Denis Szalkowski Formateur Consultant

Formateur et formations Linux Red Hat, Fedora, Ubuntu Server, Debian Bash, PowerShell, IPv6, Sécurité informatique, GLPI, FusionInventory, Squid, LAMP, Apache, MySQL, MariaDB, PostgreSQL, SQL Server, Oracle Database, SQL, PHP, SEO, Référencement naturel, Veille stratégique et concurrentielle

Le mode sudo sur Red Hat / CentOS / Fedora

Au grand dam d’une certaine Sophie dont j’ai mis le commentaire injurieux à la benne, je ne suis pas un adepte du mode sudo. Ce mode permet d’agir en tant que root uniquement au travers de l’exécution de commandes déterminées dans le fichier /etc/sudoers. Ma génération qui s’est formée à la fin des années 1980 sur les systèmes UNIX (Solaris pour votre serviteur) n’a jamais eu trop l’habitude d’utiliser cette commande. Pour autant, les règles de sécurité des entreprises d’aujourd’hui amènent souvent à interdire le compte root aux administrateurs des serveurs Linux.

D’ailleurs, pour activer le compte root sur les systèmes Linux, tapez, en tant que sudoer :

sudo passwd root

Création de l’utilisateur sudoer lors de l’installation

Sous Fedora, Red Hat ou CentOS, lorsque vous créez un utilisateur au moment de l’installation de votre distribution Linux, celui-ci se voit attribuer le groupe wheel définit dans le fichier /etc/sudoers, comme suit :

%wheel ALL=(ALL) ALL

Pour savoir si votre utilisateur appartient au groupe wheel, tapez la commande groups.

Quelques règles de sécurité

Vous pouvez forcer à ce que le sudoer ne puisse pas agir ailleurs qu’en mode console :

Defaults requiretty

Vous pouvez aussi loguer l’activité des sudoers dans un fichier de logs spécifique :

Defaults log_host,log_year,logfile="/var/log/sudoers"

Je vous conseille d’allonger la durée du timeout au bout des 3 tentatives de saisie de votre mot de passe :

Defaults passwd_timeout=1440

La saisie du mot de passe ?

Une fois connecté en tant que sudoer, vous disposez de 20 minutes avant de retaper votre mot de passe à nouveau. Vous pouvez modifier ce délai en le passant à la journée :

Defaults env_reset,timestamp_timeout=1440

Pour une durée illimitée :

Defaults env_reset,timestamp_timeout=-1

L’autre technique, plus « radicale », consiste à débrayer la saisie du mot de passe pour le sudoer appartenant au groupe wheel :

%wheel ALL=(ALL) NOPASSWD: ALL

Documentation

• The sudo command
• Sudo
• Difference Between su and sudo and How to Configure sudo in Linux
• 10 Useful Sudoers Configurations for Setting ‘sudo’ in Linux
• How to Keep ‘sudo’ Password Timeout Session Longer in Linux

 

• Accueil
• Présentation
• Parcours
• Compétences
• Formations
• Supports
• Actualités
• Contact
• Newsletter
• Mentions légales