From Mageia wiki
Jump to: navigation, search


Drakconf multiflag.png
Autres langues
Deutsch ; English ; français ;
Résumé :
Configurer sudo pour Mageia Linux.

Introduction

Cet article explique comment configurer la commande sudo sous Mageia.

Si vous souhaitez en connaître le fonctionnement, consultez la page de manuel : man sudo [6] . Il existe également une description dans sudo Wikipedia-icon.png [1] .

Les avantages

Les avantages de la configuration de sudo suivant les indications de cette page sont :

  1. la simplicité de mise en oeuvre.
  2. de pouvoir accorder aux utilisateurs le privilège sudo simplement en les ajoutant au groupe wheel (ou inversement de leurs retirer le privilège sudo en les retirant du groupe wheel).
  3. la non nécécité de partager le mot de passe root. Ainsi, le mot de passe root peut être modifié sans que les membres du groupe wheel obtiennent le privilège sudo.
  4. l'obligation pour les utilisateurs du groupe wheel' d'entrer leur mot de passe pour obtenir le privilège sudo. Sans mot de passe, l'accès est interdit, ce qui améliore la sécurité.

Étape 1 : Assurez-vous que sudo soit bien installé (si ce n’est pas le cas, installez-le)

Vérifier que le rpm sudo soit installé :

$ rpm -q sudo > /dev/null && echo sudo est installé||echo sudo N’est PAS installé
sudo N’est PAS installé

Si vous voyez le message « sudo n’est PAS installé », vous devrez l’installer (en tant que root), comme ceci :

# urpmi sudo
/usr/sbin/urpmi sudo $MIRRORLIST: media/core/updates/sudo-1.9.5p2-2.1.mga8.x86_64.rpm installation de sudo-1.9.5p2-2.1.mga8.x86_64.rpm depuis /var/cache/urpmi/rpms Préparation... ##################################################### 1/1: sudo #####################################################

Étape 2 Configurer sudo

Il est possible de configurer sudo de différentes manières. Vous pouvez, par exemple, activer des commandes spécifiques pour des groupes ou des utilisateurs donnés. Par ailleurs, sudo peut être utilisé pour exécuter des commandes en tant que n'importe quel utilisateur ou membre de n'importe quel groupe. Il ne s'agit pas seulement d'obtenir un accès root. De telles configurations dépassent le cadre de cette page wiki. Veuillez vous référer à la page de manuel sudo [6] pour plus de détails.

Ici, nous allons simplement configurer sudo de manière que tout utilisateur du groupe wheel soit autorisé à utiliser sudo pour obtenir le privilège de root.
Lorsqu’un utilisateur membre du groupe wheel exécute une commande sudo, par exemple /bin/sudo -i, il est invité à saisir son propre mot de passe.
Cela renforce la sécurité en garantissant qu’un mot de passe est nécessaire pour obtenir le privilège de root.
Cela signifie également que l'utilisateur qui est membre du groupe wheel n'a pas besoin de connaître le mot de passe root du tout. En fait, le mot de passe root peut être modifié par l'administrateur système et cela n'empêche pas les membres du groupe wheel d'utiliser sudo pour obtenir le privilège root.

Le fichier de configuration sudo peut être édité à l’aide de la commande visudo.

Cependant, nous pouvons éviter de modifier ce long et complexe fichier (/etc/sudoers [7] ) de configuration sudo pour activer le groupe wheel en exécutant simplement (en tant que root) ce qui suit :

  1. Créer le fichier (le choix du nom est libre et celui-ci peut être en relation avec son contenu, p. ex. 01wheel) pour permettre aux membres du groupe wheel d’accéder à root via sudo
  2. Exécuter la commande indiquée comme suit en tant que root:
# echo "%wheel ALL=(ALL) ALL" > /etc/sudoers.d/01wheel && chmod 440 /etc/sudoers.d/01wheel

Une explication détaillée indiquant la raison pour laquelle les fichiers du répertoire /etc/sudoers.d/ sont nommés comme ils le sont se trouve dans la page du manuel du fichier sudoers :

$ man sudoers

Lancer la commande man sudoers. Cherchez l’expression « etc/sudoers.d » précédé du signe « / » en tapant : /etc/sudoers.d

Étape 3 : Ajouter des utilisateurs au groupe wheel pour leur permettre d’avoir le privilège root

Il est beaucoup plus simple de gérer la liste des utilisateurs disposant d’un accès root en les ajoutant ou en les supprimant simplement d’un groupe.
Historiquement, le groupe wheel fut introduit pour cela sur Unix et les systèmes semblables à Unix.

Vous pouvez ajouter des utilisateurs à un groupe de deux façons :

Méthode 1:En utilisant le centre de contrôle Mageia

Système -> Gérer les utilisateurs du système -> sélectionner l’onglet Utilisateur -> Action -> Éditer -> pour chaque utilisateur, sélectionner l’onglet groupes et cochez l’entrée du groupe « wheel ».

Méthode 2: En utilisant la ligne de commande

Modifier le fichier /etc/group avec un éditeur de texte comme vim et mettez à jour la ligne pour wheel en ajoutant les noms des utilisateurs sous forme de liste délimitée par des virgules.
Dans l’exemple suivant, nous allons ajouter les utilisateurs : ken [4] et dennis [5] au groupe wheel.

Modifier la ligne :

wheel:x:10:

En :

wheel:x:10:ken,dennis

Étape 4 : Les utilisateurs nouvellement ajoutés au groupe Wheel peuvent avoir besoin de se déconnecter et de se reconnecter

Si un utilisateur nouvellement ajouté au groupe wheel était également connecté au même moment, il doit se déconnecter et se reconnecter pour que son accès sudo puisse fonctionner. Si sudo ne fonctionne toujours pas, vérifiez attentivement tout message d'erreur affiché et consultez le journal du système pour comprendre ce qui ne va pas et peut être corrigé.

Utilisation de sudo

Après avoir installé et configuré sudo comme indiqué (ci-dessus), les personnes membres du groupe wheel peuvent utiliser sudo pour exécuter des commandes demandant les privilèges de superutilisateur (root). Ainsi, en suivant l’exemple présenté, il y a deux utilisateurs qui sont autorisés à utiliser la commande sudo : ken [4] et dennis [5] .

Remarque :
Nous utilisons /bin/sudo plutôt que simplement sudo pour améliorer la sécurité (voir le conseil 3 ci-dessous).

Exemple 1 – Pour installer toutes les mises à jour en attente (ici connecté en tant qu’utilisateur ken)

$ /bin/sudo /usr/sbin/urpmi --auto-update
[sudo] Mot de passe de ken :

Exemple 2 – basculer vers un interpréteur de commandes root (ici connecté en tant que dennis) 

[dennis@att.com ~] $ /bin/sudo -i
[sudo] Mot de passe de dennis: [root@att.com ~] #

Notez que l’utilisation de l’option -i lance l’interpréteur de commandes de root dans le répertoire personnel de root comme si vous étiez connecté en tant que root avec $PATH et l’environnement de l’interpréteur de commandes configuré pour root.

Pour terminer l’utilisation de l’interpréteur de commandes root (et revenir à l’utilisateur avant l’utilisation de sudo), tapez simplement exit :

[root@att.com ~] # exit
[dennis@att.com ~] $ _

Conseils

Conseil N°1 :Éviter d’utiliser root

Évitez autant que possible d’utiliser le compte root.
Si vous avez vraiment besoin d’un accès root, utilisez-le, mais il est plus sûr d’abandonner l’accès en tant que root pour des actions futiles.

Tout particulièrement : évitez d’exécuter un environnement de bureau (tel que KDE, Gnome, XFCE, LXDE, MATE) en tant que root.
Il est inutile d’effectuer les tâches propres à l’environnement de bureau en tant que root. Chaque environnement créera de nombreux fichiers et sous-répertoires dans le répertoire ${HOME}.
Il est plus sûr et préférable de garder le ${HOME} de root au strict nécessaire.

Lors de l’exécution du Centre de contrôle Mageia (Drakconf) : si un accès root est nécessaire, vous serez invité à le faire.

Conseil N°2 :Avec un terminal à onglets, garder un onglet pour root

Si vous utilisez un terminal à onglets (comme Konsole), il est pratique d’ouvrir un onglet dans le shell root et d’autres onglets dans le shell non-root.
Cela évite de devoir changer de racine, car vous pouvez simplement sélectionner l’onglet du terminal dans lequel vous voulez travailler.

Conseil N°3 :Utilisez toujours le chemin d’accès complet pour les commandes demandant des mots de passe

Au lieu d’utiliser la commande sudo, prenez l’habitude d’utiliser la commande /bin/sudo. (Cela s’applique également à l’utilisation de /bin/su au lieu de su).

Pourquoi ? Pour toute commande qui provoque une demande de mot de passe, l’utilisation d’un chemin d’accès complet est plus sûre (que le seul nom de la commande).

Une technique utilisée par les pirates informatiques consiste à exploiter la confiance que vous avez dans le fait que lorsque vous tapez sudo, vous croyez que vous dirigez le véritable sudo.
Si un pirate informatique est en mesure d’accéder à votre compte, votre $PATH peut être modifié pour exécuter un sudo usurpé qui capture votre mot de passe saisi, affiche un message d’erreur, puis exécute le véritable sudo.
L’utilisateur pense alors « Oh, j’ai mal tapé le mot de passe. Je vais le retaper ».

conseil N°4 : Surveiller l’utilisation du sudo

Le fichier de journalisation sudo se trouve dans var/log/sudo.log.

Consultez le journal de temps en temps pour comprendre ce qu’est une activité sudo « normale » sur votre système. Notez la date/heure et les valeurs TTY dans le journal. Faites attention aux entrées de journaux bizarres ou inhabituelles. Par exemple, sudo exécuté à un moment où vous n’utilisiez pas la machine ou à partir d’un TTY non utilisé normalement.

conseil N°5 : ajouter un nouvel utilisateur au groupe wheel lors de l’installation de Mageia

Lors de l’installation d’un nouveau système Mageia, il y a une étape sur laquelle de nouveaux utilisateurs peuvent être ajoutés au système.

À ce stade, cliquez sur la section Avancé où vous aurez la possibilité d’ajouter le nouvel utilisateur au groupe wheel (ou à d’autres groupes si nécessaire).
Cela permettra de gagner du temps, car une fois que le système Mageia nouvellement installé est redémarré, le nouveau compte utilisateur peut utiliser sudo pour l’accès root lors de la première connexion.

Remarque annexe :
Sachez que lorsque vous définissez le mot de passe root pendant l'installation de Mageia, le hachage du mot de passe root est enregistré dans le fichier /root/drakx/auto_inst.cfg.pl. Voir aussi le point : [8]

Ceci est fait pour permettre des clones d'installation automatique de l'installation terminée. Pour améliorer la sécurité, il est conseillé de définir un nouveau mot de passe root lors de la première connexion après l'installation.

Liens

ref# titre liens
[1] Wikipedia sudo page http://fr.wikipedia.org/wiki/Sudo
[2] sudo in a nutshell http://www.sudo.ws/sudo/intro.html
[3] sudo sandwich http://xkcd.com/149/
[4] Ken Thomson http://fr.wikipedia.org/wiki/Ken_Thompson
[5] Dennis Ritchie http://fr.wikipedia.org/wiki/Dennis_Ritchie
[6] sudo man page https://man.archlinux.org/man/sudo.8
[7] /etc/sudoers file https://man.archlinux.org/man/sudoers.5
[8] Mageia bug 31397 mga#31397


Début de page

































Début de page