[yaourt] gestion des mots de passe

[nicollivier]

Alors là il y a quelque chose d'étrange lorsque je souhaite installer un programme via la konsole.
En règle générale j'utilise «yaourt» en simple utilisateur.
Puis lorsqu'il faut installer il me demande le mot de passe root. Et bien c'est là que les choses étranges commencent.....
Bien que le mot de passe soit correcte, il me le refuse.
Il faut que j'entre mon mot de passe utilisateur, qui automatiquement refusé, puis après j'entre à nouveau le mot de passe root, et là il est accepté.....

Comme je disais c'est étrange.....

[benjarobin]

Tu aurait pas sudo mal configuré par hasard ?
Sinon en titre ce serait mieux, car je ne vois pas le lien avec konsole:

[yaourt] mot de passe incorrecte

[nicollivier]

En effet le titre était mal composé...
J'utilise en effet «sudo», mais je ne me souviens pas avoir eu ce genre de soucis avant mon install..

Voici le contenu du fichier «sudoers»:

Code : Tout sélectionner

## sudoers file.
##
## This file MUST be edited with the 'visudo' command as root.
## Failure to use 'visudo' may result in syntax or file permission errors
## that prevent sudo from running.
##
## See the sudoers man page for the details on how to write a sudoers file.
##

##
## Host alias specification
##
## Groups of machines. These may include host names (optionally with wildcards),
## IP addresses, network numbers or netgroups.
# Host_Alias	WEBSERVERS = www1, www2, www3

##
## User alias specification
##
## Groups of users.  These may consist of user names, uids, Unix groups,
## or netgroups.
# User_Alias	ADMINS =nicollivier 

##
## Cmnd alias specification
##
## Groups of commands.  Often used to group related commands together.
# Cmnd_Alias	PROCESSES = /usr/bin/nice, /bin/kill, /usr/bin/renice, \
# 			    /usr/bin/pkill, /usr/bin/top

 Cmnd_Alias CMD = /sbin/reboot, /sbin/shutdown, /usr/bin/yaourt, /sbin/halt 
 Cmnd_Alias CMD_PASS = /bin/mv, /bin/rm, /bin/chmod, /bin/chown
##
## Defaults specification
##
## You may wish to keep some of the following environment variables
## when running commands via sudo.
##
## Locale settings
# Defaults env_keep += "LANG LANGUAGE LINGUAS LC_* _XKB_CHARSET"
##
## Run X applications through sudo; HOME is used to find the
## .Xauthority file.  Note that other programs use HOME to find   
## configuration files and this may lead to privilege escalation!
# Defaults env_keep += "HOME"
##
## X11 resource path settings
# Defaults env_keep += "XAPPLRESDIR XFILESEARCHPATH XUSERFILESEARCHPATH"
##
## Desktop path settings
# Defaults env_keep += "QTDIR KDEDIR"
##
## Allow sudo-run commands to inherit the callers' ConsoleKit session
# Defaults env_keep += "XDG_SESSION_COOKIE"
##
## Uncomment to enable special input methods.  Care should be taken as
## this may allow users to subvert the command being run via sudo.
# Defaults env_keep += "XMODIFIERS GTK_IM_MODULE QT_IM_MODULE QT_IM_SWITCHER"
##
## Uncomment to enable logging of a command's output, except for
## sudoreplay and reboot.  Use sudoreplay to play back logged sessions.
# Defaults log_output
# Defaults!/usr/bin/sudoreplay !log_output
# Defaults!/usr/local/bin/sudoreplay !log_output
# Defaults!/sbin/reboot !log_output

##
## Runas alias specification
##

##
## User privilege specification
##
root ALL=(ALL) ALL
nicollivier ALL=(ALL) CMD_PASS
nicollivier ALL=(ALL) NOPASSWD:CMD


## Uncomment to allow members of group wheel to execute any command
# %wheel ALL=(ALL) ALL

## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL

## Uncomment to allow members of group sudo to execute any command
#%sudo	ALL=(ALL) ALL

## Uncomment to allow any user to run sudo if they know the password
## of the user they are running the command as (root by default).
# Defaults targetpw  # Ask for the password of the target user
# ALL ALL=(ALL) ALL  # WARNING: only use this together with 'Defaults targetpw'

## Read drop-in files from /etc/sudoers.d
## (the '#' here does not indicate a comment)
#includedir /etc/sudoers.d

Est-ce qu'il y aurait quelque chose qui te paraîtrait étrange ?!

Merci de ton aide

Nico

[tuxce]

sudo n'est pas utilisé pour lancer yaourt mais pour lancer pacman, il te faut modifier tes alias.
Sinon, selon la configuration de yaourt, il peut aussi être utiliser pour lancer cp

[nicollivier]

Je ne comprends pas trop ce que tu dis:
"remplacer yaourt par pacman" -> J'ai ajouté yaourt pour pouvoir mettre à jour mon système sans devoir taper mon mot de passe de root. Or si je change yaourt par pacman, je ne peux plus utiliser la commande « sudo yaourt -Syu ».
Idem pour "cp", je ne comprends pas trop.... :-\

[oktoberfest]

Salut,

tu n'as pas à lancer yaourt via sudo, c'est yaourt qui va se charger de lancer pacman via sudo, nuance !!
Pour la config de sudo, je trouve plus simple d'écrire tes règles dans un fichier /etc/sudoers.d/nicollivier, plutôt que directement dans le fichier /etc/sudoers. Cela facilitera la maintenance ultérieure.
Je verrai bien ceci dans le fichier /etc/sudoers.d/nicollivier :

Code : Tout sélectionner

Cmnd_Alias CMD = /sbin/reboot, /sbin/shutdown, /usr/bin/pacman, /sbin/halt
Cmnd_Alias CMD_PASS = /bin/mv, /bin/rm, /bin/chmod, /bin/chown

nicollivier ALL=(ALL) CMD_PASS
nicollivier ALL=(ALL) NOPASSWD:CMD

Et ensuite tu lances yaourt en simple utilisateur. yaourt se chargera de faire un 'sudo pacman', ce qui te demandera ton mot de passe.

[nicollivier]

Alors j'ai fait comme tu me dis, c'est à dire créé un fichier pour moi.
Le problème c'est que lorsque je veux mettre mon système à jour il me demande deux fois le mot de passe root, et je trouve cela ennuyant, c'est pour cela que j'avais mis "yaourt" au lieu de "pacman".

Code : Tout sélectionner

[~] yaourt -Syu
Mot de passe : 
su: mot de passe incorrect
Mot de passe : 
:: Synchronisation des bases de données de paquets...
 core est à jour;
 extra                                                                                   1088,8K  355,5K/s 00:00:03 [#####################################################################] 100%
 community                                                                                806,8K  313,2K/s 00:00:03 [#####################################################################] 100%
 archlinuxfr est à jour;
 multilib est à jour;


==> Mise à jour des logiciels (nouvelle version) :
extra/libmsn   4.1-2   -> 4.2-1
extra/virtuoso 6.1.3-2 -> 6.1.4-1

==> Continuer la mise à jour ? [O/n]
==> [V]oir les détails.   Sélectionner les paquets [M]anuellement.
==> --------------------------------------------------------------
==> o
Mot de passe : 
su: mot de passe incorrect
Mot de passe : 
:: Début de la mise à jour complète du système...
résolution des dépendances...
recherche des conflits entre paquets...

Cibles (2): libmsn-4.2-1  virtuoso-6.1.4-1

Taille totale des paquets (téléchargement):   5,89 Mo
Taille totale des paquets (installation):   35,41 Mo

Procéder à l'installation ? [O/n] o
:: Récupération des paquets du dépôt extra...
 libmsn-4.2-1-x86_64                                                                      241,7K  247,3K/s 00:00:01 [#####################################################################]   4%
 virtuoso-6.1.4-1-x86_64                                                                    5,9M  363,4K/s 00:00:17 [#####################################################################] 100%
(2/2) vérification de l'intégrité des paquets                                                                       [#####################################################################] 100%
(2/2) analyse des conflits entre fichiers                                                                           [#####################################################################] 100%
(2/2) vérification de l'espace disque disponible                                                                    [#####################################################################] 100%
(1/2) mise à jour de libmsn                                                                                         [#####################################################################] 100%
(2/2) mise à jour de virtuoso  

Est-ce un fonctionnement normal, le fait qu'il me demande deux fois le mdp, ou alors c'est lié à mon problème ?!

[tuxce]

Si c'était un fonctionnement normal, le developpeur de l'appli ne le serait pas lui

Que donne la sortie d'un sudo -l ?
Tu n'utilises pas pacman-color ?

(sinon, après faudra débugguer)

[nicollivier]

alors le retour de la commande sudo -l donne des choses bizarres:

Code : Tout sélectionner

[/etc] sudo -l
User root is not allowed to run sudo on Archlinux.

Les modifications que j'avais fait dans le fichier sudoers ont été commentées.

Non je n'utilise pas "pacman-color", peut-être que j'ai oublié de l'installer lorsque j'ai ré-installé le système.

[tuxce]

Il faut un minimum comprendre la logique, sinon on tourne en rond !

Tu lances sudo en utilisateur, donner le retour de sudo -l en root n'apporte rien.

Les modifications que j'avais fait dans le fichier sudoers ont été commentées.

Là c'est moi qui comprends rien ! Qu'est ce que tu veux dire par là ? T'as plus aucune configuration pour sudo et tu veux que ça fonctionne tout seul ?

Non je n'utilise pas "pacman-color", peut-être que j'ai oublié de l'installer lorsque j'ai ré-installé le système.

Et là, je suis complètement perdu ... Si tu l'utilises pas, pourquoi tu l'aurais oublié ? Il n'y a pas d'obligation. J'ai posé la question au cas où tu l'utiliserais mais ne le signalerais pas à sudo.

En bref, le principe de yaourt avec sudo:
- yaourt doit lancer une commande en root (seulement pacman sur une configuration par défaut)
- yaourt demande à sudo si l'utilisateur qui l'a lancé a le droit de lancer la commande.
* si oui, il lance sudo
* si non, il lance su

Dans tes sorties de commandes, on voit qu'il lance su, je suppose que c'est sudo qui est mal configuré, après:
- tu rentres ton mot de passe alors que su demande celui du root, d'où la 2ème demande
- comme su ne garde pas les autorisations, il demande le mot de passe à chaque fois qu'il a besoin du root

[oktoberfest]

- tu rentres ton mot de passe alors que sudo demande celui du root, d'où la 2ème demande

sudo demande le mot de passe utilisateur, pas le mot de passe root.

Pour tester sudo, tu peux (en tant qu'utilisateur) lancer un :

Code : Tout sélectionner

$ sudo pacman -Sy

Si en tapant ton mot de passe, tu synchronises ta base pacman, c'est que tu as bien configuré sudo (du moins il sera bien configuré pour lancer pacman en root)
Sinon, il faut modifier ta config sudo

[tuxce]

Erreur de frappe, edité et corrigé

[benjarobin]

Donne la sortie grep -RE -v "^#|^$" /etc/sudoer*

[nicollivier]

Il faut un minimum comprendre la logique, sinon on tourne en rond !

Tu lances sudo en utilisateur, donner le retour de sudo -l en root n'apporte rien.

Désolé pour la boulette. J'avais bien tapé la commande en utilisateur, mais j'avais des messages d'erreurs liés aux différents attributs du fichier «/etc/sudoers». Je les ai donc modifié, et j'ai oublié de revenir en utilisateur.
Voici le retour de la commande:

Code : Tout sélectionner

[~] sudo -l                                                                                                                                                                                     
User nicollivier may run the following commands on this host:                                                                                                                                   
    (ALL) /bin/mv, /bin/rm, /bin/chmod, /bin/chown                                                                                                                                              
    (ALL) NOPASSWD: /sbin/reboot, /sbin/shutdown, /usr/bin/pacman, /sbin/halt 

Les modifications que j'avais fait dans le fichier sudoers ont été commentées.

Là c'est moi qui comprends rien ! Qu'est ce que tu veux dire par là ? T'as plus aucune configuration pour sudo et tu veux que ça fonctionne tout seul ?

Dans un premier temps j'avais modifié directement le fichier «/etc/sudoers», mais tu m'as conseillé d'en créer un pour moi, j'ai donc commenté les modifications que j'avais fait dans le fichier «/etc/sudoers»

Non je n'utilise pas "pacman-color", peut-être que j'ai oublié de l'installer lorsque j'ai ré-installé le système.

Et là, je suis complètement perdu ... Si tu l'utilises pas, pourquoi tu l'aurais oublié ?

Parce qu'avant je fasse la ré-installation complète du système je n'avais aucun souci avec l'utilisation de sudo.

La sortie de la commande:

Code : Tout sélectionner

[/etc] grep -RE -v "^#|^$" /etc/sudoer*
/etc/sudoers: #Cmnd_Alias CMD = /sbin/reboot, /sbin/shutdown, /usr/bin/yaourt, /sbin/halt 
/etc/sudoers: #Cmnd_Alias CMD_PASS = /bin/mv, /bin/rm, /bin/chmod, /bin/chown
/etc/sudoers~: #Cmnd_Alias CMD = /sbin/reboot, /sbin/shutdown, /usr/bin/yaourt, /sbin/halt 
/etc/sudoers~: #Cmnd_Alias CMD_PASS = /bin/mv, /bin/rm, /bin/chmod, /bin/chown
/etc/sudoers~:root ALL=(ALL) ALL
/etc/sudoers.d/nicollivier~:mnd_Alias CMD = /sbin/reboot, /sbin/shutdown, /usr/bin/pacman, /sbin/halt, /usr/bin/yaourt
/etc/sudoers.d/nicollivier~:Cmnd_Alias CMD_PASS = /bin/mv, /bin/rm, /bin/chmod, /bin/chown
/etc/sudoers.d/nicollivier~:nicollivier ALL=(ALL) CMD_PASS
/etc/sudoers.d/nicollivier~:nicollivier ALL=(ALL) NOPASSWD:CMD
/etc/sudoers.d/nicollivier:Cmnd_Alias CMD = /sbin/reboot, /sbin/shutdown, /usr/bin/pacman, /sbin/halt
/etc/sudoers.d/nicollivier:Cmnd_Alias CMD_PASS = /bin/mv, /bin/rm, /bin/chmod, /bin/chown
/etc/sudoers.d/nicollivier:nicollivier ALL=(ALL) CMD_PASS                                                                                                                                       
/etc/sudoers.d/nicollivier:nicollivier ALL=(ALL) NOPASSWD:CMD 

[mélodie]

Bonjour,

J'ai toujours utilisé la configuration suivante avec visudo, sans souci:

Code : Tout sélectionner

# User privilege specification
root   ALL=(ALL) ALL
melodie   noisette=(ALL) ALL
melodie   noisette=NOPASSWD: /sbin/halt

noisette est le nom d'hôte... pas forcément obligatoire, mais... du moment que ça marche ?

On peut aussi utiliser le groupe wheel si on veut:

Code : Tout sélectionner

%wheel   ALL=(ALL) ALL 

en ajoutant son utilisateur au groupe wheel (commande "gpasswd -a utilisateur groupe")

[nicollivier]

Merci de cette info Mélodie

[karhu]

Pour ma part j'emploie une méthode plus simple, mais peut-être moins sécurisée ?
Dans fichier sudoers j'ai juste rajouté cette ligne :

Code : Tout sélectionner

## Privilèges de confort
karhu   ALL=(ALL) NOPASSWD: /usr/bin/pacman, /usr/bin/pacman-color, /usr/bin/pacdiffviewer, /bin/mount, /bin/umount, /sbin/shutdown, /sbin/reboot, /sbin/halt

dans ces conditions

Code : Tout sélectionner

yaourt -Syu

se déroule sans rien demandé (comme mot de passe).