Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
tutoriel:effectuer_des_taches_en_super_utilisateur [Le 21/08/2017, 13:20] aldian ajout du tag sudo |
tutoriel:effectuer_des_taches_en_super_utilisateur [Le 22/03/2023, 17:07] (Version actuelle) bcag2 [Comment assigner le rôle d'administrateur à un compte d'utilisateur ?] |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag>administration sécurité droits sudo}} | + | {{tag>tutoriel administration sécurité droits sudo}} |
| ------ | ------ | ||
| Ligne 31: | Ligne 31: | ||
| - Cliquez sur le résultat; | - Cliquez sur le résultat; | ||
| - Un dialogue de saisie de mot de passe s'affiche. Saisissez le mot de passe de votre compte d'utilisateur actuel. \\ {{ :sudo-gksudo2.png?300 |Saisissez *votre* mot de passe.}} \\ | - Un dialogue de saisie de mot de passe s'affiche. Saisissez le mot de passe de votre compte d'utilisateur actuel. \\ {{ :sudo-gksudo2.png?300 |Saisissez *votre* mot de passe.}} \\ | ||
| - | Si vous n'avez pas entré un mot de passe erroné, votre programme se charge en mode privilégié. En cas d'erreur dans votre mot de passe, recommencez les opérations ci-dessus. Lors du succès de l'authentification, les tâches administratives sont débloquées pour une durée de 15 minutes : votre mot de passe ne vous sera pas demandé dans les 15 minutes suivantes pour effectuer d'autres tâches administratives. | + | Si vous n'avez pas entré un mot de passe erroné, votre programme se charge en mode privilégié. En cas d'erreur dans votre mot de passe, recommencez les opérations ci-dessus. \\ Lors du succès de l'authentification, les tâches administratives sont débloquées pour une durée de 15 minutes : \\ votre mot de passe ne vous sera pas demandé dans les 15 minutes suivantes pour effectuer d'autres tâches administratives. |
| ==== Exécuter une application graphique (Kubuntu) ==== | ==== Exécuter une application graphique (Kubuntu) ==== | ||
| Ligne 60: | Ligne 60: | ||
| * Pour exécuter une commande en mode console, utilisez **sudo**. | * Pour exécuter une commande en mode console, utilisez **sudo**. | ||
| - | <note tip>**Prenez de bonnes habitudes !** \\ À l'heure actuelle, on trouve plusieurs fois dans cette documentation, dans le forum et dans le planet l'instruction ''sudo <commande>'' pour exécuter de nombreux programmes en mode graphique avec des privilèges d'administration. Bien que ceci fonctionne quand même pour de nombreux programmes, vous devriez prendre l'habitude de lui préférer ''gksudo'' ou ''kdesudo''. Utiliser ''sudo'' pour exécuter des applications en mode graphique peut causer des problèmes dans votre session utilisateur courante, vous empêchant de poursuivre votre travail.((''gksudo'' paramètre le dossier personnel (la variable d'environnement ''$HOME'') pour l'application exécutée en mode privilégiée à ///root// plutôt qu'à ///home/<identifiant>// et copie le fichier ''.Xauthority'' dans un dossier temporaire. Ceci empêche que des fichiers du dossier personnel de l'utilisateur changent de propriétaire (et donc corrompent la session graphique en cours).))</note> | + | <note tip>**Prenez de bonnes habitudes !** \\ À l'heure actuelle, on trouve plusieurs fois dans cette documentation, dans le forum et dans le planet l'instruction ''sudo <commande>'' pour exécuter de nombreux programmes en mode graphique avec des privilèges d'administration. \\ Bien que ceci fonctionne quand même pour de nombreux programmes, vous devriez prendre l'habitude de lui préférer ''gksudo'' ou ''kdesudo''. \\ Utiliser ''sudo'' pour exécuter des applications en mode graphique peut causer des problèmes dans votre session utilisateur courante, vous empêchant de poursuivre votre travail.((''gksudo'' paramètre le dossier personnel (la variable d'environnement ''$HOME'') pour l'application exécutée en mode privilégiée à ///root// plutôt qu'à ///home/<identifiant>// et copie le fichier ''.Xauthority'' dans un dossier temporaire. \\ Ceci empêche que des fichiers du dossier personnel de l'utilisateur changent de propriétaire (et donc corrompent la session graphique en cours).))</note> |
| Ligne 71: | Ligne 71: | ||
| * **Dans Ubuntu et Xubuntu :** utilisez [[:users-admin#changer_le_type_de_compte_d_utilisateur|le module de gestion des utilisateurs du panneau de configuration système]] pour modifier ses privilèges ; | * **Dans Ubuntu et Xubuntu :** utilisez [[:users-admin#changer_le_type_de_compte_d_utilisateur|le module de gestion des utilisateurs du panneau de configuration système]] pour modifier ses privilèges ; | ||
| * **Dans Kubuntu :** utilisez [[:kcmshell4_userconfig|le module de gestion des comptes d'utilisateurs du panneau d'administration de KDE]] pour modifier ses privilèges ; | * **Dans Kubuntu :** utilisez [[:kcmshell4_userconfig|le module de gestion des comptes d'utilisateurs du panneau d'administration de KDE]] pour modifier ses privilèges ; | ||
| - | * **En mode console :** Ouvrez un terminal et exécutez la commande suivante : <code>sudo adduser <identifiant> sudo</code>où ''<identifiant>'' doit être remplacé par l'identifiant du compte d'utilisateur (sans les <chevrons>) auquel des privilèges supplémentaires doivent être accordés. | + | * **En mode console :** Ouvrez un terminal et exécutez la commande suivante : <code>sudo adduser <identifiant> sudo |
| + | # et pour enlever ce droit : | ||
| + | sudo deluser <identifiant> sudo | ||
| + | </code>où ''<identifiant>'' doit être remplacé par l'identifiant du compte d'utilisateur (sans les <chevrons>) auquel des privilèges supplémentaires doivent être accordés. | ||
| Notez que les changements de privilèges ne sont pas appliqués dès leur enregistrement. Ils ne sont appliqués que lorsque toutes les sessions en cours sont closes pour ce compte-là. À l'ouverture de session suivante pour ce compte, les nouveaux privilèges sont pris en compte. | Notez que les changements de privilèges ne sont pas appliqués dès leur enregistrement. Ils ne sont appliqués que lorsque toutes les sessions en cours sont closes pour ce compte-là. À l'ouverture de session suivante pour ce compte, les nouveaux privilèges sont pris en compte. | ||
| Ligne 91: | Ligne 94: | ||
| * L'installateur d'Ubuntu doit poser moins de questions. Ceci est particulièrement important pour le nouvel arrivant, qui peut ne pas être au courant de l'utilité du compte super-utilisateur et de son potentiel dangereux ; | * L'installateur d'Ubuntu doit poser moins de questions. Ceci est particulièrement important pour le nouvel arrivant, qui peut ne pas être au courant de l'utilité du compte super-utilisateur et de son potentiel dangereux ; | ||
| * Les administrateurs n'ont pas à se souvenir d'un mot de passe supplémentaire, qu'ils peuvent facilement oublier, ou compromettre la sécurité du compte ''root'' par des mauvaises habitudes ; | * Les administrateurs n'ont pas à se souvenir d'un mot de passe supplémentaire, qu'ils peuvent facilement oublier, ou compromettre la sécurité du compte ''root'' par des mauvaises habitudes ; | ||
| - | * Cela évite le comportement du « Je peux tout faire sur ma machine » : avant d'effectuer une action d'administration, Ubuntu vous demande votre mot de passe, ce qui devrait faire réfléchir les administrateurs aux conséquences de leur action ; | + | * Cela évite le comportement du « Je peux tout faire sur ma machine » : \\ avant d'effectuer une action d'administration, Ubuntu vous demande votre mot de passe, ce qui devrait faire réfléchir les administrateurs aux conséquences de leur action ; |
| * ''sudo'' conserve une trace de toutes les commandes exécutées. Si un problème apparaît, vous pourrez toujours consulter ce journal afin de retrouver la commande ayant causé le problème ; | * ''sudo'' conserve une trace de toutes les commandes exécutées. Si un problème apparaît, vous pourrez toujours consulter ce journal afin de retrouver la commande ayant causé le problème ; | ||
| * Tous les pirates tentant de pénétrer par la force brute votre système savent qu'il existe un compte appelé ''root'' et essaieront de pirater celui-ci d'abord. Ils ne connaissent pas les identifiants des autres utilisateurs de votre ordinateur ; | * Tous les pirates tentant de pénétrer par la force brute votre système savent qu'il existe un compte appelé ''root'' et essaieront de pirater celui-ci d'abord. Ils ne connaissent pas les identifiants des autres utilisateurs de votre ordinateur ; | ||
| Ligne 100: | Ligne 103: | ||
| ==== « sudo » n'est-il pas moins sécurisé que « su root » ? ==== | ==== « sudo » n'est-il pas moins sécurisé que « su root » ? ==== | ||
| - | Le modèle de sécurité à la base est le même, et les deux modèles partagent une même faiblesse. Tout utilisateur utilisant ''su root'' ou ''sudo'' pour effectuer des tâches administratives doit être considéré comme un utilisateur privilégié. Si le compte de l'utilisateur est compromis par un attaquant, celui-ci peut aussi obtenir une élévation de privilèges et compromettre le système d'exploitation. Les utilisateurs ayant les droits d'administration doivent être protégés avec les mêmes soins que le compte super-utilisateur. | + | Le modèle de sécurité à la base est le même, et les deux modèles partagent une même faiblesse. Tout utilisateur utilisant ''su root'' ou ''sudo'' pour effectuer des tâches administratives doit être considéré comme un utilisateur privilégié. \\ Si le compte de l'utilisateur est compromis par un attaquant, celui-ci peut aussi obtenir une élévation de privilèges et compromettre le système d'exploitation. \\ Les utilisateurs ayant les droits d'administration doivent être protégés avec les mêmes soins que le compte super-utilisateur. |
| - | Sur une note plus ésotérique, on remarque que ''sudo'' encourage la modification des habitudes de travail, qui peuvent provoquer un impact positif sur la sécurité du système d'exploitation. ''sudo'' est habituellement utilisé pour exécuter une commande unique, alors que ''su root'' est souvent utilisé pour exécuter un terminal ''root'' et exécuter des multiples commandes. L'approche de ''sudo'' réduit la possibilité qu'un terminal ''root'' soit laissé ouvert indéfiniment sur le poste de travail et encourage l'utilisateur à minimiser son utilisation des privilèges d'administration. | + | Sur une note plus ésotérique, on remarque que ''sudo'' encourage la modification des habitudes de travail, qui peuvent provoquer un impact positif sur la sécurité du système d'exploitation. \\ ''sudo'' est habituellement utilisé pour exécuter une commande unique, alors que ''su root'' est souvent utilisé pour exécuter un terminal ''root'' et exécuter des multiples commandes. \\ L'approche de ''sudo'' réduit la possibilité qu'un terminal ''root'' soit laissé ouvert indéfiniment sur le poste de travail et encourage l'utilisateur à minimiser son utilisation des privilèges d'administration. |
| Ligne 112: | Ligne 115: | ||
| ==== Ouvrir un terminal en mode root ==== | ==== Ouvrir un terminal en mode root ==== | ||
| - | Utiliser ''sudo'' pour exécuter une seule commande ne cause pas un réel désagrément, mais il peut être désagréable de l'utiliser pour exécuter une longue procédure nécessitant plusieurs interventions en mode super-utilisateur (''root''). L'ouverture d'un terminal en mode ''root'' permet d'éviter d'avoir à appeler ''sudo'' à chacune des étapes de cette procédure, sans avoir à activer l'accès au compte d'utilisateur ''root''. L'inconvénient de cette méthode est qu'aucune trace des actions posées n'est inscrite dans le journal de ''sudo'' (sinon l'ouverture du terminal ''root'' lui-même). Il est déconseillé d'ouvrir un terminal ''root''. | + | Utiliser ''sudo'' pour exécuter une seule commande ne cause pas un réel désagrément, mais il peut être désagréable de l'utiliser pour exécuter une longue procédure nécessitant plusieurs interventions en mode super-utilisateur (''root''). \\ L'ouverture d'un terminal en mode ''root'' permet d'éviter d'avoir à appeler ''sudo'' à chacune des étapes de cette procédure, sans avoir à activer l'accès au compte d'utilisateur ''root''. \\ L'inconvénient de cette méthode est qu'aucune trace des actions posées n'est inscrite dans le journal de ''sudo'' (sinon l'ouverture du terminal ''root'' lui-même). Il est déconseillé d'ouvrir un terminal ''root''. |
| Pour vous servir d'un terminal ''root'' : | Pour vous servir d'un terminal ''root'' : | ||
| - Ouvrez [[:terminal|une fenêtre de terminal]] ; | - Ouvrez [[:terminal|une fenêtre de terminal]] ; | ||
| - | - Saisissez la commande suivante : <code>utilisateur@ordinateur:~$ sudo -i</code> | + | - Saisissez la commande suivante : <code bash>utilisateur@ordinateur:~$ sudo -i</code> |
| - Saisissez votre mot de passe à l'invite de saisie de mot de passe ; | - Saisissez votre mot de passe à l'invite de saisie de mot de passe ; | ||
| - Exécutez votre série de commandes d'administration ; | - Exécutez votre série de commandes d'administration ; | ||
| - | - Fermez la session ''root'' : <code>root@ordinateur:~# exit</code> ou ''Ctrl+D'' | + | - Fermez la session ''root'' : <code bash>root@ordinateur:~# exit</code> ou ''Ctrl+D'' |
| ==== Rediriger un flux avec « sudo » ==== | ==== Rediriger un flux avec « sudo » ==== | ||
| - | ''sudo'' pose //a priori// des problèmes pour la redirection de flux dans une console. Par exemple, la redirection suivante ne fonctionnera pas : <code>utilisateur@ordinateur:~$ sudo echo 2 > /proc/acpi/thermal_zone/ATF0/polling_frequency</code>La raison de cet échec est que ''sudo'' n'exécute que la première tâche (''echo 2'') avec l'identité empruntée ; la redirection, elle, est effectuée en mode utilisateur uniquement. | + | ''sudo'' pose //a priori// des problèmes pour la redirection de flux dans une console. Par exemple, la redirection suivante ne fonctionnera pas : <code bash>utilisateur@ordinateur:~$ sudo echo 2 > /proc/acpi/thermal_zone/ATF0/polling_frequency</code>La raison de cet échec est que ''sudo'' n'exécute que la première tâche (''echo 2'') avec l'identité empruntée ; la redirection, elle, est effectuée en mode utilisateur uniquement. |
| - | La solution, pour contourner cette limitation, est d'appeler un nouvel interpréteur de commandes et de lui faire exécuter votre redirection de flux. Par exemple : <code>utilisateur@ordinateur:~$ sudo sh -c 'echo 2 > /proc/acpi/thermal_zone/ATF0/polling_frequency'</code>De cette manière, c'est tout l'interpréteur ''sh'' et la commande passée en argument qui est exécutée avec l'identité empruntée. | + | La solution, pour contourner cette limitation, est d'appeler un nouvel interpréteur de commandes et de lui faire exécuter votre redirection de flux. Par exemple : <code bash>utilisateur@ordinateur:~$ sudo sh -c 'echo 2 > /proc/acpi/thermal_zone/ATF0/polling_frequency'</code>De cette manière, c'est tout l'interpréteur ''sh'' et la commande passée en argument qui est exécutée avec l'identité empruntée. |
| Ligne 145: | Ligne 148: | ||
| ----- | ----- | ||
| - | //Contributeurs : [[:utilisateurs:AlexandreP]], [[:utilisateurs:Chatalors]], [[:utilisateurs:Damocles]], [[:utilisateurs:Ju]]// \\ | + | //Contributeurs : [[:utilisateurs:AlexandreP]], [[:utilisateurs:Chatalors]], [[:utilisateurs:Damocles]], [[:utilisateurs:Ju]], // \\ |
| + | //Autres contributeurs : [[:utilisateurs:eagle08]]// : formatage du texte pour améliorer la lisibilité à l'écran. | ||