sudo et saisir mot de passe root

G-Dial · Le 31/08/2014, à 01:57

Salut à tous!
Je voudrais savoir s'il existe un moyen de faire en sorte d'obliger un utilisateur à taper le mot de passe root au lieu de son mot de passe personnel quand il utilise sudo.
Je suis un peu parano, je me dis que si un utilisateur se fait voler son mot de passe personnel, le voleur aura l’équivalent du compte root. Donc si l'utilisateur doit exécuter des taches administratives, qu'il tape le mot de passe root, ça fait un niveau de sécurité supplémentaire.
Merci pour l’écoute.

pires57 · Le 31/08/2014, à 02:27

Sa fait aucun niveau de sécurité supplémentaire! Le seul truc que sa peut faire c'est le bordel dans ton système! Mais de toute façon root est inutilisables par defaut

fruitsecrases · Le 31/08/2014, à 08:58

Salut G-Dial, si tu es dans l'obligation de faire comme cela tu peux faire des mots de passe Root "jetables". Le jour où tu as un utilisateur qui doit faire des taches administratives tu vas changer ton mot de passe Root et tu en crées donc un nouveau. Tu donnes ce nouveau à cet utilisateur, et le lendemain (ou dès qu'il a fini), tu retournes changer ton mot de passe root pour remettre l'ancien, que personne ne connaît à part toi.

Mais je ne sais pas si cela va t'être utile ce que je dis, je n'ai malheureusement pas de connaissances dans la gestion des comptes utilisateurs.

jplemoine · Le 31/08/2014, à 09:15

Information :

Le premier utilisateur créé à l'installation a droit au sudo. (il vaut mieux ne pas le changer)
Les utilisateurs créés ensuite n'ont pas, par défaut, accès au sudo....
--> donc, il suffit de ne pas le leur donner.

G-Dial · Le 31/08/2014, à 10:38

Merci pour vos réponses.
@pires57: A bon, aucun? Mais tu peux m'expliquer techniquement comment ce "bordel" va arriver?
@fruitsecrases: Les taches administratives sont fréquentes. Ce n'est pas très pratique de changer constamment de mot de passe (de temps en temps, d'accord).
@jplemoine: Le premier utilisateur c'est moi, et le compte root est activé et utilisable (su). Je veux faire parti de la règle que je souhaite mettre en place.
Pour les taches administratives, soit passer en root, soit faire sudo et entrer le mot de passe root. C'est possible?

Dernière modification par G-Dial (Le 31/08/2014, à 10:41)

fruitsecrases · Le 31/08/2014, à 14:39

Hum, alors j'ai compris, comme ça va être fréquent, tu peux aussi ne pas donner ton mot de passe Root aux autres utilisateurs mais leurs permettre de faire les taches administratives fréquentes en précisant à Ubuntu que pour ton utilisateur appelé "Rudolf" il pourra faire un :

gksudo nautilus

Sans que Ubuntu lui demande le mot de passe Root ! (voir les explications ici : http://doc.ubuntu-fr.org/sudoers )

En fait si tu leurs fais faire des tâches qui sont toujours les mêmes mais qui demandent les droits Root, ce sera parfait pour toi, car en indiquant à Ubuntu que Rudolf pourra faire quand il veut son "gksudo nautilus" sans que ubuntu ne lui demande de mot de passe, alors le mot de passe Root ne sera connu que de toi et Rudolf ne pourra faire que la tâche administrative "gksudo nautilus" sans mot de passe et aucune autre... à plus.

Dernière modification par fruitsecrases (Le 31/08/2014, à 14:40)

jplemoine · Le 31/08/2014, à 15:41

Il y a d'autres solutions que de modifier à la main un fichier système ( /etc/sudoers)...
Parce que là, une erreur et boum ! plus de système.
Je pense notamment aux SUID et/ou GUID (mais je peux me tromper).

G-Dial a écrit :

@jplemoine: Le premier utilisateur c'est moi, et le compte root est activé et utilisable (su).

C'est le comportement par défaut ? Ou tu as fait des modifications ? (dans ce dernier cas, j'espère que tu as fait des sauvegardes pour "revenir en arrière").
Sinon, il y a aussi des solutions de type pam_usb : tu crées une clé (je ne sais pas si on peut en avoir plusieurs) USB qui permet de se connecter root sans mot de passe mais qui demande le mot de passe s'il n'y a pas la clé branchée. Comme ça, tu donnes (enfin prêté) la clé mais pas le mot de passe.
NB : une copie de la clé ne suffit pas pour se connecter.

Dernière modification par jplemoine (Le 31/08/2014, à 15:43)

pires57 · Le 31/08/2014, à 18:30

Parce que là, une erreur et boum ! plus de système.

voilà pourquoi c'est dangereux de permettre à tout le monde d'être root.
je n'ai pas trop le temps de détailler pour le moment mais ce qu'il faut que tu comprennes c'est que Linux fonctionne d'une manière qui permets de protéger à la fois les utilisateurs et le système (en effet, avoir les droits root signifie aussi avoir la mains sur : les fichiers de conf, les fichiers de logs .... les sessions des autres utilisateurs ainsi que la totalité de leurs docs ...

G-Dial · Le 31/08/2014, à 23:22

Ok, donc je vois que je dois abandonner mon idée initiale. Bref, les autres utilisateurs sont des admins avertis et n'ont aucun intérêt à créer "le bordel".
Par contre, l'idée de jplemoine m'a l'air d'être une bonne alternative, je vais creuser un peu dans ce sens.
Merci à tous pour vos contributions.

jplemoine · Le 01/09/2014, à 00:15

G-Dial a écrit :

Par contre, l'idée de jplemoine m'a l'air d'être une bonne alternative, je vais creuser un peu dans ce sens.

L'idée du pam-usb ?

G-Dial · Le 01/09/2014, à 00:28

Oui, mais je doute si ça peut marcher dans le cas des machines distantes...

jplemoine · Le 01/09/2014, à 00:39

si l'accès se fait pas ssh, c'est possible (mais c'est plus pam-usb mais plus un échange de clé)
si l'accès se fait par méthode graphique (vino par exemple), je ne sais pas faire...

G-Dial · Le 01/09/2014, à 00:56

Oui mais l’échange de clé c'est pour la connexion et ça s’arrête là. Si après on veut administrer, il faut les droits élevés.
Et dans mon cas, pas de graphique pour l’accès distant.

tiramiseb · Le 01/09/2014, à 08:09

Salut,

Donner le mot de passe root (donc le même) à tous les utilisateurs pour qu'il n'y ait pas de risque au cas où ils se font voler leur mot de passe personnel ?

Dans ce cas, l'éventuel pirate va plutôt rechercher à acquérir directement le mot de passe root (connu par tout le monde) au lieu du mot de passe utilisateur (connu par une seule personne). À ton avis, c'est quoi le plus facile à faire entre les deux ?

Tu devrais plutôt mettre en place une politique de mots de passe assez sûre (mots de passe compliqués à deviner mais faciles à retenir).

Enfin, avec ton dernier message tu mets le doute dans mon esprit : tu parles de sessions locales (les gens ont le droit d'admin chez eux) ou alors de session distante (les gens accèdent à un serveur pour l'administrer) ? Car la logique de sécurisation est complètement différente selon les cas...

En l'occurrence, s'il s'agit de permettre à des gens d'aller administrer des serveurs à distance, la meilleure solution à mon avis est l'authentification directement en tant que root par clés SSH : sur le serveur, ni compte utilisateur ni mot de passe pour root...

G-Dial · Le 01/09/2014, à 10:15

Bonjour tiramiseb

tiramiseb a écrit :

Dans ce cas, l'éventuel pirate va plutôt rechercher à acquérir directement le mot de passe root

Le login en tant que root est désactivé, donc pas de risques à ce niveau.

tiramiseb a écrit :

Tu devrais plutôt mettre en place une politique de mots de passe assez sûre

Ca, c'est fait; des mots de passe alphanumériques où les les chiffres représentent des lettres.

tiramiseb a écrit :

Enfin, avec ton dernier message tu mets le doute dans mon esprit

Il s'agit en fait d'un serveur dédié, donc en réalité il n ya que la session distante qui soit possible.

tiramiseb a écrit :

la meilleure solution à mon avis est l'authentification directement en tant que root

On veut quand même avoir des traces de qui s'est loggé et quand (lastlog), ta solution ne permettra pas cela.

tiramiseb · Le 01/09/2014, à 10:31

Le login en tant que root est désactivé, donc pas de risques à ce niveau.

Bah il "suffira" au pirate d'avoir le mot de passe d'un utilisateur (ce qui semble être facile selon tes propos) ainsi que le mot de passe de root, connu par tous les utilisateurs (donc très risqué et peu sécurisé).

On veut quand même avoir des traces de qui s'est loggé et quand (lastlog), ta solution ne permettra pas cela.

Si, tu mets le LogLevel de SSH en "VERBOSE", ça enregistrera le fingerprint de la clé utilisée pour se connecter.

Ce n'est pas aussi facile, mais la sécurité implique parfois un peu moins de facilité. Menfin un petit script résout ce "problème" rapidement.

C'est bien mieux que d'avoir un mot de passe identique pour tout le monde...

G-Dial · Le 01/09/2014, à 11:40

Bon, il est clair quand même que le pirate ne nous connaîtra pas personnellement donc pour voler un mot de passe il va lui falloir utiliser des techniques du genre brute force. Il y a Fail2ban pour éviter ça mais bon, on peut pas bannir une Ip trop longtemps sinon on de priver certains visiteurs de nos services.
Par contre, tiramiseb, je vais me renseigner sur tes astuces et voir si ça me convient.

tiramiseb · Le 01/09/2014, à 11:43

il est clair quand même que le pirate ne nous connaîtra pas personnellement

Ah bon ? Pourtant la majorité des "piratages" proviennent de l'intérieur...

pour voler un mot de passe il va lui falloir utiliser des techniques du genre brute force

L'ingénierie sociale est souvent bien plus efficace.

G-Dial · Le 01/09/2014, à 11:50

Dans notre cas il n y a aucune raison pour que le piratage vienne de l’intérieur
L'ingénierie sociale... pff moi je pense qu'il faut juste faire attention c'est tout.

tiramiseb · Le 01/09/2014, à 12:01

moi je pense qu'il faut juste faire attention c'est tout

Et la majorité des gens ne font pas attention. Après, ça dépend des personnes visées, etc.
Ne sachant pas du tout quelle est la population que tu vises, je ne peux pas imaginer le risque pris (ou pas).

Menfin même avec des cadors, un mot de passe root partagé c'est n'importe quoi.

G-Dial · Le 01/09/2014, à 12:18

D'accord tiramiseb, j'ai compris mais comprend aussi que le mot de passe root est partagé avec des utilisateurs qui ont les même droits que moi sur la machine elle même.

tiramiseb · Le 01/09/2014, à 13:33

le mot de passe root est partagé avec des utilisateurs qui ont les même droits que moi sur la machine elle même

Oh mais ce n'est pas ça le problème. Le problème c'est plutôt quand un des utilisateurs s'en va. Ou quand un nouveau arrive. Ou quand il y a un passage occasionnel de quelqu'un d'autre. Enfin ce genre de situations "non habituelles"...

G-Dial · Le 01/09/2014, à 15:20

Mais ça c'est très simple; supprimer le compte du partant, changer le mot de passe root et changer éventuellement le port SSH.
Bref moi, ce que je voulais à la base c'est 2 niveaux de sécurité, pour tout le monde.

tiramiseb · Le 01/09/2014, à 15:24

Changer le mot de passe root, tout le monde doit alors le réapprendre.
Le port ssh, je suis contre sa modification. menfin bon, si tu veux le changer, ça fait encore un autre truc à mémoriser pour les autres.

On faisait ça comme ça, chez l'un de mes employeurs, en 2002-2003.
On était 4 pour gérer quelques centaines de machines, c'était assez pénible de changer tous les mots de passe à chaque départ.
Bon ok, tu n'as qu'une seule machine, mais ce n'est pas une raison pour ne pas faire quelque chose d'efficace.

Avec les clés SSH, il faut juste supprimer la clé publique de l'utilisateur en question sur le serveur.

G-Dial · Le 01/09/2014, à 15:32

Donc si je comprend bien, tu me conseilles la solution des clés SSH pour se logger directement en root?

Dernière modification par G-Dial (Le 01/09/2014, à 15:37)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 31/08/2014, à 01:57

sudo et saisir mot de passe root

#2 Le 31/08/2014, à 02:27

Re : sudo et saisir mot de passe root

#3 Le 31/08/2014, à 08:58

Re : sudo et saisir mot de passe root

#4 Le 31/08/2014, à 09:15

Re : sudo et saisir mot de passe root

#5 Le 31/08/2014, à 10:38

Re : sudo et saisir mot de passe root

#6 Le 31/08/2014, à 14:39

Re : sudo et saisir mot de passe root

#7 Le 31/08/2014, à 15:41

Re : sudo et saisir mot de passe root

#8 Le 31/08/2014, à 18:30

Re : sudo et saisir mot de passe root

#9 Le 31/08/2014, à 23:22

Re : sudo et saisir mot de passe root

#10 Le 01/09/2014, à 00:15

Re : sudo et saisir mot de passe root

#11 Le 01/09/2014, à 00:28

Re : sudo et saisir mot de passe root

#12 Le 01/09/2014, à 00:39

Re : sudo et saisir mot de passe root

#13 Le 01/09/2014, à 00:56

Re : sudo et saisir mot de passe root

#14 Le 01/09/2014, à 08:09

Re : sudo et saisir mot de passe root

#15 Le 01/09/2014, à 10:15

Re : sudo et saisir mot de passe root

#16 Le 01/09/2014, à 10:31

Re : sudo et saisir mot de passe root

#17 Le 01/09/2014, à 11:40

Re : sudo et saisir mot de passe root

#18 Le 01/09/2014, à 11:43

Re : sudo et saisir mot de passe root

#19 Le 01/09/2014, à 11:50

Re : sudo et saisir mot de passe root

#20 Le 01/09/2014, à 12:01

Re : sudo et saisir mot de passe root

#21 Le 01/09/2014, à 12:18

Re : sudo et saisir mot de passe root

#22 Le 01/09/2014, à 13:33

Re : sudo et saisir mot de passe root

#23 Le 01/09/2014, à 15:20

Re : sudo et saisir mot de passe root

#24 Le 01/09/2014, à 15:24

Re : sudo et saisir mot de passe root

#25 Le 01/09/2014, à 15:32

Re : sudo et saisir mot de passe root

Pied de page des forums