Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
utilisateurs:roschan:sudo [Le 08/10/2017, 16:15] Roschan |
utilisateurs:roschan:sudo [Le 08/06/2018, 19:21] (Version actuelle) fabux mise en forme note d'intro |
||
|---|---|---|---|
| Ligne 2: | Ligne 2: | ||
| ------ | ------ | ||
| - | <note help> | + | <note help>Cette page est actuellement en cours de remodelage et de fusion avec d'autres pages. Merci de prévenir la liste si vous souhaiter la modifier. |
| - | cette page doit fusionner elle-même avec https://doc.ubuntu-fr.org/sudo-annexe **fait** | + | |
| - | le but étant de faire une page "conforme au template" pour sudo **fait** \\ | + | * Cette page doit fusionner elle-même avec [[:sudo-annexe]] -> **fait** |
| - | et ici -> https://doc.ubuntu-fr.org/utilisateurs/roschan/elevation_privileges on fera un tuto propre user-friendly **fait** (il faudra échanger les backlinks) **pas fait** \\ | + | * Le but étant de faire une page "conforme au template" pour sudo -> **fait** |
| - | et ici -> https://doc.ubuntu-fr.org/utilisateurs/roschan/elevation_privileges_avances un tuto avancé avec tout le bullshit obsolète sur gkmachin **en cours** | + | * [[:utilisateurs:roschan:elevation_privileges|Page utilisateur roschan - elevation_privileges]] : faire un tuto propre user-friendly ->**fait** |
| + | * :!: il faudra y échanger les backlinks -> **pas fait** :!: | ||
| + | * [[:utilisateurs:roschan:elevation_privileges_avances|Page utilisateur roschan - elevation_privileges_avances]] : un tuto avancé sans la partie obsolète sur gksudo -> **en cours** | ||
| </note> | </note> | ||
| Ligne 87: | Ligne 88: | ||
| ==== Alternatives à sudo ==== | ==== Alternatives à sudo ==== | ||
| - | * [[:polkit]] fonctionne selon un principe différent : un programme sans fenêtre s'exécute en arrière-plan (sans fenêtre), et dispose des droits root. Les applications sont invitées à lui demander les droits nécessaires pour effectuer des opérations spécifiques. Cela évite de lancer des programmes graphiques en tant que super-utilisateur, ça évite également d'utiliser ''sudo'' pour des commandes n'en ayant pas besoin, la sécurité est donc accrue, et moins d'actions sont requises de la part de l'utilisateur (**ce sont les applications qui demandent les droits**, pas l'utilisateur). Parmi les programmes capables d'utiliser PolKit, on peut citer : | + | * [[:polkit]] fonctionne selon un principe différent : un programme ("démon") s'exécute en arrière-plan (sans fenêtre), et dispose des droits root. Les applications sont invitées à lui demander les droits nécessaires pour effectuer des opérations spécifiques. Cela évite de lancer des programmes graphiques en tant que super-utilisateur, ça évite également d'utiliser ''sudo'' pour des commandes n'en ayant pas besoin, la sécurité est donc accrue, et moins d'actions sont requises de la part de l'utilisateur (**ce sont les applications qui demandent les droits**, pas l'utilisateur). Parmi les programmes capables d'utiliser PolKit, on peut citer : |
| * [[:gnome-packagekit|GNOME Paquets]] | * [[:gnome-packagekit|GNOME Paquets]] | ||
| * [[:gnome-software|GNOME Logiciels]] | * [[:gnome-software|GNOME Logiciels]] | ||
| Ligne 103: | Ligne 104: | ||
| Les avantages de l'emploi de ''sudo'', par opposition à l'emploi direct d'un unique compte super-utilisateur (''root'') via la commande ''su'', sont nombreux pour une utilisation dans un environnement domestique ou de PME/PMI : | Les avantages de l'emploi de ''sudo'', par opposition à l'emploi direct d'un unique compte super-utilisateur (''root'') via la commande ''su'', sont nombreux pour une utilisation dans un environnement domestique ou de PME/PMI : | ||
| - | * L'installateur d'Ubuntu est plus concis. Ceci est important pour le nouvel arrivant, qui peut ne pas être au courant du fonctionnement du compte super-utilisateur et de son danger potentiel ; | + | * L'installateur d'Ubuntu est ainsi plus concis. |
| - | * Les administrateurs n'ont pas à se souvenir d'un mot de passe supplémentaire, qu'ils peuvent facilement oublier, ou compromettre la sécurité du compte ''root'' par des mauvaises habitudes ; | + | * Les administrateurs n'ont pas à se souvenir d'un mot de passe supplémentaire. |
| - | * Cela évite le comportement du « Je peux tout faire sur ma machine » : \\ avant d'effectuer une action d'administration, Ubuntu vous demande votre mot de passe, ce qui devrait faire réfléchir les administrateurs aux conséquences de leur action ; | + | * Cela évite le comportement du « Je peux faire n'importe quoi sur ma machine » : \\ avant d'effectuer une action d'administration, Ubuntu vous demande votre mot de passe, ce qui devrait faire vous réfléchir sur les conséquences de vos actions ; |
| * ''sudo'' conserve une trace de toutes les commandes exécutées. Si un problème apparaît, vous pourrez toujours consulter ce journal afin de retrouver la commande ayant causé le problème ; | * ''sudo'' conserve une trace de toutes les commandes exécutées. Si un problème apparaît, vous pourrez toujours consulter ce journal afin de retrouver la commande ayant causé le problème ; | ||
| * Tous les pirates tentant de pénétrer par la force brute votre système savent qu'il existe un compte appelé ''root'' et essaieront de pirater celui-ci d'abord. Ils ne connaissent pas les identifiants des autres utilisateurs de votre ordinateur ; | * Tous les pirates tentant de pénétrer par la force brute votre système savent qu'il existe un compte appelé ''root'' et essaieront de pirater celui-ci d'abord. Ils ne connaissent pas les identifiants des autres utilisateurs de votre ordinateur ; | ||
| - | * Ceci permet un transfert rapide des droits d'administration, autant pour du long que pour du court terme, par le simple ajout ou retrait d'un utilisateur dans le groupe d'administration. Le tout, sans compromettre la sécurité de votre environnement informatique par le partage d'un mot de passe unique pour le compte ''root'' ; | + | * Ceci permet un transfert rapide des droits d'administration, sans compromettre la sécurité de votre environnement informatique par le partage d'un mot de passe unique pour le compte ''root'' ; |
| - | * ''sudo'' peut être configuré avec une politique bien plus affinée. | + | * ''sudo'' peut être configuré avec de manière affinée. |
| - | + | ||
| - | ==== « sudo » n'est-il pas moins sécurisé que « su root » ? ==== | + | |
| - | + | ||
| - | Non : \\ | + | |
| - | Le modèle de sécurité à la base est le même, et les deux modèles partagent une même faiblesse. Tout utilisateur utilisant ''su root'' ou ''sudo'' pour effectuer des tâches administratives doit être considéré comme un utilisateur privilégié. \\ Si le compte de l'utilisateur est compromis par un attaquant, celui-ci peut aussi obtenir une élévation de privilèges et compromettre le système d'exploitation. \\ Les utilisateurs ayant les droits d'administration doivent être protégés avec les mêmes soins que le compte super-utilisateur. | + | |
| - | + | ||
| - | On remarque que ''sudo'' encourage la modification des habitudes de travail, qui peuvent provoquer un impact positif sur la sécurité du système d'exploitation. \\ ''sudo'' est habituellement utilisé pour exécuter une commande unique, alors que ''su root'' est souvent utilisé pour exécuter un terminal ''root'' et exécuter des multiples commandes. \\ L'approche de ''sudo'' réduit la possibilité qu'un terminal ''root'' soit laissé ouvert indéfiniment sur le poste de travail et encourage l'utilisateur à minimiser son utilisation des privilèges d'administration. | + | |
| ===== Utilisation avancée ===== | ===== Utilisation avancée ===== | ||
| Ligne 144: | Ligne 138: | ||
| ===== À lire aussi ===== | ===== À lire aussi ===== | ||
| - | * [[:elevation_privileges]] | + | * [[elevation_privileges]] |
| - | * [[:elevation_privileges_avances]] | + | * [[elevation_privileges_avances]] |
| * **(en) [[http://www.sudo.ws|Site officiel du projet "sudo"]]** | * **(en) [[http://www.sudo.ws|Site officiel du projet "sudo"]]** | ||
| * **(en)** [[http://www.sudo.ws/sudo/sudoers.man.html|Sudoers Manual]] | * **(en)** [[http://www.sudo.ws/sudo/sudoers.man.html|Sudoers Manual]] | ||