| View previous topic :: View next topic |
| Author |
Message |
naerex
Guru
Joined: 02 Apr 2005
Posts: 316
Location: Paris, France
|
 Posted: Mon Sep 04, 2006 5:45 pm Post subject: [TIPS] su sans mot de passe |
 |
|
Bonjour
Voici un tips bien sympa pour ceux qui ne veulent pas taper le mot de passe root, de plus il ne nécessite aucune installation.
ouvrir /etc/pam.d/su et décommenter cette ligne :
| Code: |
#auth required pam_wheel.so use_uid
|
A présent les membres du groupe wheel peuvent faire su sans entrer le mot de passe.
Ca marche même pour kde avec le bouton superutilisateur dans le centre de config !
Peut être aussi sous gnome (à confirmer)
Pour une utilisation perso de son ordi je trouve ça très pratique 
Niveau sécu évidemment si votre mot de passe utilisateur est "toto" vous pouvez oublier cette méthode  |
|
| Back to top |
|
 |
kopp
Advocate
Joined: 09 Apr 2004
Posts: 2885
Location: Grenoble, France
|
| Posted: Tue Sep 05, 2006 10:46 am Post subject: |
|
|
Je pense que même avec un mot de passe utilisateur compliqué, c'est moyen niveau sécurité, il suffit qu'un programme lancé en user soit vulnérable à un quelconque truc pourque quelqu'un l'exploite pour utiliser su et avoir un accès root sur la machine.
Bon là ça ressemble à de la parano mais pour des machines souvent connectées au net, c'est risqué.
Faut aussi se méfier des amis qui ont tendance à vouloir tripatouiller vos consoles quand vous tournez le dos
Avec certain potes, je pars pas pisser sans fermer tous les terminaux et bloquer X |
|
| Back to top |
|
|
Darkael
Veteran
Joined: 10 Aug 2004
Posts: 1321
Location: France
|
| Posted: Tue Sep 05, 2006 9:17 pm Post subject: |
|
|
| kopp wrote: | Je pense que même avec un mot de passe utilisateur compliqué, c'est moyen niveau sécurité, il suffit qu'un programme lancé en user soit vulnérable à un quelconque truc pourque quelqu'un l'exploite pour utiliser su et avoir un accès root sur la machine.
Bon là ça ressemble à de la parano mais pour des machines souvent connectées au net, c'est risqué. |
En même temps, si c'est un compte qui est utilisé souvent pour passer en root, pour un attaquant éventuel le passage en root ne sera qu'une formalité, à moins d'avoir pris des mesures drastiques supplémentaires.
Et puis pour une utilisation perso (ce qui est la cible de cette astuce), à mon avis tes données personnelles sont quand même beaucoup plus sensibles que l'accès à ton système... |
|
| Back to top |
|
|
titoucha
Advocate
Joined: 21 Jul 2005
Posts: 2374
Location: Genève
|
| Posted: Wed Sep 06, 2006 4:54 am Post subject: |
|
|
| kopp wrote: |
Faut aussi se méfier des amis qui ont tendance à vouloir tripatouiller vos consoles quand vous tournez le dos
Avec certain potes, je pars pas pisser sans fermer tous les terminaux et bloquer X |
Sont sympas tes potes  |
|
| Back to top |
|
|
Darkael
Veteran
Joined: 10 Aug 2004
Posts: 1321
Location: France
|
| Posted: Tue Sep 12, 2006 8:15 am Post subject: |
|
|
Euh, ce n'est que maintenant que je vois ça: la ligne à décommenter n'est pas la bonne. C'est plutôt celle là:
| Code: |
# Uncomment this to allow users in the wheel group to su without
# entering a passwd.
auth sufficient pam_wheel.so use_uid trust
|
À corriger, donc |
|
| Back to top |
|
|
Shibo
n00b
Joined: 18 Sep 2005
Posts: 15
|
| Posted: Fri Nov 24, 2006 3:01 pm Post subject: |
|
|
Un su sans password c'est peut-être pas une bonne idée comme dit plus haut... Mais rien n'empeche d'utiliser sudo sans mot de pass pour les users wheel. Là aussi il y a une ligne a decommenter.
| Code: |
# Fichier /etc/sudoers
# Ligne 47
%wheel ALL=(ALL) NOPASSWD: ALL
|
J'adore pas non plus cette solution mais vu que je suis feignant et que mon pass root est ... solide ... voilà ce que j'ai fait:
| Code: |
# En root
chmod 0777 /etc/sudoers
vim /etc/sudoers
# A la fin du fichier
monlogin ALL=(ALL) NOPASSWD: ALL
chmod 0440 /etc/sudoers
exit
sudo emerge -av portage et sa marche ^^ (par exemple)
|
Bon de toute facon c'est pas une bonne idée d'enlever la protection par mot de pass mais bon feignatise quand tu nous tiens :p
Maintenant penser bien a avoir un bon mot de pass pour votre session.
Note:
L'avantage de sudo c'est qu'il donne temporairement l'accès root.
Pour l'installer emerge sudo. |
|
| Back to top |
|
|
_droop_
l33t
Joined: 30 May 2004
Posts: 957
|
| Posted: Fri Nov 24, 2006 4:03 pm Post subject: |
|
|
Salut,
je ne vois pas trop la nuance entre avoir sudo sans mot de passe et su sans mot de passe sur le plan de la sécurité.
Au final les gens qui appartiennent à wheel peuvent faire les mêmes choses. |
|
| Back to top |
|
|
nico_calais
l33t
Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois
|
| Posted: Fri Nov 24, 2006 4:33 pm Post subject: |
|
|
| _droop_ wrote: | Salut,
je ne vois pas trop la nuance entre avoir sudo sans mot de passe et su sans mot de passe sur le plan de la sécurité.
Au final les gens qui appartiennent à wheel peuvent faire les mêmes choses. |
Avec sudo, tu peux n'autoriser qu'un certain nombre de commandes, avec ou sans mot de passe, avec système de temporisation si tu le souhaites. C'est bien plus parametrable. Avec sudo, soit tu t'en fous, et t'ouvres tout, soit t'es parano, et tu bloques au maximum mais le ou les utilisateurs pourront toujours utiliser la ou les commandes requierant les droits root.
Bon....Surtout, j'esperre que si vous supprimez le mot de passe root, vous n'avez un serveur ssh directement dispo du net 
_________________
"Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no |
|
| Back to top |
|
|
geekounet
Bodhisattva
Joined: 11 Oct 2004
Posts: 3772
|
| Posted: Fri Nov 24, 2006 8:06 pm Post subject: |
|
|
Bon perso, j'ai mis le su sans password sur mon laptop pour ne pas me prendre la tête comme de toute façon je suis le seul à y toucher.
Mais sur le serveur, j'ai bien laissé su et sudo avec password.
Et de toute façon, j'ai un pass user assez complexe pour ne pas être cassé avant qq mois d'essais ^^, le login ssh en root est désactivé sur toutes mes machines, et le ssh de mon serveur qui est accessible du net n'est pas sur le port standard (je l'ai changé ya qq mois et je n'ai plus eu une seule attaque, mon fail2ban ne sert plus à rien ^^). Avec tout ça, je ne pense pas courir trop de risques.  |
|
| Back to top |
|
|
synss
Apprentice
Joined: 08 Mar 2006
Posts: 282
Location: Dijon > Berlin > Tokyo > Nürnberg > München
|
| Posted: Fri Dec 29, 2006 6:45 am Post subject: |
|
|
Shibo: pour editer le sudoers, mieux vaut utiliser visudo plutot que changer les perm a la main, et 0660 est suffisant pour editer un fichier en root.
| /etc/sudoers: | | Defaults:%wheel !authenticate |
marche aussi, et !syslog, !logfile, !lecture n'est pas mal non plus.
Et j'ai aussi ajoute | /etc/conf.d/local.start: | # lock root on default runlevel
/usr/sbin/usermod -L root |
et | /etc/conf.d/local.stop: | # Unlock root for maintenance
/usr/sbin/usermod -U root |
et il ne reste qu'un seul compte sur mon portable (+ eventuellement le tres limite guest, quand je laisse mon ordi a qq1)
Avec sudo, sudo -s appelle un shell en root.
_________________
Compress portage tree
Elog viewer
Autodetect swap
Last edited by synss on Mon Jan 01, 2007 11:19 am; edited 1 time in total |
|
| Back to top |
|
|
Oupsman
Veteran
Joined: 19 Jul 2004
Posts: 1042
|
| Posted: Sat Dec 30, 2006 11:17 am Post subject: |
|
|
Si il y'a UNE erreur de syntaxe dans le fichier /etc/sudoers, l'ensemble des droits sudo devient invalide, pour tous les utilisateurs. Donc méfiance avec le vi /etc/sudoers. Il vaut mieux effectivement utiliser visudo qui fait une validation du fichier avant de le remplacer.
Dans mon taf, on utilise beaucoup sudo pour allouer des droits à différentes personnes chez le client. Il vaut mieux sudo qui permet de filtrer (exemple, n'executer la commande rmdev -dl que sur les cartes fiber channels installées sur le serveur).
_________________
--
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.
----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong." |
|
| Back to top |
|
|
|
French
