Le mode sudo sur Red Hat / CentOS / Fedora

Le mode sudo sur Red Hat / CentOS / FedoraAu grand dam d’une certaine Sophie dont j’ai mis le commentaire injurieux à la benne, je ne suis pas un adepte du mode sudo. Ce mode permet d’agir en tant que root uniquement au travers de l’exécution de commandes déterminées dans le fichier /etc/sudoers. Ma génération qui s’est formée à la fin des années 1980 sur les systèmes UNIX (Solaris pour votre serviteur) n’a jamais eu trop l’habitude d’utiliser cette commande. Pour autant, les règles de sécurité des entreprises d’aujourd’hui amènent souvent à interdire le compte root aux administrateurs des serveurs Linux.

D’ailleurs, pour activer le compte root sur les systèmes Linux, tapez, en tant que sudoer :

sudo passwd root

Création de l’utilisateur sudoer lors de l’installation

Sous Fedora, Red Hat ou CentOS, lorsque vous créez un utilisateur au moment de l’installation de votre distribution Linux, celui-ci se voit attribuer le groupe wheel définit dans le fichier /etc/sudoers, comme suit :

%wheel ALL=(ALL) ALL

Pour savoir si votre utilisateur appartient au groupe wheel, tapez la commande groups.

Quelques règles de sécurité

Vous pouvez forcer à ce que le sudoer ne puisse pas agir ailleurs qu’en mode console :

Defaults requiretty

Vous pouvez aussi loguer l’activité des sudoers dans un fichier de logs spécifique :

Defaults log_host,log_year,logfile="/var/log/sudoers"

Je vous conseille d’allonger la durée du timeout au bout des 3 tentatives de saisie de votre mot de passe :

Defaults passwd_timeout=1440

La saisie du mot de passe ?

Une fois connecté en tant que sudoer, vous disposez de 20 minutes avant de retaper votre mot de passe à nouveau. Vous pouvez modifier ce délai en le passant à la journée :

Defaults env_reset,timestamp_timeout=1440

Pour une durée illimitée :

Defaults env_reset,timestamp_timeout=-1

L’autre technique, plus « radicale », consiste à débrayer la saisie du mot de passe pour le sudoer appartenant au groupe wheel :

%wheel ALL=(ALL) NOPASSWD: ALL

Documentation

Linux  / Centos Fedora Formation CentOS Formation Fedora Formation Linux Formation Red Hat Formation Sécurité informatique Linux Red Hat Sécurité informatique sudo sudoers 

Commentaires

bonjour,

je ne sais pas si vous aviez vu cet article
https://blog.seboss666.info/2016/12/lancer-des-commandes-avec-les-droits-dun-autre-utilisateur/

sudo ne se limite pas à « emprunter » les droits admin et permet plus de sibtilités

@craintdegun

Article très intéressant, en effet, qui avait échappé à ma veille. C’est un blog que j’ai ajouté aux fils de mon agrégateur depuis peu.

Laisser un commentaire

(requis)

(requis)