gens qui utilisaient sudo faisaient des boulettes plus grave que ceux qui passent encore par la méthode traditionnelle, et je pense que c'est parce qu'ils ne sont pas root.

Je ne suis pas d'accord. C'est bien moins dangereux d'utiliser sudo.

Tu as à chaque fois besoin de mettre sudo devant ta commande et si tu n'as pas utilisé sudo depuis un certain temps, tu dois retapper ton mot de passe (je sais que ça s'enlève, mais bof...). Au contraire le compte root, tu t'y habitue, même avec un prompt du style "!!![ROOT]!!!@localhost # ", on finit toujours par s'y habituer.

Par ailleurs ça ne fait pas mal de rajouter un TMOUT=60 dans le bashrc du root.

[Krapace]

perso j'y vois un énorme inconvéniant : isudo demande beaucoup de rigueur, parce qu'on a plus l'impression d'être root.

J'ai remarqué que les gens qui utilisaient sudo faisaient des boulettes plus grave que ceux qui passent encore par la méthode traditionnelle, et je pense que c'est parce qu'ils ne sont pas root.

Je ne suis pas d'accord. C'est bien moins dangereux d'utiliser sudo.

Tu as à chaque fois besoin de mettre sudo devant ta commande et si tu n'as pas utilisé sudo depuis un certain temps, tu dois retapper ton mot de passe (je sais que ça s'enlève, mais bof...). Au contraire le compte root, tu t'y habitue, même avec un prompt du style "!!![ROOT]!!!@localhost # ", on finit toujours par s'y habituer.

Par ailleurs ça ne fait pas mal de rajouter un TMOUT=60 dans le bashrc du root.

Mini deterrage... Ca delog ou ca redemande le password ?

[theocrite]

Ça finit la session, cf l'autre topic

Par contre 1 minute c'est pas énorme.

http://www.pcinpact.com/forum/index.php?s=...dpost&p=1385052

[Shinuza]

Inconvénients :

- le fichier de conf ne peux etre modifié que par root

Il suffit de lancer un gedit en root non? (avec sudo quoi)

[tuXXX]

Inconvénients :

- le fichier de conf ne peux etre modifié que par root

Il suffit de lancer un gedit en root non? (avec sudo quoi)

Pas avec gedit !!!

nano ou vim oui

[taiwan]

Salut a tous!

Je dois faire un rapport sur les avantages et inconvénients de la commande sudo a mon chef et si vous pouvez m'aider ça serais cool.

J'ai deja quelques pistes..

Avantages :

- lancer des commandes root sans etre root

-

-

Inconvénients :

- le fichier de conf ne peux etre modifié que par root

-

-

Merci!

Tu peus rajouter que quand il a plusieur admin sur une machine chaque admin peu etre root avec sont propre passe .

Apres sudo laisse des traces des commandes lancer part l utilisateur dans les logs ,pratique pour savoir qui a fait la connerie justement :)

[Shinuza]

Inconvénients :

- le fichier de conf ne peux etre modifié que par root

Il suffit de lancer un gedit en root non? (avec sudo quoi)

Pas avec gedit !!!

nano ou vim oui

Lors de l'installation des pilotes Nvidia, j'ai tapé sudo gedti /etc/X11/xorg.conf

[theocrite]

Dans ce cas désactive la possibilité de lancer du X à root.

[Shinuza]

Ok, je vais chercher comment faire ça :)