Pages : 1
#1 Le 11/09/2014, à 11:34
- LaurentR2D2
Désinstaller sudo
Bonjour,
Je souhaite désinstaller sudo de mon serveur. La commande de désinstallation veut supprimer également ubuntu-minimal. Hors, je lis dans la description de ce paquet qu'il ne doit pas être supprimé. Que dois-je donc faire ? Me contenter de désactiver sudo en commentant les lignes du fichier sudoers et en renommant éventuellement le binaire ? Je veux faire ça, parce que j'ai lu, et ça me semble logique, qu'il était plus sûr d'avoir un mot de passe root spécifique sur un serveur, car avec sudo, un attaquant pourra facilement prendre la main sur la machine.
Hors ligne
#2 Le 11/09/2014, à 11:52
- tiramiseb
Re : Désinstaller sudo
Salut,
sudo ou non, la problématique est la même : il faut que ton mot de passe soit sûr.
Que tu mettes un mot de passe faible sur le compte root ou sur un compte d'utilisateur, le problème de sécurité restera le même.
Désactiver sudo n'est pas forcément nécessaire : mets plutôt un mot de passe solide sur ton compte utilisateur.
sudo fait partie intégrante de la "logique Ubuntu" et je ne suis pas sûr qu'il est possible de le supprimer sans risquer de causer des soucis au système...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#3 Le 11/09/2014, à 11:53
- jplemoine
Re : Désinstaller sudo
Je pense (mais je peux me tromper) que justement c'est l'inverse....
Dans un cas, tu as déjà l'utilisateur (root) et il suffit d'avoir le mot de passe.
Dans l'autre cas (sudo), il faut te connecter pour pouvoir faire un sudo : il te faut donc trouver et l'utilisateur, et le mot de passe.
Ce que tu peux faire et mettre un logiciel comme fail2ban pour éviter les attaques de type brut-force et/ou de dictionnaire.
A confirmer ou infirmer par des spécialistes des serveurs.
Ce compte ne servira plus : vous pouvez le supprimer si le coeur vous en dit...
Laissé par l'auteur pour historique.
Hors ligne
#4 Le 11/09/2014, à 11:54
- tiramiseb
Re : Désinstaller sudo
jplemoine: boarf, tant que le mot de passe est sécurisé, savoir que l'utilisateur s'appelle "root" n'apporte pas grand chose 
Par contre, ce qui est très bien pour un serveur auquel on accède à distance, c'est désactiver totalement les mots de passe et n'avoir que de l'authentification par clé SSH.
C'est ce que je fais, directement sur l'utilisateur root.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#5 Le 11/09/2014, à 12:05
- jplemoine
Re : Désinstaller sudo
Merci pour ces éclaircissement, nos posts #2 et #3 se sont croisés... Sinon, je t'aurais gérer la discussion.
C'est vrai que tu as déjà préconisé la solution des clés SSH en lieu et place du mot de passe.
Ce compte ne servira plus : vous pouvez le supprimer si le coeur vous en dit...
Laissé par l'auteur pour historique.
Hors ligne
#6 Le 11/09/2014, à 12:17
- LaurentR2D2
Re : Désinstaller sudo
Je pense (mais je peux me tromper) que justement c'est l'inverse....
Dans un cas, tu as déjà l'utilisateur (root) et il suffit d'avoir le mot de passe.
Dans l'autre cas (sudo), il faut te connecter pour pouvoir faire un sudo : il te faut donc trouver et l'utilisateur, et le mot de passe.
Ce que tu peux faire et mettre un logiciel comme fail2ban pour éviter les attaques de type brut-force et/ou de dictionnaire.
A confirmer ou infirmer par des spécialistes des serveurs.
Connaître le mot de passe root ne suffira pas, car j'ai désactivé l'accès root dans le fichier de configuration ssh. Il faut donc obligatoirement que je me connecte en tant qu'utilisateur pour pouvoir me connecter en tant que root, donc obligation de connaître deux mots de passe.
Hors ligne
#7 Le 11/09/2014, à 12:33
- ssdg
Re : Désinstaller sudo
J'aimerai bien voir l'explication du c'est plus sur. Parceque perso, je n'arrive pas à voir la logique.
s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.
Hors ligne
#8 Le 11/09/2014, à 12:40
- tiramiseb
Re : Désinstaller sudo
l faut donc obligatoirement que je me connecte en tant qu'utilisateur pour pouvoir me connecter en tant que root, donc obligation de connaître deux mots de passe.
Ce qui n'assure pas une vraie sécurité, car on n'est encore une fois pas sûr de chacun des deux mots de passe.
Un seul mot de passe réellement sûr est mieux que deux mots de passe à peu près sûrs 
Réactive la connexion root dans SSH, mets une clé SSH et désactive complètement le mot de passe root. Là tu auras quelque chose de très simple à utiliser et très sécurisé.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#9 Le 15/09/2014, à 11:13
- mazarini
Re : Désinstaller sudo
Bonjour,
On peut supprimer les utilisateurs du groupe "sudoers" (orthographe approximative) dans le fichier /etc/group
Il est également possible de supprimer l’autorisation de lancer des commandes en temps que root aux membre du groupe sudoers dans le paramétrage de sudo.
Autrement tiramiseb a raison. J'ajouterai que l'on peut éventuellement aussi voir la commande sudo comme une protection contre ses propres erreurs en faisant plus clairement la différence entre les commandes "utilisateur" et "root" suivant que l'on met sudo ou pas devant.
S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)
Hors ligne
#10 Le 15/09/2014, à 11:38
- Haleth
Re : Désinstaller sudo
"Chercher une clef RSA (512 char)" n'est pas beaucoup moins secure que "checher une clef RSA (512 char) et chercher le login qui va avec (6 char en moyenne)"
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#11 Le 15/09/2014, à 21:53
- ssdg
Re : Désinstaller sudo
Si le login n'est pas publié quelque part (par exemple: ici lors d'un copier coller ou dans le nom de l'utilisateur).C'est quand même 191102976 fois plus long. (en imaginant que des minuscules)
Il est vrai que le login n'est proabablement pas totalement aléatoire aussi il doit être possible de passer par une attaque par dico... Mais même si le mec y arrive au deuxieme essais. c'est toujours ça de pris 
s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.
Hors ligne
#12 Le 16/09/2014, à 09:52
- tiramiseb
Re : Désinstaller sudo
On peut supprimer les utilisateurs du groupe "sudoers" (orthographe approximative) dans le fichier /etc/group
En utilisant les commandes adéquates (deluser ou usermod), c'est plus propre que d'éditer directement /etc/group (même si, dans la plupart des cas, le résultat est équivalent).
Il est également possible de supprimer l’autorisation de lancer des commandes en temps que root aux membre du groupe sudoers dans le paramétrage de sudo.
Oui, mieux, de créer des autorisations spécifiques à tel ou tel utilisateur ou tel ou tel groupe. Le groupe "sudoers" n'est qu'une convention sur Ubuntu...
J'ajouterai que l'on peut éventuellement aussi voir la commande sudo comme une protection contre ses propres erreurs
Oui, pour moi c'est bien là l'esprit de la façon dont on utilise sudo sur Ubuntu.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#13 Le 16/09/2014, à 19:46
- mazarini
Re : Désinstaller sudo
Merci tiramiseb, toujours des infos intéressantes pour les bricoleurs comme moi.
S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)
Hors ligne
Pages : 1