Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[TIPS] su sans mot de passe
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
naerex
Guru
Guru


Joined: 02 Apr 2005
Posts: 316
Location: Paris, France

PostPosted: Mon Sep 04, 2006 5:45 pm    Post subject: [TIPS] su sans mot de passe Reply with quote

Bonjour

Voici un tips bien sympa pour ceux qui ne veulent pas taper le mot de passe root, de plus il ne nécessite aucune installation.

ouvrir /etc/pam.d/su et décommenter cette ligne :
Code:

#auth       required     pam_wheel.so use_uid


A présent les membres du groupe wheel peuvent faire su sans entrer le mot de passe.
Ca marche même pour kde avec le bouton superutilisateur dans le centre de config !
Peut être aussi sous gnome (à confirmer)

Pour une utilisation perso de son ordi je trouve ça très pratique :D

Niveau sécu évidemment si votre mot de passe utilisateur est "toto" vous pouvez oublier cette méthode :wink:
Back to top
View user's profile Send private message
kopp
Advocate
Advocate


Joined: 09 Apr 2004
Posts: 2885
Location: Grenoble, France

PostPosted: Tue Sep 05, 2006 10:46 am    Post subject: Reply with quote

Je pense que même avec un mot de passe utilisateur compliqué, c'est moyen niveau sécurité, il suffit qu'un programme lancé en user soit vulnérable à un quelconque truc pourque quelqu'un l'exploite pour utiliser su et avoir un accès root sur la machine.
Bon là ça ressemble à de la parano mais pour des machines souvent connectées au net, c'est risqué.

Faut aussi se méfier des amis qui ont tendance à vouloir tripatouiller vos consoles quand vous tournez le dos ;)
Avec certain potes, je pars pas pisser sans fermer tous les terminaux et bloquer X ;)
Back to top
View user's profile Send private message
Darkael
Veteran
Veteran


Joined: 10 Aug 2004
Posts: 1321
Location: France

PostPosted: Tue Sep 05, 2006 9:17 pm    Post subject: Reply with quote

kopp wrote:
Je pense que même avec un mot de passe utilisateur compliqué, c'est moyen niveau sécurité, il suffit qu'un programme lancé en user soit vulnérable à un quelconque truc pourque quelqu'un l'exploite pour utiliser su et avoir un accès root sur la machine.
Bon là ça ressemble à de la parano mais pour des machines souvent connectées au net, c'est risqué.

En même temps, si c'est un compte qui est utilisé souvent pour passer en root, pour un attaquant éventuel le passage en root ne sera qu'une formalité, à moins d'avoir pris des mesures drastiques supplémentaires.

Et puis pour une utilisation perso (ce qui est la cible de cette astuce), à mon avis tes données personnelles sont quand même beaucoup plus sensibles que l'accès à ton système...
Back to top
View user's profile Send private message
titoucha
Advocate
Advocate


Joined: 21 Jul 2005
Posts: 2374
Location: Genève

PostPosted: Wed Sep 06, 2006 4:54 am    Post subject: Reply with quote

kopp wrote:

Faut aussi se méfier des amis qui ont tendance à vouloir tripatouiller vos consoles quand vous tournez le dos ;)
Avec certain potes, je pars pas pisser sans fermer tous les terminaux et bloquer X ;)



Sont sympas tes potes :lol:
Back to top
View user's profile Send private message
Darkael
Veteran
Veteran


Joined: 10 Aug 2004
Posts: 1321
Location: France

PostPosted: Tue Sep 12, 2006 8:15 am    Post subject: Reply with quote

Euh, ce n'est que maintenant que je vois ça: la ligne à décommenter n'est pas la bonne. C'est plutôt celle là:
Code:

# Uncomment this to allow users in the wheel group to su without
# entering a passwd.
auth       sufficient   pam_wheel.so use_uid trust

À corriger, donc :wink:
Back to top
View user's profile Send private message
Shibo
n00b
n00b


Joined: 18 Sep 2005
Posts: 15

PostPosted: Fri Nov 24, 2006 3:01 pm    Post subject: Reply with quote

Un su sans password c'est peut-être pas une bonne idée comme dit plus haut... Mais rien n'empeche d'utiliser sudo sans mot de pass pour les users wheel. Là aussi il y a une ligne a decommenter.

Code:

# Fichier /etc/sudoers
# Ligne 47

%wheel          ALL=(ALL)          NOPASSWD: ALL


J'adore pas non plus cette solution mais vu que je suis feignant et que mon pass root est ... solide ... voilà ce que j'ai fait:

Code:

# En root
chmod 0777 /etc/sudoers
vim /etc/sudoers

# A la fin du fichier
monlogin          ALL=(ALL)          NOPASSWD: ALL

chmod 0440 /etc/sudoers
exit

sudo emerge -av portage et sa marche ^^ (par exemple)


Bon de toute facon c'est pas une bonne idée d'enlever la protection par mot de pass mais bon feignatise quand tu nous tiens :p
Maintenant penser bien a avoir un bon mot de pass pour votre session.

Note:
L'avantage de sudo c'est qu'il donne temporairement l'accès root.
Pour l'installer emerge sudo.
Back to top
View user's profile Send private message
_droop_
l33t
l33t


Joined: 30 May 2004
Posts: 957

PostPosted: Fri Nov 24, 2006 4:03 pm    Post subject: Reply with quote

Salut,

je ne vois pas trop la nuance entre avoir sudo sans mot de passe et su sans mot de passe sur le plan de la sécurité.

Au final les gens qui appartiennent à wheel peuvent faire les mêmes choses.
Back to top
View user's profile Send private message
nico_calais
l33t
l33t


Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois

PostPosted: Fri Nov 24, 2006 4:33 pm    Post subject: Reply with quote

_droop_ wrote:
Salut,

je ne vois pas trop la nuance entre avoir sudo sans mot de passe et su sans mot de passe sur le plan de la sécurité.

Au final les gens qui appartiennent à wheel peuvent faire les mêmes choses.


Avec sudo, tu peux n'autoriser qu'un certain nombre de commandes, avec ou sans mot de passe, avec système de temporisation si tu le souhaites. C'est bien plus parametrable. Avec sudo, soit tu t'en fous, et t'ouvres tout, soit t'es parano, et tu bloques au maximum mais le ou les utilisateurs pourront toujours utiliser la ou les commandes requierant les droits root.


Bon....Surtout, j'esperre que si vous supprimez le mot de passe root, vous n'avez un serveur ssh directement dispo du net :roll:
_________________
"Unix IS user friendly... It's just selective about who its friends are." — Tollef Fog Heen tollef@add.no
Back to top
View user's profile Send private message
geekounet
Bodhisattva
Bodhisattva


Joined: 11 Oct 2004
Posts: 3772

PostPosted: Fri Nov 24, 2006 8:06 pm    Post subject: Reply with quote

Bon perso, j'ai mis le su sans password sur mon laptop pour ne pas me prendre la tête comme de toute façon je suis le seul à y toucher.
Mais sur le serveur, j'ai bien laissé su et sudo avec password.
Et de toute façon, j'ai un pass user assez complexe pour ne pas être cassé avant qq mois d'essais ^^, le login ssh en root est désactivé sur toutes mes machines, et le ssh de mon serveur qui est accessible du net n'est pas sur le port standard (je l'ai changé ya qq mois et je n'ai plus eu une seule attaque, mon fail2ban ne sert plus à rien ^^). Avec tout ça, je ne pense pas courir trop de risques. :)
Back to top
View user's profile Send private message
synss
Apprentice
Apprentice


Joined: 08 Mar 2006
Posts: 282
Location: Dijon > Berlin > Tokyo > Nürnberg > München

PostPosted: Fri Dec 29, 2006 6:45 am    Post subject: Reply with quote

Shibo: pour editer le sudoers, mieux vaut utiliser visudo plutot que changer les perm a la main, et 0660 est suffisant pour editer un fichier en root.
/etc/sudoers:
Defaults:%wheel     !authenticate
marche aussi, et !syslog, !logfile, !lecture n'est pas mal non plus.

Et j'ai aussi ajoute
/etc/conf.d/local.start:
# lock root on default runlevel
/usr/sbin/usermod -L root
et
/etc/conf.d/local.stop:
# Unlock root for maintenance
/usr/sbin/usermod -U root
et il ne reste qu'un seul compte sur mon portable (+ eventuellement le tres limite guest, quand je laisse mon ordi a qq1)

Avec sudo, sudo -s appelle un shell en root.
_________________
Compress portage tree
Elog viewer
Autodetect swap


Last edited by synss on Mon Jan 01, 2007 11:19 am; edited 1 time in total
Back to top
View user's profile Send private message
Oupsman
Veteran
Veteran


Joined: 19 Jul 2004
Posts: 1042

PostPosted: Sat Dec 30, 2006 11:17 am    Post subject: Reply with quote

Si il y'a UNE erreur de syntaxe dans le fichier /etc/sudoers, l'ensemble des droits sudo devient invalide, pour tous les utilisateurs. Donc méfiance avec le vi /etc/sudoers. Il vaut mieux effectivement utiliser visudo qui fait une validation du fichier avant de le remplacer.

Dans mon taf, on utilise beaucoup sudo pour allouer des droits à différentes personnes chez le client. Il vaut mieux sudo qui permet de filtrer (exemple, n'executer la commande rmdev -dl que sur les cartes fiber channels installées sur le serveur).
_________________
--
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.

----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong."
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum