Sudo en entreprise

luc30 · Le 01/10/2009, à 17:43

J'ai témoigné il y a peu d'une installation en entreprise

J'avais à ce sujet une question à posé au gens qui comme moi ont installé de l'Ubuntu en entreprise

Il s'agit du principe de Sudo.

Quand on crée un poste pour soi et que l'on est le principal utilisateur qui intervient souvent en sudo pour tester essayer ou apprendre je trouve le principe du sudo excellent puisque cela évite d'avoir une machine qui reste bêtement en root pendant longtemps.

Par contre quand on crée une machine Ubuntu pour un user dans une entreprise il y a un risque potentiel de tomber sur l'user un peu bidouilleur qui peu vite comprendre qu'en tapant sudo devant les commande on devient administrateur le temps de cette commande avec son simple mot de passe user

Alors il reste la solution de créer un vrai compte administrateur pour empêcher du coups l'user simple de faire n'importe quoi. On retombe alors dans le travers du mot de passe administrateur

C'est une réflexion que je viens d'avoir et je n'ai pas testé encore mais avez vous fait autrement ou avez vous trouvé d'autre solution

SkeRoy · Le 01/10/2009, à 17:57

Il n'y a que le premier utilisateur créé qui a les droits sudo. L'utilisateur de l'entreprise peut être un autre utilisateur, créé par la suite, qui n'a aucun droit.

Mais du coup, le premier utilisateur est un peu un root. Je ne vois pas où est ton problème à créer un vrai root et aucun sudoer ?

AlexandreP · Le 01/10/2009, à 21:42

sudo peut être paramétré finement. On peut attribuer l'autorisation d'utiliser sudo pour certains comptes d'utilisateurs, définir lesquels peuvent l'utiliser. Si on ne veut pas que le compte créé à l'installation puisse utiliser sudo, il suffit de lui retirer ce droit et l'attribuer à un autre compte.

Un avantage de sudo versus le compte root est qu'il est possible d'ajouter d'autoriser dynamiquement des comptes d'utilisateurs à l'exécuter. Un nouvel administrateur arrive à la boîte ? on l'ajoute au groupe des administrateurs, et hop! il se sert de son propre compte pour effectuer des tâches administratives. Un administrateur quitte la boîte ou se fait virer ? hop! on le retire du groupe des administrateurs, voire on supprime son compte, et cette personne ne peut plus faire de tâches administratives. Jamais le compte root n'est mis en danger, jamais il n'est nécessaire de faire passer un mémo à tous les administrateurs que le mot e passe vient d'être changé.

Un autre avantage est la journalisation des actions effectuées avec sudo. La sécurité du réseau de l'entreprise vient d'être fragilisée ? il est possible de lire le journal des évènements effectués avec sudo pour retrouver les dernières actions effectuées, et par quels utilisateurs.

luc30 · Le 03/10/2009, à 08:16

Bonjour et merci pour vos réponses

Je note bien qu'à paritr du second utilisateur celui ci n'a pas d'accès au Root. Je ne le savais pas

Je suis d'accord avec vous mais vous parler pour des entreprises assez importante pour avoir au moins un administrateur au sein de l'entreprise

Dans mon cas je ne suis qu'un prestataire pour cette agence. Il sont trop petit pour avoir un informaticien à demeure. Créer un compte utilisateur "non sudo" et me réserver un compte administrateur pour chaque poste les obligerais à m'appeler pour la moindre modification et cela ne serait d'ailleurs pas l'égal.

J'ai donc choisi par défaut que l'utilisateur du poste ait les droits sudo avec les risques que cela comporte.

Par contre j'avoue que je n'ai pas eu le temps d'approfondir la gestion des autorisations plus finement.

Peut-on permettre facilement à un utilisateur "non sudo" par exemple: d'installer un programme mais pas de modifier la configuration réseau ou autre exemple d'avoir accès au préférence mais pas au menu administration.

AlexandreP · Le 03/10/2009, à 23:30

sudo n'est pas le compte root : c'est seulement un outil qui permet d'exécuter une commande comme si elle avait été exécutée par le compte root. En ça, c'est intéressant au sein d'une entreprise : même si la compagnie est trop petite pour employer un administrateur de réseau, elle peut quand même se désigner des personnes responsables avec des droits privilégiés (ex : le directeur de la compagnie, des responsables de services, etc.). Si le compte root n'est jamais attribué à une personne physique au sein de l'entreprise, il peut y avoir des changements de personnel dans l'entreprise (changement de directeur, de responsables, d'employés privilégiés, etc.) sans que la sécurité soit mise en danger. Il suffit d'accorder ou retirer à la volée des droits.

Comme je l'ai dit, sudo peut être paramétré finement. Il ne sert pas qu'à autoriser l'exécution par le compte root de *toutes* les actions. sudo peut être paramétrer pour autoriser l'exécution de certaines actions seulement et pour certains comptes ou groupes d'utilisateurs seulement.

Jetons un coup d'oeil à une petite section du fichier /etc/sudoers. (~$ sudo visudo)

[...]
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

Par défaut, dans Ubuntu, un groupe d'utilisateurs admins est créé, et le premier compte d'utilisateur est intégré à ce groupe. Les membres de ce groupe peuvent faire exécuter par root toutes les tâches qu'ils veulent.

Est-il possible d'autoriser l'exécution de seulement certaines tâches à travers sudo ? oui. Par exemple, si on veut qu'un groupe d'utilisateurs installateurs puissent exécuter des tâches d'installation de logiciels :

%installateurs ALL=(ALL) /usr/bin/apt-get,/usr/bin/synaptic

Hop! Les membres du groupe installateurs peuvent installer des logiciels avec Synaptic et apt-get, mais ne peuvent pas exécuter d'autres tâches.

Fais quelques recherches documentaires à propos de l'outil sudo, c'est vraiment très puissant... et ça ne sert pas qu'à donner des droits pour exécuter toutes les tâches.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 01/10/2009, à 17:43

Sudo en entreprise

#2 Le 01/10/2009, à 17:57

Re : Sudo en entreprise

#3 Le 01/10/2009, à 21:42

Re : Sudo en entreprise

#4 Le 03/10/2009, à 08:16

Re : Sudo en entreprise

#5 Le 03/10/2009, à 23:30

Re : Sudo en entreprise

Pied de page des forums