Re: faire un paquet .deb

[hamster <hamster@suna.fdn.fr>]

Le 29/08/2025 à 22:39, Marc Chantreux a écrit :
> hello,
>
> On Fri, Aug 29, 2025 at 04:11:06PM +0200, hamster wrote:
> > Ca veut dire que le compte de bob est sudoer?
>
> non. ici je fais
>
> apt install opendoas
> apt purge sudo
> echo permit nopass :root > /etc/doas.conf
> adduser bob root
>
> > Je pensais etre sur debian-user-french et non pas ubuntu-user-french… :-P
>
> hmm … je veux bien que tu m'explique ou est le pb.

Je blaguais sur le fait que le premier comtpe créé qui est sudoer, c’est 
un standard ubuntu et pas un standard debian.

> pour ma part: je préfère accompagner doucement bob vers l'autonomie en
> lui faisant tapper des commandes lui-même des qu'il est dans le mood.
> ça a très bien fonctionné avec mes enfants et qq copains. par contre
> rares sont les boomers qui s'y mettent.

Je travaille aussi dans un tmux partagé, donc je fais aussi cet 
accompagnement. C’est ma procédure pour partager le tmux qui est plus 
longue et chiante, mais bob ne le voit pas.

Coté autonomisation de bob, il y a aussi le fait qu’il soit le plus 
possible capable de se débrouiller sans moi. Donc en allant faire des 
recherches sur internet. Et sur internet, il va trouver tout plein de 
forums ou on lui dit de taper sudo <commande>. Il va difficilement 
trouver des endroits ou on lui dit de commencer par taper su - pour 
devenir root puis taper ses commandes sans sudo. Et je serais fort 
étonné qu’il arrive a trouver un endroit ou on va lui parler de doas !

> oui ... alors en fait dans le cadre des installs que j'ai pratiqué,
> et si bob est consentant:
>
> * je connais le mdp root aussi (ou plutot j'ai un fichier crypté
>    avec ma clef contentant ces mdp root sur une clef usb)

Ah, on en reviens au fait que tu a son mot de passe.

Si il est consentant, j’ai aussi un mot de passe sudoer sur sa machine, 
que je stocke dans un fichiers chiffré, mais ce n’est pas de sien. Il 
peut changer le sien quand il veut sans avoir a me le refiler pour que 
je mettre mon fichier chiffré a jour a chaque fois.

J’ajoute que le fait d’avoir un compte "maintenance" qui est dans le 
groupe sudo, ca fait que quand on lance un truc root en mode graphique 
(par exemple synaptic) ca ouvre une fenetre qui demande le mot de passe, 
et cette fenetre propose le choix entre "taper le mot de passe pour 
root" ou alors "taper le mot de passe pour maintenance". Attention, ceci 
ne marche pas si le compte "maintenance" est absent du groupe sudo et a 
les droits sudo en étant mentionné dans le fichier sudoers.

> * par contre le root n'a pas le droit de se connecter via ssh

Oui, ca je le fais aussi.

> dans ma config, il n'a pas besoin de mdp pour passer root. là encore je
> suis pret à en discuter.

Sur le plan éducatif, j’aime qu’il ait a taper son mot de passe pour 
passer root. Psychologiquement, c’est le moment ou on se met a faire 
attention a ce qu’on fait parce qu’il n’y a plus de garde-fou.

> j'explique bien à bob qu'il faut verrouiller sa session avant
>    d'abandonner son portable meme pour une minute)

Ca, a mon sens c’est un vrai problème. Dans les "bob" a qui j’installe, 
y’en a très peu qui ont la rigueur pour faire ca.

Dans 95 % des cas, bob me demande de mettre une connexion automatique 
parce que ca le gonfle d’avoir a taper son mot de passe a chaque fois 
qu’il démarre son ordi. Et il me demande aussi de virer le verrouillage 
automatique quand l’écran se met en veille pour la meme raison. Si je 
refuse de le faire… et bien d’abord de quel droit je le lui 
refuserait ??? Ensuite si je refuse il se met un mot de passe ridicule 
(genre 6 chiffres) pour le taper facilement, et c’est un problème de 
sécurité encore plus grave.

Il y a aussi le cas ou bob autorise un ami ou un membre de sa famille a 
utiliser son ordi. Dans ce cas, l’ami peut faire ce qu’il veut sans 
avoir a taper de mot de passe pour devenir root.