su, gksu, sudo... et le trousseau de clés...

Le
David BERCOT
Re-bonjour,

Je me pose quelques questions sur ces différents outils : su, gksu, su=
do, gksudo et sur le trousseau de clés
J'utilise souvent su en ligne de commande et je vois bien ce qu'il permet d=
e faire.
En revanche, avec gksu, j'ai plus de mal Il me demande le mot de passe d=
e root mais, après, plus rien Je pense donc qu'il utilise le fameux=
trousseau de clés où sont stockés tous les mots de passe (d=
u genre, pour se connecter à tel serveur Windows). Où est-ce que =
je pourrais voir quels sont les mots de passe enregistrés dans ce trou=
sseau de clés ? Et en effacer d'ailleurs ?
Enfin, puis-je vous demander (je sais, ça va vous sembler trivial, mai=
s bon) la différence avec sudo et gksudo ?

Merci d'avance (même pour les questions triviales ;-)).

David (débutant Linux).
Vos réponses Page 1 / 2
Trier par : date / pertinence
Stephane Bortzmeyer
Le #9013951
On Mon, Jul 25, 2005 at 04:01:50PM +0200,
David BERCOT a message of 18 lines which said:

Enfin, puis-je vous demander (je sais, ça va vous sembler trivial,
mais bon...) la différence avec sudo



su est un outil archaïque qui ne devrait plus être utilisé pour passer
root. Comme il demande le mot de passe de root, il oblige à diffuser
ce mot de passe. Or, "Un secret, c'est un secret. Si deux personnes
savent, ce n'est plus un secret. Si trois personnes savent, tout le
monde sait." Ces mots de passe collectifs encouragent
l'irresponsabilité (impossible de savoir qui a fait quoi.)

sudo, au contraire, demande *votre* mot de passe, pas celui de
root. Ainsi, on n'a besoin que d'un seul mot de passe et il n'y a plus
de secret partagé. Et il logue ce qu'il fait.





--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Daniel C
Le #9013881
Stephane Bortzmeyer wrote:
On Mon, Jul 25, 2005 at 04:01:50PM +0200,
David BERCOT a message of 18 lines which said:

Enfin, puis-je vous demander (je sais, ça va vous sembler trivial,
mais bon...) la différence avec sudo



su est un outil archaïque qui ne devrait plus être utilisé pour p asser
root. Comme il demande le mot de passe de root, il oblige à diffuser
ce mot de passe. Or, "Un secret, c'est un secret. Si deux personnes
savent, ce n'est plus un secret. Si trois personnes savent, tout le
monde sait." Ces mots de passe collectifs encouragent
l'irresponsabilité (impossible de savoir qui a fait quoi.)



Le pass root n'est pas un secret, c'est une clé.
Ensuite, à toi de voir à qui tu la donne.

sudo, au contraire, demande *votre* mot de passe, pas celui de
root. Ainsi, on n'a besoin que d'un seul mot de passe et il n'y a plus
de secret partagé. Et il logue ce qu'il fait.



Et si qqun a ton mot de passe, il est root d'office.

Avec su, il en faut 2.

Je pense que cela dépend de ce que l'on veut faire.
Personnellement, je veux pas entendre parle de sudo sur une machine de
prod (pour ce que j'en fait, mais il y a surement des usages ou ça
permet de donner des droits limités à certaines personnes).

Daniel
Stephane Bortzmeyer
Le #9013831
On Wed, Aug 03, 2005 at 02:27:04PM +0200,
Daniel C a message of 33 lines which said:

Le pass root n'est pas un secret, c'est une clé.



Faux. Une clé, dans le monde physique, est difficile à dupliquer, ce
qui permet partiellement d'en controler le nombre. Un secret, comme le
mot de passe de root, n'est pas controlable : une fois transmis, il
peut se retransmettre et il n'y a pas de traçabilité.

Et si qqun a ton mot de passe, il est root d'office.



Les gens protègent mieux un secret personnel qu'un pseudo-secret
partagé (oui, ce n'est pas de la technique, mais c'est normal, la
sécurité, c'est 10 % de technique et 90 % de psychologie).

Et, avec sudo, on a la traçabilité, on sait qui est responsable de
quoi.

Avec su, il en faut 2.



Si root ne peut pas se loger directement, oui. Sinon, un seul mot de
passe suffit, celui de root. (On peut avoir le meme effet avec les
clés SSH et sudo.)

Personnellement, je veux pas entendre parle de sudo sur une machine
de prod



Moi, je n'embaucherai pas quelqu'un qui utilise su sur une machine de
prod' :-)


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Daniel C
Le #9013801
Stephane Bortzmeyer wrote:
On Wed, Aug 03, 2005 at 02:27:04PM +0200,
Daniel C


Et si qqun a ton mot de passe, il est root d'office.



Les gens protègent mieux un secret personnel qu'un pseudo-secret
partagé (oui, ce n'est pas de la technique, mais c'est normal, la
sécurité, c'est 10 % de technique et 90 % de psychologie).



Oui mais les mots de passe des users "ordinaires" servent aussi pour du
ftp, du pop, et plein de trucs ou le pass se promène en clair...

Et, avec sudo, on a la traçabilité, on sait qui est responsable de
quoi.



Avec su aussi, mais de toutes façon, une fois root, c'est facile de
supprimer les traces (à moins d'un syslog distant).

Moi, je n'embaucherai pas quelqu'un qui utilise su sur une machine de
prod' :-)



Heureusement qu t'es pas mon patron ;-) (mais je suis pas vraiment
embauché pour ça, c'est juste un truc en prime du reste).

Daniel
fra-duf-no-spam
Le #9013771
Le 12998ième jour après Epoch,
Stephane Bortzmeyer écrivait:

On Wed, Aug 03, 2005 at 02:27:04PM +0200,
Daniel C a message of 33 lines which said:

Le pass root n'est pas un secret, c'est une clé.



Faux. Une clé, dans le monde physique, est difficile à duplique r, ce
qui permet partiellement d'en controler le nombre. Un secret, comme le
mot de passe de root, n'est pas controlable



Euh... A mon avis, la comparaison "clef vs. secret" est pas trop
adaptée, car dupliquer une clef est relativement simple en génà ©ral.

Je suis par contre totalement d'accord avec:

une fois transmis, il
peut se retransmettre et il n'y a pas de traçabilité.

Et si qqun a ton mot de passe, il est root d'office.





Il y a donc sudo et/ou ssh pour ça et pour la traçabilité. U ne clef
(argh!) ssh dans le root@:~/.ssh/authorized_keys va permettre de
tracer qui fait quoi, sans avoir besoin du mot de passe, et sudo
possède en plus l'immense avantage de restreindre les actions que le
possesseur d'autorisation peut effectuer (Comme par exemple effacer la
trace de son passage ;) )

Personnellement, je veux pas entendre parle de sudo sur une machine
de prod



Moi, je n'embaucherai pas quelqu'un qui utilise su sur une machine de
prod' :-)



Pareil... Hum... Encore que je fais ça des fois ;) Mais avec sudo
seulement! :

$ sudo su -
#

c'est sale, hein? :)
Mohamadi ZONGO
Le #9013751
Daniel C a écrit :

Stephane Bortzmeyer wrote:

On Wed, Aug 03, 2005 at 02:27:04PM +0200,
Daniel C



Et si qqun a ton mot de passe, il est root d'office.




Les gens protègent mieux un secret personnel qu'un pseudo-secret
partagé (oui, ce n'est pas de la technique, mais c'est normal, la
sécurité, c'est 10 % de technique et 90 % de psychologie).




Oui mais les mots de passe des users "ordinaires" servent aussi pour
du ftp, du pop, et plein de trucs ou le pass se promène en clair...



Quand on dit user "ordinaire" j'entend "user non root", mais je crois
que dans ce cas precis il faut restreindre à "user non root et averti" !

Y'en a qui donne des droit root a des users "ordinaires non averti" ? si
c'est pas un user "ordinaires" il laissera tombé les protocol en clair
et utiliser les equivalent crypté!
Ou bien par ex. tenir deux comptes, un avec shell (ssh,sudo,pour
administrer) et l'autre sans shell (pop, ftp, etc)!

Je crois d'ailleurs que tout compte pop/ftp "clair" ne doit pas posseder
de shell donc pas de su ni sudo d'ailleurs pour ces comptes.

---
mzongo

Et, avec sudo, on a la traçabilité, on sait qui est responsable de
quoi.




Avec su aussi, mais de toutes façon, une fois root, c'est facile de
supprimer les traces (à moins d'un syslog distant).

Moi, je n'embaucherai pas quelqu'un qui utilise su sur une machine de
prod' :-)




Heureusement qu t'es pas mon patron ;-) (mais je suis pas vraiment
embauché pour ça, c'est juste un truc en prime du reste).

Daniel






--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
David BERCOT
Le #9013611
> > Enfin, puis-je vous demander (je sais, ça va vous sembler trivial,
> mais bon...) la différence avec sudo

su est un outil archaïque qui ne devrait plus être utilisé pour passer
root. Comme il demande le mot de passe de root, il oblige à diffuser
ce mot de passe. Or, "Un secret, c'est un secret. Si deux personnes
savent, ce n'est plus un secret. Si trois personnes savent, tout le
monde sait." Ces mots de passe collectifs encouragent
l'irresponsabilité (impossible de savoir qui a fait quoi.)



Moi je dirais que le mot de passe de root n'est pas à diffuser mais à
utiliser par l'administrateur (qui a un compte ordinaire avec un autre
mot de passe) lorsqu'il fait des tâches d'administration !!! En tous
cas, je vois les choses comme ça...

sudo, au contraire, demande *votre* mot de passe, pas celui de
root. Ainsi, on n'a besoin que d'un seul mot de passe et il n'y a plus
de secret partagé. Et il logue ce qu'il fait.



Là, il doit y avoir quelque chose qui m'échappe !!!
En tapant sudo, on donne son propre mot de passe et on a les droits
d'admin ??? On peut tout faire ???
Visiblement, il doit me manquer un détail ;-)

Et sinon, pour le trousseau de clés, personne ne sait comme le vider,
consulter ce qu'il contient, bref, le gérer ?

Merci d'avance.

David.



--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
David BERCOT
Le #9013601
> > En tapant sudo, on donne son propre mot de passe et on a les droits
> d'admin ???

Oui (il faut évidemment être dans /etc/sudoers sinon sudo refuse).



Dans ce cas, je ne vois pas bien la différence par rapport à un compte
qui a d'entrée les droits d'admin !!!
Mais bon, en ce qui me concerne, c'est clair, je préfère LARGEMENT su à
sudo dans ce cas alors... Au moins, les droits ne sont que attribués que
pour une action ponctuelle...

Maintenant, dans certains cas (s'il y a plusieurs personnes qui ont
besoin de droits d'admin), je reconnais que ça doit pouvoir être
utile ;-)

> On peut tout faire ???

Oui, sauf restriction mise dans /etc/sudoers.



Logique cette possibilité...

Merci pour ces infos...

David.



--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
Le #9013591
On Wed, Aug 03, 2005 at 07:21:46PM +0200,
David BERCOT a message of 41 lines which said:

En tapant sudo, on donne son propre mot de passe et on a les droits
d'admin ???



Oui (il faut évidemment être dans /etc/sudoers sinon sudo refuse).

On peut tout faire ???



Oui, sauf restriction mise dans /etc/sudoers.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
Le #9013581
On Wed, Aug 03, 2005 at 08:39:13PM +0200,
David BERCOT a message of 35 lines which said:

Dans ce cas, je ne vois pas bien la différence par rapport à un
compte qui a d'entrée les droits d'admin !!!



Cela me semble pourtant évident : avec sudo, l'utilisateur doit
explicitement marquer son intention d'exécuter une commande en tant
que root. Cela réduit considérablement les accidents qui se produisent
lorsqu'on est logué en tant que root.

Mais bon, en ce qui me concerne, c'est clair, je préfère LARGEMENT
su à sudo dans ce cas alors... Au moins, les droits ne sont que
attribués que pour une action ponctuelle...



C'est tout le contraire.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme