[Gestion utilisateurs] Utilisateur root ?

[Stdrome1209]

Bonsoir à toute et tous, je me questionne sur la gestion de mon utilisateur principale :

Sachant que je suis le seul à utiliser ma machine je n'ai donc que deux compte, le root et mon utilisateur "stdrome", ce dernier étant mon compte principale je le créer habituellement de cette façon :

Code : Tout sélectionner

useradd -m -g users -G wheel,power,audio,video,storage,network -s /bin/bash stdrome

Je lui donne donc accès à a plupart des fonctionnalités du système, mais dans ce cas ne serrais t-il pas plus simple de l'ajouter directement au groupe root ? Cela lui accorderais d'office l'accès à toute ces fonctionnalité sans avoir besoin de luis assigner tout ces groupes en théorie.

Toujours est-il que j'ai testé et que même dans ce cas, contrairement à ce que je craignais il m'est toujours demandé de taper "sudo" et de saisir mon mot de passe pour les opération nécessitant des droits administrateur, je pense donc que cela ne dois pas poser de problème particulier en terme de sécurité dans mon cas et que ça ne change pas grand chose... je me trompe ?

[Loubrix]

mettre un utilisateur standard dans le groupe root n'est pas recommandé (je dirais même "à proscrire"): ça donne un accès un peu plus complet sur certains fichiers de conf, mais rarement en écriture.
la question de devoir utiliser Sudo ou le compte Root pour les actions d'administration est un point de sécurité important, même si on administre pas un serveur mais une machine de bureau: au cas où tu trouverais des malwares sur le web, les exécuter sans privilèges sera un bon moyen de protection (sachant qu'on les exécute rarement de façon consciente), alors que si tu les exécutes via un compte dont les droits sont similaires à ceux de Root, le malware aura accès à une grosse partie de ton système.
il est évident que quand on arrive de systèmes proprios plus laxistes sur ce point, on peut avoir envie de donner plein de droits à son utilisateur principal, mais ce n'est clairement pas une bonne idée...

[Stdrome1209]

Mais même si je met mon utilisateur dans le groupe root je dois tout de même utiliser sudo pour installer un programme.
Et par ailleurs même si mon utilisateur n'est pas dans le groupe root le fais de devoir installer un programme avec sudo ne lui donne pas les mêmes droits que si il est installé par un membre de ce groupe ?

[Loubrix]

tu confonds pas mal de choses: faire partie du groupe "root" est très différent "d'être Root"...

pour comprendre ça, il faudrait commencer par lire ceci (ou en français ici).

pour faire simple, si un fichier a des permissions en 640 (-rw-r----- 1 root root), un simple utilisateur ne peut le lire; si tu ajoutes cet utilisateur au groupe root, il pourra lire ce fichier (mais pas l'écrire).

Pacman a besoin d'écrire dans des fichiers en 644:

Code : Tout sélectionner

-rw-r--r-- 1 root root 2833449 03.07.2015 21:58 community.db
-rw-r--r-- 1 root root  124512 03.07.2015 19:36 core.db
-rw-r--r-- 1 root root 1780531 03.07.2015 19:30 extra.db
-rw-r--r-- 1 root root  129128 02.07.2015 19:31 multilib.db

tu comprends bien que dans ce cas, le fait de faire partie du groupe root ne donne accès à ces fichiers qu'en lecture, pas en écriture; ceci t'explique aussi pourquoi il est possible d'utiliser certaines options de Pacman, celles qui sont juste informatives et ne modifient rien, en simple utilisateur:

Code : Tout sélectionner

[david@asus-aio ~]$ pacman -Ss linux-lts
core/linux-lts 3.14.46-1 [installé]
    The Linux-lts kernel and modules
core/linux-lts-docs 3.14.46-1
    Kernel hackers manual - HTML documentation that comes with the Linux-lts
    kernel
core/linux-lts-headers 3.14.46-1
    Header files and scripts for building modules for Linux-lts kernel
extra/nvidia-304xx-lts 304.125-9
    NVIDIA drivers for linux-lts, 304xx legacy branch
extra/nvidia-340xx-lts 340.76-8
    NVIDIA drivers for linux-lts
extra/nvidia-lts 352.21-1
    NVIDIA drivers for linux-lts
community/r8168-lts 8.040.00-1
    A kernel module for Realtek 8168 network cards for linux-lts
community/tp_smapi-lts 0.41-41
    linux-lts modules for ThinkPad's SMAPI functionality

c'est parce que les fichiers qui fournissent ces informations sont accessibles en lecture à tout utilisateur.

si ton propos est de pouvoir utiliser Pacman sans demande de mot de passe, il existe des méthodes moins laxistes; toutefois, pour rester dans les clous au niveau sécurité, il serait préférable de n'utiliser ces méthodes que pour les mises à jour, pas pour les nouvelles installations.
il y a la méthode avec Sudo (EN), qui consiste à désactiver la demande de mot de passe pour une commande et un utilisateur donnés:

Code : Tout sélectionner

stdrome <HOST_NAME>= NOPASSWD: /usr/bin/pacman -Syu

ou sinon, une méthode moins facile, mais plus sécurisée serait d'utiliser Polkit.

[FoolEcho]

Je lui donne donc accès à a plupart des fonctionnalités du système, mais dans ce cas ne serrais t-il pas plus simple de l'ajouter directement au groupe root ? Cela lui accorderais d'office l'accès à toute ces fonctionnalité sans avoir besoin de luis assigner tout ces groupes en théorie.

Ça n'est pas plus simple d'un certain point de vue et c'est même le soucis de beaucoup d'utilisateurs qui «résolvent» leur souci en lançant tout en root.
Il s'agit de bonnes pratiques: d'un côté on distingue l'utilisation d'un système (users) et de l'autre l'administration (root/wheel). Et même si dans les faits tu peux cumuler les casquettes (cas de tout utilisateur chez lui) il est essentiel de comprendre pourquoi certaines commandes requièrent certaines permissions et d'autres non... Après oui, on peut éviter de demander un mot de passe, mais il ne faut pas se plaindre si un truc se passe mal (et dans les faits si tu as besoin d'utiliser les droits root plus d'une fois par jour c'est que tu as à mon avis de sérieux soucis... de permissions ).

[bobo]

Tous les groupes que tu souhaites déclarer sont presque tous dans la catégorie « pre-systemd » :
https://wiki.archlinux.org/index.php/Us ... emd_groups

systemd a l'air de permettre de s'affranchir de la plupart des autres groupes.

Sur ma config, je n'ai que le groupe users et des groupes liés à la gestion des imprimantes/scanner. Et j'arrive à utiliser ma machine depuis 1 an !

Code : Tout sélectionner

$ groups bobo
sys lp scanner printadmin users

Édition : il faudra que je me penche sur l'utilité de ces groupes pour l'impression, ils sont « pre-systemd » aussi

[Stdrome1209]

Merci de m'avoir expliqué, je vois que c'est une grosse erreur de mettre l'utilisateur dan le groupe root, erreur que je m'en vais corriger de suite.