Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 12/01/2011, à 08:57

sacha@ubuntu

SUDO SU - Déconseillé?

Bonjour à tous.

Après avoir consulté la doc, le forum et autres sources parfois fumeuses, une question reste ens suspens en ce qui concerne la commande "sudo su" en console.

C'est après avoir effectué la manip décrite ici au post 29 : https://bugs.launchpad.net/ubuntu/+sour … bug/540801

que je me pose cette question, certes stupide, mais j'aimerais avoir confirmation.

Sudo est l'ami de root, ce qui veut dire, qu'on lance un shell en root mais sans bénéficier de son environnement, exact?

Sudo su permet d'être "full root", càd, qu'on bénéficie de son environnement, exact aussi? Mais, parce qu'il y a un mais...

Dans le post ci-dessus, chritian göbel ajoute un "exit" pour sortir de ce mode super user root. Je vois bien ce qu'il veut dire évidemment, mais, en ayant activé ces droits via sudo, ne sont-ils pas fermés après 15 minutes ou après log off, log on, voire fermeture de la console?

Histoire d'être sûrs que ces droits ne restent pas permanents si on ne fait pas exit... Bon, comme il n'y a pas eu de "chmod" ou truc du genre, je ne vois pas comment ce serait possible après reboot, mais bon, parfois on doute de tout... vu certains fil sde discussions assez confus sur la chose... ;-)

Bien à vous.

Hors ligne

#2 Le 12/01/2011, à 09:33

f.x0

Re : SUDO SU - Déconseillé?

Bonjour sacha@ubuntu,

D'après ce que je sais,

la commande sudo permet de lancer une commande (et une seule) avec les droits administrateur, mais l'environnement (graphique, conf, ...)
reste celui de l'utilisateur. Une fois la commande terminée les droits redeviennent immédiatement celui de l'utilisateur.

la commande sudo su change l'utilisateur qui devient administrateur et l'environnement (graphique, conf, ...) est celui de l'administrateur.
Tant qu'il n'y a pas eu un exit en terminal ou une déconnexion on reste administrateur et l'environnement (graphique, conf, ...) reste celui de l'administrateur


SOPI

Hors ligne

#3 Le 12/01/2011, à 09:38

redo_fr

Re : SUDO SU - Déconseillé?

Salut,

déjà, "sudo su" est très moche big_smile

Utilise plutôt "sudo -i" pour le même effet.

Une fois que tu as ouvert un shell 'root', tu gardes tous les droits admin tant que tu ne refermes pas la session. Il est donc très important de sortir par "exit" une fois terminées tes tâche d'administration.

Enfin, il est vraiment très rare d'avoir vraiment besoin d'ouvrir un shell 'root'. La règle de base:

"Toujours utiliser sudo plutôt que le compte 'root'. Et si on doit utiliser le compte 'root', alors hésiter" (Les lecteurs d'Asimov apprécieront ce léger emprunt) ^_^


Il n'y a pas de mauvais outils, il n'y a que de mauvais ouvriers
- papy -
Personnellement, je crois que faire des procès est un signe que les affaires vont mal. Je ne dis pas que Microsoft va mal, ce n'est qu'un signe, pas un indicateur...
- Linus Torvalds -

Hors ligne

#4 Le 12/01/2011, à 09:42

sacha@ubuntu

Re : SUDO SU - Déconseillé?

Bonjour f.x0

C'est bien comme cela que j'avais compris aussi.

Disons que l'inquiétude que j'avais, c'est qu'en "oubliant" un exit, on se retrouve à chaque nouvelle session (reboot ou nouveau login) avec les droits root... ce qui serait dramatique question sécurité (je ne vois pas comment mais certains posts le laissent penser).

Donc, pour résumer : le sudo su reste permanent dans la session ouverte, sans limite de 15 minutes et seul un exit ou un arrêt du pc, une déconnexion, etc. met fin à ces droits étendus. Le sudo reste restreint à des commandes particulières, limitées à 15 minutes et avec l'environnement utilisateur uniquement.

L'avantage du sudo su serait donc de l'utiliser lorsqu'on a beaucoup d'actions nécessitant root à faire en console durant une longue période (pas obliger de retaper tout le temps un sudo et mdp). Ou bien dans le cas du post de launchpad que je cite où l'on doit gérer des actions directement en root comme une modification du initramfs etc.

Si je dis une connerie... ;-)

Bien à toi.

Hors ligne

#5 Le 23/01/2011, à 21:23

@nne

Re : SUDO SU - Déconseillé?

Puisqu'on parle de sudo su ici, puis-je me brancher sur la discussion ?

Je veux faire une sauvegarde complète de mon système en ligne de commande. Pour ça, j'ai trouvé ce tutoriel qui commence, justement par "sudo su". Ayant lu ici ou là qu'il ne fallait pas utiliser cette commande, j'ai posté un message sur le forum ; j'attends une réponse.

Je suppose que l'auteur a de bonnes raisons de recommander "sudo su" mais j'ai du mal à imaginer lesquelles. Qu'en pensez-vous ?

#6 Le 23/01/2011, à 23:17

redo_fr

Re : SUDO SU - Déconseillé?

Salut,
je ne pense pas qu'il ait de "bonnes raisons", juste une méconnaissance de l'option '-i' smile

Pour expliquer un peu pourquoi "c'est mieux", c'est tout simplement que:
1*/  Tu as une "couche" applicative de moins
2*/ La commande sudo possède une option pour cela, autant l'utiliser wink

sudo su => Tu utilises 'sudo' pour appeler une commande ( 'su' ) pour passer 'root'
Du point de vue sécurité, deux "chances" de capturer des info intéressantes (en hackant 'su' OU  'sudo' )

sudo -i => Tu utilises sudo en mode 'interactif'
(seul sudo peut être compromis, deux fois moins de chances d'avoir une brèche de  sécurité ou un "exploit")

En ce qui concerne les options '-s' ou '-i', la deuxième est plus sécurisée, car tu inities l'environnement complet de 'root' (dont le PATH)
Si quelqu'un a "hacké" ton compte, tu risques, avec sudo -s, de lancer par erreur des commandes dangereuses. Imagines que tu ais, dans ton PATH
quelque chose comme cela:

echo $PATH
/tmp:/bin:/usr/bin:/usr/sbin

ls /tmp
...
ls <-- FAUX LS 
...

avec sudo -s tu lance le faux 'ls' (car il vient en premier dans l'ordre de lecture du 'PATH') ... Ce faux ls peut, par exemple, envoyer toutes les commandes passée en tant que 'root', etc.


Il n'y a pas de mauvais outils, il n'y a que de mauvais ouvriers
- papy -
Personnellement, je crois que faire des procès est un signe que les affaires vont mal. Je ne dis pas que Microsoft va mal, ce n'est qu'un signe, pas un indicateur...
- Linus Torvalds -

Hors ligne

#7 Le 24/01/2011, à 00:16

@nne

Re : SUDO SU - Déconseillé?

Mouais, je ne vais pas dire que c'est beaucoup plus clair. Pour faire plus concret, quel problème pourrait-il survenir si je fais une sauvegarde complète de mon système en utilisant "sudo su" ? Je ne vois pas du tout. De plus, s'agissant d'une sauvegarde démarrable, je risque, au cas où j'en ai besoin de devoir l'utiliser en "root", non ? (En plus, y a rien d'intéressant pour un hacker dans mon ordinateur. wink)

#8 Le 24/01/2011, à 00:18

kamui57

Re : SUDO SU - Déconseillé?

je pense que les crackers (hackers  = bidouilleurs, pas pirates il me semble) s'en foutent de tes données, par contre un pc de plus dans un botnet c'est toujours bon à prendre.


Quand le dernier arbre aura été abattu, et le dernier animal exterminé, les hommes se rendront compte que l'argent ne se mange pas (proverbe indien)
Toshiba Satellite L655 4 Go RAM, Archlinux Gnome-shell,LXDE / W7
Toshiba Satellite M30 512 Mo RAM, Archlinux Gnome 3 restreint / Crunchbang LXDE
https://help.ubuntu.com/community/Pastebinit pour poster du texte sur internet en console

Hors ligne

#9 Le 24/01/2011, à 00:25

@nne

Re : SUDO SU - Déconseillé?

kamui57 a écrit :

je pense que les crackers (hackers  = bidouilleurs, pas pirates il me semble) s'en foutent de tes données, par contre un pc de plus dans un botnet c'est toujours bon à prendre.

Un portable ? Connecté à l'internet quelques heures par jour ? Pas très fiable comme zombie, non ? Aux dernières nouvelles, tous mes ports sont en mode "stealth". Les hackers recherchent surtout les machines qui sont allumées et connectées à l'internet 24/7, non ? Ils peuvent même les mettre en route à distance s'ils restent connectés au câble ethernet. Les gens ne sont vraiment pas prudents.

#10 Le 24/01/2011, à 06:37

redo_fr

Re : SUDO SU - Déconseillé?

Tout le monde a des données "intéressantes" pour les crackers et autres "script kiddies" smile

Ne serait-ce, par exemple, que les login/password enregistrés dans le cache des navigateurs, des clefs ssh privées sans "passphrase", des mails contenant des mots de passe temporaires jamais changés, ton carnet d'adresses, etc.

Quant au fait qu'il ne soit connecté "que" quelques heures, c'est largement suffisant pour y planquer des données non essentielles (photos,...) ou pour servir de relais temporaire, etc.

@nne a écrit :

[...]quel problème pourrait survenir si je fais une sauvegarde complète de mon système en utilisant "sudo su" ? [....]

Peu de choses tant que ton compte utilisateur n'est pas compromis, c'est juste... moins propre (pas dans la philosophie "UNIX/Linux" ), c'est pour ça que je disais que c'était "moche" smile
L'environnement de 'root' n'étant pas positionné, il peut te manquer certains chemins, variables, alias, etc.

Si ton compte utilisateur est compromis, par contre, tu peux contaminer la totalité de ton système...

Pourquoi risquer si gros alors qu'il existe un moyen simple de diminuer le risque? wink


Il n'y a pas de mauvais outils, il n'y a que de mauvais ouvriers
- papy -
Personnellement, je crois que faire des procès est un signe que les affaires vont mal. Je ne dis pas que Microsoft va mal, ce n'est qu'un signe, pas un indicateur...
- Linus Torvalds -

Hors ligne

#11 Le 24/01/2011, à 08:55

@nne

Re : SUDO SU - Déconseillé?

redo_fr a écrit :

...Si ton compte utilisateur est compromis, par contre, tu peux contaminer la totalité de ton système...

Comment ça, "compromis" ? J'ai besoin de dessins pour comprendre des choses aussi abstraites. wink

Pourquoi risquer si gros alors qu'il existe un moyen simple de diminuer le risque? wink

C'est la question que je me pose toujours : pourquoi "sudo su" existe-t-il, s'il ne faut pas l'utilser ? C'est comme "sudo gedit" en mode graphique ; puisqu'il y a un risque à l'utiliser, pourquoi ne pas tout simplement l'interdire et privilégier "sudo nano" ou "gksudo gedit" ? Quand je dis "interdire", je pense à une impossibilité totale de l'utiliser : "sudo gedit <fichier texte>, wrong command".

#12 Le 24/01/2011, à 09:07

redo_fr

Re : SUDO SU - Déconseillé?

@nne a écrit :

Comment ça, "compromis" ?

Contaminé par un 'rootkit' quelconque, installé sur ton compte "en douce" par un malveillant ^_^

@nne a écrit :

[...]pourquoi ne pas tout simplement l'interdire[...]

Réponse courte:
Parce que UNIX (et Linux) suppose que les utilisateurs sont intelligents et ne feront pas de choses "stupides" wink

Il y a peut-être des cas (je n'en ai pas en tête sur le moment) où il est nécessaire d'employer cette syntaxe, mais il est inutile, à mon avis (et les développeurs de 'su' doivent partager cette opinion), de "surchagrer" le code avec des interdictions d'opérations stupides, la philosophie d'UNIX c'est:

You've asked for it, you've got it!
(Vous l'avez demandé, vous l'avez!)

Pas besoin d'une douzaine de "pop-up" "Êtes-vous VRAIMENT sûr de vouloir faire ceci?" 
tongue


Il n'y a pas de mauvais outils, il n'y a que de mauvais ouvriers
- papy -
Personnellement, je crois que faire des procès est un signe que les affaires vont mal. Je ne dis pas que Microsoft va mal, ce n'est qu'un signe, pas un indicateur...
- Linus Torvalds -

Hors ligne

#13 Le 29/01/2011, à 15:34

@nne

Re : SUDO SU - Déconseillé?

Bon, avant de me lancer dans des trucs un peu plus sérieux, j'ai fait une petite expérience, qui consiste à lister le contenu de mon dossier personnel (~/) dans les trois modes. Je ne vous poste ici que les dix premières lignes de résultats parce que ce sont les plus intéressantes.


En sudo -i :

anne@anne-EasynoteLJ71:~$ sudo -i
[sudo] password for anne: 
root@anne-EasynoteLJ71:~# ls
Desktop
root@anne-EasynoteLJ71:~# ls -aRLl
.:
total 112
drwx------ 21 root root  4096 2011-01-25 23:06 .
drwxr-xr-x 24 root root  4096 2011-01-29 12:15 ..
drwx------  3 root root  4096 2011-01-13 14:36 .adobe

La liste ne montre que ce qui appartient à root, groupe root.


En sudo -s :

anne@anne-EasynoteLJ71:~$ sudo -s
root@anne-EasynoteLJ71:~# ls
Bureau     home.txt  Liste_home_1.txt  Musique  Public           Vidéos
Documents  Images    Modèles           outRec   Téléchargements
root@anne-EasynoteLJ71:~# ls -aRLl
.:
ls: ne peut accéder .gvfs: Permission non accordée
total 3540
drwxr-xr-x 48 anne anne    4096 2011-01-29 14:35 .
drwxr-xr-x  3 root root    4096 2011-01-20 21:21 ..

La liste affiche aussi bien ce qui appartient à root qu'à moi.


En sudo su :

anne@anne-EasynoteLJ71:~$ sudo su
root@anne-EasynoteLJ71:/home/anne# ls
Bureau     home.txt  Liste_home_1.txt  Liste_home_3.txt  Musique  Public           Vidéos
Documents  Images    Liste_home_2.txt  Modèles           outRec   Téléchargements
root@anne-EasynoteLJ71:/home/anne# ls -aRLl
.:
ls: ne peut accéder .gvfs: Permission non accordée
total 6228
drwxr-xr-x 48 anne anne    4096 2011-01-29 14:42 .
drwxr-xr-x  3 root root    4096 2011-01-20 21:21 ..

Là aussi, la liste affiche ce qui appartient à root et à moi.


La ligne "total" indique le nombre de liens répertoriés dans mon dossier personnel ; sudo su en trouve 2688 de plus que sudo -s.

#14 Le 29/01/2011, à 20:30

redo_fr

Re : SUDO SU - Déconseillé?

Oui, sauf que...
Dans le premier test, tu n'es pas dans ton HOME mais dans celui de 'root", d'où les différences ^_^


Il n'y a pas de mauvais outils, il n'y a que de mauvais ouvriers
- papy -
Personnellement, je crois que faire des procès est un signe que les affaires vont mal. Je ne dis pas que Microsoft va mal, ce n'est qu'un signe, pas un indicateur...
- Linus Torvalds -

Hors ligne

#15 Le 29/01/2011, à 20:53

@nne

Re : SUDO SU - Déconseillé?

Dans le deuxième non plus, si tu regardes bien.

#16 Le 06/02/2011, à 14:50

@nne

Re : SUDO SU - Déconseillé?

Bon, je viens d'installer 10.10 amd64 sur un disque dur externe ; je vais pouvoir expérimenter le tutoriel dont j'ai déjà parlé. dans les trois modes (su, -i et -s). Je partagerai les résultats ici.

Édit : après avoir fait les trois sauvegardes, j'ai lancé la récupération de celle qui comptait le plus grand nombre de lignes, celle faite en "sudo su". Au reboot, aucun problème ; c'est comme si j'avais rebooté sur ma session d'origine.

Dernière modification par @nne (Le 07/02/2011, à 19:06)

#17 Le 07/02/2011, à 00:47

AlexandreP

Re : SUDO SU - Déconseillé?

Concernant sudo su, disons que tu as mal évalué. Il faudrait plutôt envisager de décortiquer la commande ainsi:
  - sudo commande exécute une commande commande par un autre utilisateur (sans préciser lequel, le compte root est utilisé);
  - su identifiant exécute un changement de session utilisateur. Ça ouvre une session avec le compte identifiant. En l'absence de identifiant, le compte root est utilisé.

En tant qu'administrateur système, je pourrais être tenté d'utiliser une commande sudo su asterix pour ouvrir une session en console avec le compte d'Astérix (par exemple, pour tester l'environnement d'Astérix à sa demande, sans que je connaisse son mot de passe. L'exemple est certes faible, mais c'est un exemple). Bloquer sudo su serait contre-productif, puisqu'il m'empêcherait de réussir sudo su asterix.

Ce que note Redo_fr et qui n'est "pas propre", c'est que, pour démarrer une session root en exécutant sudo su [root], tu exploites deux processus: d'abord sudo, puis su [root]. Alors que tu aurais pu atteindre le même résultat avec un seul processus: sudo -i.


«La capacité d'apprendre est un don; La faculté d'apprendre est un talent; La volonté d'apprendre est un choix.» -Frank Herbert
93,8% des gens sont capables d'inventer des statistiques sans fournir d'études à l'appui.

Hors ligne