[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: su, gksu, sudo... et le trousseau de clés...



Le Mercredi 3 Août 2005 20:39, David BERCOT a écrit :
> > > En tapant sudo, on donne son propre mot de passe et on a les droits
> > > d'admin ???
> >
> > Oui (il faut évidemment être dans /etc/sudoers sinon sudo refuse).
>
> Dans ce cas, je ne vois pas bien la différence par rapport à un compte
> qui a d'entrée les droits d'admin !!!

Ben en temps normal, tu travaille pas en admin... Genre si tu fais rm -rf /* 
sans mettre sudo devant, ben t'en sera pour un petit nettoyage de ton /home 
au pire...

> Mais bon, en ce qui me concerne, c'est clair, je préfère LARGEMENT su à
> sudo dans ce cas alors... Au moins, les droits ne sont que attribués que
> pour une action ponctuelle...

Ben justement en général quand je travail avec sudo, j'ouvre de shell, donc je 
dois mettre sudo devant chaque commande que j'exécute en root, et j'ai donc 
tendance à regarder un peu plus la commande avant de mettre sudo devant, et 
les droits root ne sont QUE pour cette commande (utilisation ponctuelle)...
Bien sûr, on peut paramétrer un "timeout" durant lequel sudo ne te redemandera 
pas ton mot de passe, ce qui peut être utile pour enchaîner plusieurs 
commandes sans avoir à retaper son mot de passe (contrairement, par exemple, 
à su -c).
Après tu peux toujours faire "sudo su" ou "sudo bash", mais si ça peut être 
intéressant parfois, je trouve que du coup tu perd tout l'intérêt de sudo 
(c'est un avis qui n'engage que moi, je connais certaines personnes qui se 
servent de sudo uniquement pour faire "sudo su").

>
> Maintenant, dans certains cas (s'il y a plusieurs personnes qui ont
> besoin de droits d'admin), je reconnais que ça doit pouvoir être
> utile ;-)

Effectivement, je co-administre plusieurs serveurs, et personne ne connaît le 
mot de passe root. Nous sommes tous dans le groupe "staff", et nous avons 
accordé le droit à tous les utilisateur de ce groupe d'être root par sudo.

> > > On peut tout faire ???
> >
> > Oui, sauf restriction mise dans /etc/sudoers.
>
> Logique cette possibilité...
>
> Merci pour ces infos...

Ce qui est bien avec sudo, c'est qu'on peut donner les droits à l'utilisateur 
de lancer seulement certaines commandes en root, genre lancer seulement les 
commandes "halt" ou "reboot" par exemple, en spécifiant même qu'elles peuvent 
êtres lancées sans mots de passe. Cela peut-être une alternative au 
bit-setuid par exemple, puisque dans le cas du bit-setuid, dès que le 
programme sera lancé il sera forcément en root (ou en l'utilisateur à qui il 
appartient), alors que là on peut donner le droit à seulement un personne ou 
deux de lancer ce programme en root.

Ah oui, il me semble aussi que l'on peut paramétrer sudo pour qu'il demande le 
mot de passe root au lieu de demander le mot de passe utilisateur, mais là 
aussi, c'est sûr que lorsque l'on travaille à plusieur c'est peut-être pas le 
mieux.

-- 
Florent

-- Citation aléatoire --
Si j'admire ceux qui pour la première fois observèrent la vérité de ce 
théorème, je suis davantage émerveillé par l'auteur des Éléments.
	-+- Proclus -+-

Attachment: pgp4AYGWbX3jw.pgp
Description: PGP signature


Reply to: