[sécurité] Pas de demande de mdp pour root (résolu)

[Neros]

Salut,

J'ai suivis le tuto pour utiliser yaourt avec sudo en mode utilisateur. (http://wiki.archlinux.fr/howto/archlinu ... _avec_sudo)

Mais 2 choses me chiffonnent :

1/pas de demande de mot de passe pour utiliser yaourt (même pas besoin d'écrire sudo d'ailleurs, Cmd_Alias dans visudo ?)
2/je peux me mettre en root en tapant la commande "sudo -s" et sans demande de mot de passe !

Comment dois-je faire ?

[mélodie]

Salut,

yaourt s'utilise en mode user : surtout ni sudo ni sudo -s. Tu le lances et il te demandera le mot de passe quand il faut (au moment d'installer, par exemple)

Pour le 2, tu avais déjà dû donner le mot de passe dans le quart d'heure précédent. Tu peux le configurer autrement si tu veux. (man sudo est ton ami)

[Neros]

Ba j'ai testé les 2 cas (et je n'ai pas entré le mot de passe root avant, vu qu'il ne m'a pas été demandé).

Et j'ai pu installer un logiciel par yaourt sans mot de passe et me connecter en root par sudo -s.

D'où peut venir ce problème ?

(tu as besoin de mon sudoers ?)

[Yobar73]

Si tu as réalisé les modifications en suivant le WIKI que tu donnes, il me semble que c'est tout à fait normal compte tenu du fait que cette modification permet justement de ne pas entrer son mot de passe à chaque installation (c'est beaucoup moins lourd).

Ensuite, concernant le fait que tu arrives à te mettre en root sans mot de passe, ça n'est pas trop normal.

Peux-tu nous donner le contenu de ton /etc/sudoers, peut-être une erreur c'est glissé?

[mélodie]

Yobar73, oui, les sudoers ça glisse...

[Yobar73]

Oui bon ok Une erreur a pu s'infiltrer dans le fichier sudoers

[Neros]

# Host alias specification

# User alias specification
User_Alias POWERUSER=neros
# Cmnd alias specification
Cmnd_Alias YAOURT=/usr/bin/pacman, /usr/bin/pacdiffviewer

# Defaults specification

# Runas alias specification

# User privilege specification
root ALL=(ALL) ALL
POWERUSER ALL=(ALL) YAOURT

# Uncomment to allow people in group wheel to run all commands
# %wheel ALL=(ALL) ALL

# Same thing without a password
%wheel ALL=(ALL) NOPASSWD: ALL

# Samples
# %users ALL=/sbin/mount /cdrom,/sbin/umount /cdrom
# %users localhost=/sbin/shutdown -h now

Merci de votre aide

[Nic0]

salut,

Cette ligne me parait curieux, maintenant je ne connais pas trop ce fichier en faite :

Code : Tout sélectionner

# Same thing without a password
%wheel ALL=(ALL) NOPASSWD: ALL

voici le miens au cas où (en passant les lignes commençant par #) :

Code : Tout sélectionner

nicolas   ALL=(ALL) ALL
root	ALL=(ALL) ALL
nicolas 	sweet=/bin/mount /dev/sr0, /bin/umount /dev/cdrom
nicolas 	sweet=/bin/mount /dev/sr0, /bin/umount /dev/dvd

PS, je ne dis pas que le miens est bon, mais yaourt fonctionne correctement.

[Neros]

En commentant la ligne dont tu parles, il me demande le passe!

En entrant "sudo -s", je ne suis pas autorisé à y aller.

Par contre, en voulant désinstallé quelque chose, yaourt m'a demandé le passe et cela fonctionne. Ce qui est sûrement en rapport avec "User privilege specification".

Mais alors, pourquoi le tuto nous fait entrer le "%wheel ALL=(ALL) NOPASSWD: ALL" ?

[mélodie]

Salut,

Aucune idée. Le groupe wheel permet à ceux qui lui appartiennent de faire un peu tout en tant que admin... attention à wheel.

Voici mon fichier sudoers:

Code : Tout sélectionner

root	ALL=(ALL) ALL
melodie	noisette=(ALL) ALL
melodie	noisette=NOPASSWD: /sbin/halt

Avec ça je lance yaourt en utilisateur, et quand il lui faut le mot de passe je lui donne mon mot de passe de login *utilisateur*, même si j'ai *aussi* un vrai compte root (toujours utile au cas où tu aies besoin de démarrer en single, par exemple).

(Et avec la dernière ligne je n'ai pas besoin de donner mon mot de passe pour éteindre la machine).

[Nic0]

Salut,

Code : Tout sélectionner

%wheel ALL=(ALL) NOPASSWD: ALL

Donc, si je comprends bien, cette ligne permet d'outrepasser la demande de passe (d'utilisation de sudo) pour tout les users faisant partie du groupe wheel, et ceci pour toute commandes.

Personnellement, je laisse pour toute commandes cette demande de code, même si ça peut paraitre lourd.

Donc, si on souhaite ne laisser que pour yaourt, il faudrait utilisé à la place(YAOURT étant défini plus haut):

Code : Tout sélectionner

%wheel ALL=(ALL) NOPASSWD: YAOURT

ou pour rajouté le halt.

Code : Tout sélectionner

%wheel ALL=(ALL) NOPASSWD: YAOURT, /sbin/halt

(je ne connais pas trop ce fichier et je peux me trompé bien sûr)

[Neros]

J'ai modifié le wiki en conséquence

[r4is3_your_g0d]

Je me permets de m'incruster dans le sujet pour rebondir sur une chose : le timeout pour le mot de passe : comme mentionné un peu plus haut, le mot de passe saisie est conservé pendant plusieurs minutes ce qui pose un probleme ENORME en terme de sécurité, y a-t-il un moyen de configurer ce timeout et de le mettre à 0 par exemple?

[Lunatic]

Bonjour,

Ça se passe également dans le fichier /etc/sudoers ; il faut aujouter :

Code : Tout sélectionner

Defaults:nom_utilisateur  timestamp_timeout=0

où nom_utilisateur est… le nom d'utilisateur

[r4is3_your_g0d]

Excellent, merci pour le tuyaux