hello, On Fri, Aug 29, 2025 at 04:11:06PM +0200, hamster wrote: > Ca veut dire que le compte de bob est sudoer? non. ici je fais apt install opendoas apt purge sudo echo permit nopass :root > /etc/doas.conf adduser bob root > Je pensais etre sur debian-user-french et non pas ubuntu-user-french… :-P hmm … je veux bien que tu m'explique ou est le pb. pour ma part: je préfère accompagner doucement bob vers l'autonomie en lui faisant tapper des commandes lui-même des qu'il est dans le mood. ça a très bien fonctionné avec mes enfants et qq copains. par contre rares sont les boomers qui s'y mettent. > Si le compte de bob n’est pas sudoer, alors s’y connecter ne permet pas de > faire de la maintenance. effectivement > Et si bob a oublié son mot de passe root on est coincé. oui ... alors en fait dans le cadre des installs que j'ai pratiqué, et si bob est consentant: * je connais le mdp root aussi (ou plutot j'ai un fichier crypté avec ma clef contentant ces mdp root sur une clef usb) * par contre le root n'a pas le droit de se connecter via ssh si la clef usb crame, on a un pb. > Et quand bien meme le compte de bob serait sudoer, si il en a oublié > le mot de passe ca permet pas de faire "sudo", meme en s’y connectant avec > une clef. dans ma config, il n'a pas besoin de mdp pour passer root. là encore je suis pret à en discuter. > C’est pour ca que je me fais un compte maintenance qui est sudoer et que je > me connecte a ce compte. Bob a un compte qui n’est pas sudoer et il y a un > compte root dont je n’ai pas le mot de passe. je comprend l'idée mais je pars du principe que: * bob est sensiblisé et assure la securité de l'acces physique à sa machine (bien souvent c'est le pc de bob chez lui et si c'est un laptop, j'explique bien à bob qu'il faut verrouiller sa session avant d'abandonner son portable meme pour une minute) * avec le fait que ssh * ne soit dispo que sur localhost * sans possibilité de s'identifier par mot de passe * sans pouvoir se connecter en root * les script kiddies utilisent rarement doas :) (ça n'est pas mon seul argument pour doas) on est quand même pas mal non? (je pose la question serieusement: je veux bien revoir cette stratégie si qq1 me propose un modèle d'attaque) 'soir -- Marc Chantreux
Attachment:
signature.asc
Description: PGP signature