Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 11/09/2014, à 11:34

LaurentR2D2

Désinstaller sudo

Bonjour,

Je souhaite désinstaller sudo de mon serveur. La commande de désinstallation veut supprimer également ubuntu-minimal. Hors, je lis dans la description de ce paquet qu'il ne doit pas être supprimé. Que dois-je donc faire ? Me contenter de désactiver sudo en commentant les lignes du fichier sudoers et en renommant éventuellement le binaire ? Je veux faire ça, parce que j'ai lu, et ça me semble logique, qu'il était plus sûr d'avoir un mot de passe root spécifique sur un serveur, car avec sudo, un attaquant  pourra facilement prendre la main sur la machine.

Hors ligne

#2 Le 11/09/2014, à 11:52

tiramiseb

Re : Désinstaller sudo

Salut,

sudo ou non, la problématique est la même : il faut que ton mot de passe soit sûr.
Que tu mettes un mot de passe faible sur le compte root ou sur un compte d'utilisateur, le problème de sécurité restera le même.
Désactiver sudo n'est pas forcément nécessaire : mets plutôt un mot de passe solide sur ton compte utilisateur.

sudo fait partie intégrante de la "logique Ubuntu" et je ne suis pas sûr qu'il est possible de le supprimer sans risquer de causer des soucis au système...

Hors ligne

#3 Le 11/09/2014, à 11:53

jplemoine

Re : Désinstaller sudo

Je pense (mais je peux me tromper) que justement c'est l'inverse....
Dans un cas, tu as déjà l'utilisateur (root) et il suffit d'avoir le mot de passe.
Dans l'autre cas (sudo), il faut te connecter pour pouvoir faire un sudo : il te faut donc trouver et l'utilisateur, et le mot de passe.
Ce que tu peux faire et mettre un logiciel comme fail2ban pour éviter les attaques de type brut-force et/ou de dictionnaire.
A confirmer ou infirmer par des spécialistes des serveurs.


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

En ligne

#4 Le 11/09/2014, à 11:54

tiramiseb

Re : Désinstaller sudo

jplemoine: boarf, tant que le mot de passe est sécurisé, savoir que l'utilisateur s'appelle "root" n'apporte pas grand chose smile

Par contre, ce qui est très bien pour un serveur auquel on accède à distance, c'est désactiver totalement les mots de passe et n'avoir que de l'authentification par clé SSH.
C'est ce que je fais, directement sur l'utilisateur root.

Hors ligne

#5 Le 11/09/2014, à 12:05

jplemoine

Re : Désinstaller sudo

Merci pour ces éclaircissement, nos posts #2 et #3 se sont croisés... Sinon, je t'aurais gérer la discussion.
C'est vrai que tu as déjà préconisé la solution des clés SSH en lieu et place du mot de passe.


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

En ligne

#6 Le 11/09/2014, à 12:17

LaurentR2D2

Re : Désinstaller sudo

jplemoine a écrit :

Je pense (mais je peux me tromper) que justement c'est l'inverse....
Dans un cas, tu as déjà l'utilisateur (root) et il suffit d'avoir le mot de passe.
Dans l'autre cas (sudo), il faut te connecter pour pouvoir faire un sudo : il te faut donc trouver et l'utilisateur, et le mot de passe.
Ce que tu peux faire et mettre un logiciel comme fail2ban pour éviter les attaques de type brut-force et/ou de dictionnaire.
A confirmer ou infirmer par des spécialistes des serveurs.

Connaître le mot de passe root ne suffira pas, car j'ai désactivé l'accès root dans le fichier de configuration ssh. Il faut donc obligatoirement que je me connecte  en tant qu'utilisateur pour pouvoir me connecter en tant que root, donc obligation de connaître deux mots de passe.

Hors ligne

#7 Le 11/09/2014, à 12:33

ssdg

Re : Désinstaller sudo

J'aimerai bien voir l'explication du c'est plus sur. Parceque perso, je n'arrive pas à voir la logique.


s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

Hors ligne

#8 Le 11/09/2014, à 12:40

tiramiseb

Re : Désinstaller sudo

l faut donc obligatoirement que je me connecte  en tant qu'utilisateur pour pouvoir me connecter en tant que root, donc obligation de connaître deux mots de passe.

Ce qui n'assure pas une vraie sécurité, car on n'est encore une fois pas sûr de chacun des deux mots de passe.

Un seul mot de passe réellement sûr est mieux que deux mots de passe à peu près sûrs tongue

Réactive la connexion root dans SSH, mets une clé SSH et désactive complètement le mot de passe root. Là tu auras quelque chose de très simple à utiliser et très sécurisé.

Hors ligne

#9 Le 15/09/2014, à 11:13

mazarini

Re : Désinstaller sudo

Bonjour,

On peut supprimer les utilisateurs du groupe "sudoers" (orthographe approximative) dans le fichier /etc/group
Il est également possible de supprimer l’autorisation de lancer des commandes en temps que root aux membre du groupe sudoers dans le paramétrage de sudo.

Autrement tiramiseb a raison. J'ajouterai que l'on peut éventuellement aussi voir la commande  sudo comme une protection contre ses propres erreurs en faisant plus clairement la différence  entre les commandes "utilisateur" et "root" suivant que l'on met sudo ou pas devant.


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne

#10 Le 15/09/2014, à 11:38

Haleth

Re : Désinstaller sudo

"Chercher une clef RSA (512 char)" n'est pas beaucoup moins secure que "checher une clef RSA (512 char) et chercher le login qui va avec (6 char en moyenne)"


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#11 Le 15/09/2014, à 21:53

ssdg

Re : Désinstaller sudo

Si le login n'est pas publié quelque part (par exemple: ici lors d'un copier coller ou dans le nom de l'utilisateur).C'est quand même 191102976 fois plus long. (en imaginant que des minuscules)

Il est vrai que le login n'est proabablement pas totalement aléatoire aussi il doit être possible de passer par une attaque par dico... Mais même si le mec y arrive au deuxieme essais. c'est toujours ça de pris wink


s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

Hors ligne

#12 Le 16/09/2014, à 09:52

tiramiseb

Re : Désinstaller sudo

On peut supprimer les utilisateurs du groupe "sudoers" (orthographe approximative) dans le fichier /etc/group

En utilisant les commandes adéquates (deluser ou usermod), c'est plus propre que d'éditer directement /etc/group (même si, dans la plupart des cas, le résultat est équivalent).

Il est également possible de supprimer l’autorisation de lancer des commandes en temps que root aux membre du groupe sudoers dans le paramétrage de sudo.

Oui, mieux, de créer des autorisations spécifiques à tel ou tel utilisateur ou tel ou tel groupe. Le groupe "sudoers" n'est qu'une convention sur Ubuntu...

J'ajouterai que l'on peut éventuellement aussi voir la commande  sudo comme une protection contre ses propres erreurs

Oui, pour moi c'est bien là l'esprit de la façon dont on utilise sudo sur Ubuntu.

Hors ligne

#13 Le 16/09/2014, à 19:46

mazarini

Re : Désinstaller sudo

Merci tiramiseb, toujours des infos intéressantes pour les bricoleurs comme moi.


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne