#26 Le 19/12/2018, à 11:11
- Christophe C
Re : à propos de admin:///
ils exécutent directement des opérations de bas niveau, sans passer par un shell caché.
Je ne sais pas pourquoi tu parles de ce point (qui n'a pas été abordé ci-dessus), mais cela dépend des cas. Pas mal de logiciels font des appels au shell, tout simplement parce qu'il est plus simple d’interagir avec le système en en utilisant les options que tout recoder. Polkit permet effectivement de s'en passer (dans quelle mesure exacte, je ne sais pas, mais c'est conçu pour).
Enfin cela ne change rien : lancer un logiciel quelconque en root (et là je ne parle pas de polkit) implique que ce qu'il modifie passe en root. Parfois c'est voulu (genre sudo nano fstab), et parfois pas.
il n'y a pas de règle absolue à ce sujet.
Si : ne jamais lancer une commande en root si ce n'est pas obligatoire, et utiliser sinon des options de protection du compte utilisateur : gksudo, sudo -H, pkexec (qui ne lance pas en root mais permet d'avoir des résultats simillaires) ...
Ça peut dépendre des circonstances, mais si on accepte pas cette "règle absolue", on court aux problèmes. Ca marche un certain temps ... mais pas éternellement.
Dernière modification par Christophe C (Le 19/12/2018, à 11:13)
BountySource - Faite un petit don, ponctuel ou récurent, pour soutenir le développement de XFCE.
Timeshift - Sécurité : pensez à paramétrer des points de restauration système.
Euclide : « Ce qui est affirmé sans preuve peut être nié sans preuve ».
Hors ligne
#27 Le 19/12/2018, à 11:31
- krodelabestiole
Re : à propos de admin:///
cela dépend des cas.
certes, tu as d'ailleurs tronqué ma citation de "la plupart du temps".
Je ne sais pas pourquoi tu parles de ce point (qui n'a pas été abordé ci-dessus).
effectivement je confonds avec cette autre conversation : https://forum.ubuntu-fr.org/viewtopic.p … #p22022905
pour ma défense il y a 3 conversations sur le même sujet en ce moment.
krodelabestiole a écrit :il n'y a pas de règle absolue à ce sujet.
Si : ne jamais lancer une commande en root si ce n'est pas obligatoire
oui mais c'est pas du tout de ça que je parle mais de savoir si une application écrit ou pas dans le home de l'utilisateur courant selon qu'elle utilise une interface graphique ou pas.
nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents
Hors ligne
#28 Le 19/12/2018, à 14:19
- Christophe C
Re : à propos de admin:///
ok 
BountySource - Faite un petit don, ponctuel ou récurent, pour soutenir le développement de XFCE.
Timeshift - Sécurité : pensez à paramétrer des points de restauration système.
Euclide : « Ce qui est affirmé sans preuve peut être nié sans preuve ».
Hors ligne
#29 Le 19/12/2018, à 17:28
- ar barzh paour
Re : à propos de admin:///
si ça vous intéresse , j'avais créé une discussion un peu sur le même sujet
en gros le but :
copier le fichier /media/xxxx/xxx/xxxx/trad dans /usr/local/bin/ en utilisant nautilus admin:///
https://forum.ubuntu-fr.org/viewtopic.p … #p22023439
impossible avec nautilus admin:/// ou alors la solution serait bien-venue
Dernière modification par ar barzh paour (Le 19/12/2018, à 17:28)
PC : B760M DS3H DDR4, 12th Gen Intel(R) Core(TM) i3-12100, RAM DDR4 8GiB -2400 Ubuntu 22.04, 22.04, 23.04
Portable1 : Intel(R) Core(TM)2 Duo CPU T6570 @ 2.10GHz RAM 4GiB DDR2 667 MHz Ubuntu 23.04 ( en voyage )
Portable2 : T5750 @ 2.00GHz RAM 1GiB DDR2 667 Mhz Ubuntu 20.04 ( batterie HS )
stourm a ran war bep tachenn (Angela Duval) ( Je combats sur tous les fronts )
Hors ligne
#30 Le 19/12/2018, à 22:10
- diesel
Re : à propos de admin:///
diesel83140 a écrit :Comme quoi, finalement, mon intervention n'était peut-être pas si con que ça
Cela a permis de creuser le sujet, disons, mais ce que tu disais n'en était pas moins risqué. Une appli en mode texte n'écrit pas ou très peu, dans le compte user, donc pas (ou très peu) de risque. Une appli graphique a (presque) forcément un fichier de conf dans ton compte USER, donc le risque est sans commune mesure. J'utilise souvent sudo mousepad, car je sais qu'il n'écrit pas dans son fichier de conf pendant une opération d'édition (genre ouvrir le fstab). Ok, j'ai testé ce cas, et cela fonctionne. En réalité cela marche dans la majorité des cas (un prog, même graphique, ne passe pas son temps à bidouiller ses fichiers de conf). C'est juste que c'est un peu la roulette russe.
Bon, en résumé : sudo + appli pas graphique ; sudo -H + appli graphique
(ou pkexec, mais c'est plus restreint, car il faut que le logiciel soit conçu pour utiliser polycikit / polkit).
Je suis entièrement d'accord avec toi et je reconnais que j'ai volontairement utilisé une formulation "un peu" provocatrice pour faire réagir. Et ça a marché 
. Et finalement, ça a permis d'aller au fond des choses.
Dans le temps (j'ai commencé à travailler sur des UNIX au début des années 80), quand on voulait réaliser une action d'administration qui réclamait les droits root, et bien, on se loguait sous root et on faisait ce qu'il y avait à faire, puis on se déloguait et on revenait sous son compte user. Pas de mélange des genres.
Maintenant, il est "passé de mode" de se loguer root (c'est même quasi impossible avec ubuntu) et tout le monde utilise la commande sudo sans se rendre compte qu'il risque d'y avoir des effets de bord parce qu'on n'est pas complètement root quand on fait ça.
Et je ne vois pas ce que l'option -H de sudo résout comme problème pour les applications graphiques : [EDIT] Là , j'ai perdu une bonne occasion de me taire (voir le post suivant). [/EDIT]
-H, --set-home
Request that the security policy set the HOME environment variable to the home directory specified by the target user's password database entry. Depending on the policy, this may be the
default behavior.La preuve :
jean-marie@jean-marie:~$ echo $HOME
/home/jean-marie
jean-marie@jean-marie:~$ sudo echo $HOME
[sudo] Mot de passe de jean-marie :
/home/jean-marie
jean-marie@jean-marie:~$ sudo -H echo $HOME
/home/jean-marie
jean-marie@jean-marie:~$Amicalement.
Jean-Marie
Dernière modification par diesel (Le 20/12/2018, à 08:30)
Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.
Hors ligne
#31 Le 19/12/2018, à 22:51
- melixgaro
Re : à propos de admin:///
La preuve :
jean-marie@jean-marie:~$ echo $HOME /home/jean-marie jean-marie@jean-marie:~$ sudo echo $HOME [sudo] Mot de passe de jean-marie : /home/jean-marie jean-marie@jean-marie:~$ sudo -H echo $HOME /home/jean-marie jean-marie@jean-marie:~$
Ça ne prouve pas du tout ce que tu avances. Dans tous tes exemples, la variable $HOME est évaluée en premier, avant l'exécution de echo ou sudo.
Par contre, ceci est une preuve
$ cat test.sh
#!/bin/bash
echo $HOME$ ./test.sh
/home/melixgaro
$ sudo ./test.sh
/home/melixgaro
$ sudo -H ./test.sh
/rootLinux depuis ~2007. Xubuntu seulement.
Hors ligne
#32 Le 19/12/2018, à 23:02
- diesel
Re : à propos de admin:///
Effectivement, je n'ai pas bien lu le man sudo. Merci de ta correction.
De plus, bien vu la résolution du $HOME avant l'exécution de la commande.
Je corrige donc mon propos. Je pense qu'il est souhaitable de mettre l'option -H dans TOUS les cas, que l'application visée soit graphique ou en mode texte.
Amicalement.
Jean-Marie
Dernière modification par diesel (Le 20/12/2018, à 08:32)
Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.
Hors ligne