From Mageia wiki
Revision as of 14:10, 30 November 2020 by Cmoifp (talk | contribs) (fix link)
Jump to: navigation, search

Template:Bandeau multi-langues-fr

Introduction

Cette page explique comment configurer sudo sous Mageia.

sudo est principalement utilisé pour les raisons suivantes :

  1. Utilisé, car il est possible de garder trace des actions exécutées (sudo est journalisé)
  2. Permettre de simplifier la gestion des permissions.
  3. Permettre à un utilisateur de poser des actions d’administration sans devoir partager de mot de passe.

Étape 1 : Assurez-vous que sudo soit bien installé (si ce n’est pas le cas, installez-le)

Vérifier que le rpm sudo soit installé :

Konsole.png
[user@computer ~]$ rpm -q sudo > /dev/null && echo sudo est installé||echo sudo N’est PAS installé
sudo N’est PAS installé

Si vous voyez le message « sudo n’est PAS installé », vous devrez l’installer (en tant que root), comme ceci : Template:Root console

Étape 2 Configurer sudo

Il est possible de configurer sudo de différentes manières. Vous pouvez, par exemple, activer des commandes spécifiques pour des groupes ou des utilisateurs donnés.

Ici, nous allons simplement configurer sudo de manière à ce que tout utilisateur du groupe wheel soit autorisé à utiliser sudo pour obtenir le privilège de root.
Lorsqu’un utilisateur membre du groupe wheel exécute une commande sudo, par exemple /bin/sudo -i, il est invité à saisir son propre mot de passe.
Cela renforce la sécurité en garantissant qu’un mot de passe est nécessaire pour obtenir le privilège de root.

Le fichier de configuration sudo peut être édité à l’aide de la commande visudo.
Cependant, nous pouvons éviter de modifier ce long et complexe fichier de configuration sudo pour activer le groupe wheel en exécutant simplement (en tant que root) ce qui suit :

  1. Créer le fichier (le choix du nom est libre et celui-ci peut être en relation avec son contenu, p. ex. 01wheel) pour permettre aux membres du groupe wheel d’accéder à root via sudo
  2. exécuter la commande indiquée comme suit, en tant que root (cela crée et écrit la ligne et donne uniquement le droit de lecture au fichier 01wheel).

Template:Root console Une explication détaillée indiquant la raison pour laquelle les fichiers du répertoire /etc/sudoers.d/ sont nommés comme ils le sont se trouve dans la page du manuel du fichier sudoers :

Konsole.png
[user@computer ~]$ man sudoers


Cherchez « etc/sudoers.d » précédé du signe « / » en tapant : /etc/sudoers.d

Étape 3 : Ajouter des utilisateurs au groupe wheel pour leur permettre d’avoir le privilège root

Il est beaucoup plus simple de gérer la liste des utilisateurs disposant d’un accès root en les ajoutant ou en les supprimant simplement d’un groupe.
Historiquement, le groupe wheel fut introduit pour cela sur Unix et les systèmes semblables à Unix.

Vous pouvez ajouter des utilisateurs à un groupe de (au moins) deux façons :

  • En utilisant le centre de contrôle Mageia :

Système -> Gérer les utilisateurs du système -> sélectionner l’onglet Utilisateur -> Action -> Éditer -> pour chaque utilisateur, sélectionner l’onglet groupes et cochez l’entrée du groupe « wheel ».

  • En utilisant la ligne de commande

Modifier le fichier /etc/group avec un éditeur de texte comme vim et mettez à jour la ligne pour wheel en ajoutant les noms des utilisateurs sous forme de liste délimitée par des virgules.
Dans l’exemple suivant, nous allons ajouter les utilisateurs : ken et dennis au groupe wheel.

Modifier la ligne :

wheel:x:10:

En :

wheel:x:10:ken,dennis

Étape 4 : Les utilisateurs nouvellement ajoutés au groupe Wheel peuvent avoir besoin de se déconnecter et de se reconnecter

Si un utilisateur nouvellement ajouté au groupe wheel est également connecté au même moment, il doit se déconnecter et se reconnecter pour que son accès sudo puisse fonctionner.

Utilisation de sudo

Dès que sudo est installé et configuré comme décrit ci-dessus, les utilisateurs du groupe wheel peuvent utiliser sudo pour exécuter des commandes root.

Exemple 1 – Pour installer toutes les mises à jour en attente : Template:Sudo-fr

Exemple 2 – Pour lancer un shell en mode root : Template:Sudo to root-fr Ici, l’option « -i » de sudo fait que le shell démarre comme si root s’était connecté et (dispose des paramètres de l’environnement de celui-ci)
De ce fait, l’invite est maintenant une invite root et si elle est exécutée dans un terminal, l’onglet aura pour adresse « root@att.com ».

Conseils

Conseil N°1 :Éviter d’utiliser root

Évitez autant que possible d’utiliser le compte root.
Si vous avez vraiment besoin d’un accès root, utilisez-le, mais il est plus sûr d’abandonner l’accès en tant que root pour des actions futiles.

Conseil N°2 :Avec un terminal à onglets, garder un onglet pour root

Si vous utilisez un terminal à onglets (comme Konsole), il est pratique d’ouvrir un onglet dans le shell root et d’autres onglets dans le shell non-root.
Cela évite de devoir changer de racine, car vous pouvez simplement sélectionner l’onglet du terminal dans lequel vous voulez travailler.

Conseil N°3 :Utilisez toujours le chemin d’accès complet pour les commandes demandant des mots de passe

Au lieu d’utiliser la commande sudo, prenez l’habitude d’utiliser la commande /bin/sudo. (Cela s’applique également à l’utilisation de /bin/su au lieu de su).

Pourquoi ? Pour toute commande qui provoque une demande de mot de passe, l’utilisation d’un chemin d’accès complet est plus sûre (que le seul nom de la commande).

Une technique utilisée par les pirates informatiques consiste à exploiter la confiance que vous avez dans le fait que lorsque vous tapez sudo, vous croyez que vous dirigez le véritable sudo.
Si un pirate informatique est en mesure d’accéder à votre compte, votre $PATH peut être modifié pour exécuter un sudo usurpé qui capture votre mot de passe saisi, affiche un message d’erreur, puis exécute le véritable sudo.
L’utilisateur pense alors « Oh, j’ai mal tapé le mot de passe. Je vais le retaper ».

conseil n°4 : Surveiller l’utilisation du sudo

Le fichier de journalisation sudo se trouve dans var/log/sudo.log.

Consultez le journal de temps en temps pour comprendre ce qu’est une activité sudo « normale » sur votre système. Notez la date/heure et les valeurs TTY dans le journal. Faites attention aux entrées de journaux bizarres ou inhabituelles. Par exemple, sudo exécuté à un moment où vous n’utilisiez pas la machine ou à partir d’un TTY non utilisé normalement.

Liens

Sudoers Manual https://www.sudo.ws/man/1.9.3/sudoers.man.html
Wikipedia http://fr.wikipedia.org/wiki/Sudo
sudo in a nutshell http://www.sudo.ws/sudo/intro.html
sudo sandwich http://xkcd.com/149/
Ken Thomson http://fr.wikipedia.org/wiki/Ken_Thompson
Dennis Ritchie http://fr.wikipedia.org/wiki/Dennis_Ritchie