Le Mercredi 3 Août 2005 20:39, David BERCOT a écrit : > > > En tapant sudo, on donne son propre mot de passe et on a les droits > > > d'admin ??? > > > > Oui (il faut évidemment être dans /etc/sudoers sinon sudo refuse). > > Dans ce cas, je ne vois pas bien la différence par rapport à un compte > qui a d'entrée les droits d'admin !!! Ben en temps normal, tu travaille pas en admin... Genre si tu fais rm -rf /* sans mettre sudo devant, ben t'en sera pour un petit nettoyage de ton /home au pire... > Mais bon, en ce qui me concerne, c'est clair, je préfère LARGEMENT su à > sudo dans ce cas alors... Au moins, les droits ne sont que attribués que > pour une action ponctuelle... Ben justement en général quand je travail avec sudo, j'ouvre de shell, donc je dois mettre sudo devant chaque commande que j'exécute en root, et j'ai donc tendance à regarder un peu plus la commande avant de mettre sudo devant, et les droits root ne sont QUE pour cette commande (utilisation ponctuelle)... Bien sûr, on peut paramétrer un "timeout" durant lequel sudo ne te redemandera pas ton mot de passe, ce qui peut être utile pour enchaîner plusieurs commandes sans avoir à retaper son mot de passe (contrairement, par exemple, à su -c). Après tu peux toujours faire "sudo su" ou "sudo bash", mais si ça peut être intéressant parfois, je trouve que du coup tu perd tout l'intérêt de sudo (c'est un avis qui n'engage que moi, je connais certaines personnes qui se servent de sudo uniquement pour faire "sudo su"). > > Maintenant, dans certains cas (s'il y a plusieurs personnes qui ont > besoin de droits d'admin), je reconnais que ça doit pouvoir être > utile ;-) Effectivement, je co-administre plusieurs serveurs, et personne ne connaît le mot de passe root. Nous sommes tous dans le groupe "staff", et nous avons accordé le droit à tous les utilisateur de ce groupe d'être root par sudo. > > > On peut tout faire ??? > > > > Oui, sauf restriction mise dans /etc/sudoers. > > Logique cette possibilité... > > Merci pour ces infos... Ce qui est bien avec sudo, c'est qu'on peut donner les droits à l'utilisateur de lancer seulement certaines commandes en root, genre lancer seulement les commandes "halt" ou "reboot" par exemple, en spécifiant même qu'elles peuvent êtres lancées sans mots de passe. Cela peut-être une alternative au bit-setuid par exemple, puisque dans le cas du bit-setuid, dès que le programme sera lancé il sera forcément en root (ou en l'utilisateur à qui il appartient), alors que là on peut donner le droit à seulement un personne ou deux de lancer ce programme en root. Ah oui, il me semble aussi que l'on peut paramétrer sudo pour qu'il demande le mot de passe root au lieu de demander le mot de passe utilisateur, mais là aussi, c'est sûr que lorsque l'on travaille à plusieur c'est peut-être pas le mieux. -- Florent -- Citation aléatoire -- Si j'admire ceux qui pour la première fois observèrent la vérité de ce théorème, je suis davantage émerveillé par l'auteur des Éléments. -+- Proclus -+-
Attachment:
pgp2PukRs_lUu.pgp
Description: PGP signature