Le mode sudo sur Red Hat / CentOS / Fedora
22 janvier 2017
Au grand dam d’une certaine Sophie dont j’ai mis le commentaire injurieux à la benne, je ne suis pas un adepte du mode sudo. Ce mode permet d’agir en tant que root uniquement au travers de l’exécution de commandes déterminées dans le fichier /etc/sudoers. Ma génération qui s’est formée à la fin des années 1980 sur les systèmes UNIX (Solaris pour votre serviteur) n’a jamais eu trop l’habitude d’utiliser cette commande. Pour autant, les règles de sécurité des entreprises d’aujourd’hui amènent souvent à interdire le compte root aux administrateurs des serveurs Linux.
D’ailleurs, pour activer le compte root sur les systèmes Linux, tapez, en tant que sudoer :
sudo passwd root
Création de l’utilisateur sudoer lors de l’installation
Sous Fedora, Red Hat ou CentOS, lorsque vous créez un utilisateur au moment de l’installation de votre distribution Linux, celui-ci se voit attribuer le groupe wheel définit dans le fichier /etc/sudoers, comme suit :
%wheel ALL=(ALL) ALL
Pour savoir si votre utilisateur appartient au groupe wheel, tapez la commande groups.
Quelques règles de sécurité
Vous pouvez forcer à ce que le sudoer ne puisse pas agir ailleurs qu’en mode console :
Defaults requiretty
Vous pouvez aussi loguer l’activité des sudoers dans un fichier de logs spécifique :
Defaults log_host,log_year,logfile="/var/log/sudoers"
Je vous conseille d’allonger la durée du timeout au bout des 3 tentatives de saisie de votre mot de passe :
Defaults passwd_timeout=1440
La saisie du mot de passe ?
Une fois connecté en tant que sudoer, vous disposez de 20 minutes avant de retaper votre mot de passe à nouveau. Vous pouvez modifier ce délai en le passant à la journée :
Defaults env_reset,timestamp_timeout=1440
Pour une durée illimitée :
Defaults env_reset,timestamp_timeout=-1
L’autre technique, plus « radicale », consiste à débrayer la saisie du mot de passe pour le sudoer appartenant au groupe wheel :
%wheel ALL=(ALL) NOPASSWD: ALL