Se connecter

Informatique

Linux

Sujet : en quoi sudo est mieux que su?
1
E-102-B
Niveau 7
12 mai 2022 à 12:47:15

Bonjour, j'utilise toujours su mais on me dit que sudo est plus securisé , mais je vois pas en quoi :(

avec sudo si mon compte peut devenir root, il suffit de taper une deuxieme fois le mdp de mon compte standard, alors qu'avec su je peux mettre un deuxieme mdp different pour root, donc ça me parrait plus securisé que sudo ou il faut deviner qu'un seul mdp pour devenir root :(

Pseudo supprimé
Niveau 7
12 mai 2022 à 14:14:06

su sert à se connecter à un utilisateur
sudo sert à exécuter une commande en tant qu'un autre utilisateur sous l'autorisation du fichier de configuration /etc/sudoers

Bref, aucun rapport entre les deux :doute:

J'ai pas envie de me connecter et de me déconnecter en permanence pour exécuter des commandes en tant que root

Tu peux très bien autoriser certaines commandes particulières pour certains utilisateurs sans qu'ils aient à avoir le mot de passe de l'utilisateur cible.

Exemple typique, tu pourrais très bien vouloir autoriser l'utilisateur user à exécuter systemctl restart nginx sous l'utilisateur root sans vouloir lui donner un accès root total

jeanfilon
Niveau 35
18 mai 2022 à 20:27:53

Le 12 mai 2022 à 12:47:15 :
Bonjour, j'utilise toujours su mais on me dit que sudo est plus securisé , mais je vois pas en quoi :(

avec sudo si mon compte peut devenir root, il suffit de taper une deuxieme fois le mdp de mon compte standard, alors qu'avec su je peux mettre un deuxieme mdp different pour root, donc ça me parrait plus securisé que sudo ou il faut deviner qu'un seul mdp pour devenir root :(

le seul interet de sudo c'est eventuellement de retirer les droit d'admin a un user sans communiquer le mdp root... Bref si tu es le seul admin sur le serveur y'a rien du tout de plus secure hein ca change rien

E-102-B
Niveau 7
20 mai 2022 à 10:48:12

oui du coup je vais le virer et reprendre ce bon su, je prefere avoir deux mdp differents, comme ça si par miracle quelqu'un trouve le mdp de mon user, il devra aussi trouver celui de root

NABESHlN
Niveau 10
20 mai 2022 à 15:56:06

On a (avait ?) tendance à désactiver le compte root en lui donnant pas de mot de passe, donc j'imagine que sudo existe pour palier à ce problème

Pseudo supprimé
Niveau 9
20 mai 2022 à 16:08:32

le gros avantage de sudo, c'est qu'on peut personnaliser les droits par utilisateurs / groupe. Ce qui peut être très pratique quand on veut permettre à certains utilisateurs de faire certaines opérations d'administration et de ne pas leur laisser tous les droits.

D'ailleurs certains contrôles parentaux (par exemple sur la distro EndlessOS) utilisent aussi le fichier sudoers.

Pseudo supprimé
Niveau 5
21 mai 2022 à 16:06:24

Le 20 mai 2022 à 10:48:12 :
oui du coup je vais le virer et reprendre ce bon su, je prefere avoir deux mdp differents, comme ça si par miracle quelqu'un trouve le mdp de mon user, il devra aussi trouver celui de root

Quel malaise :rire:

Je sais même pas par où commencer pour expliquer la stupidité de ces propos :rire:

E-102-C
Niveau 6
21 mai 2022 à 16:41:26

Le 21 mai 2022 à 16:06:24 :

Le 20 mai 2022 à 10:48:12 :
oui du coup je vais le virer et reprendre ce bon su, je prefere avoir deux mdp differents, comme ça si par miracle quelqu'un trouve le mdp de mon user, il devra aussi trouver celui de root

Quel malaise :rire:

Je sais même pas par où commencer pour expliquer la stupidité de ces propos :rire:

si je suis le seul à utiliser mon serveur, je vois 0 intérêt à sudo

vvvvvvvvvvvvv1
Niveau 6
21 mai 2022 à 17:18:03

Le 21 mai 2022 à 16:41:26 :

Le 21 mai 2022 à 16:06:24 :

Le 20 mai 2022 à 10:48:12 :
oui du coup je vais le virer et reprendre ce bon su, je prefere avoir deux mdp differents, comme ça si par miracle quelqu'un trouve le mdp de mon user, il devra aussi trouver celui de root

Quel malaise :rire:

Je sais même pas par où commencer pour expliquer la stupidité de ces propos :rire:

si je suis le seul à utiliser mon serveur, je vois 0 intérêt à sudo

C'est quoi l'intérêt d'avoir un compte utilisateur et un compte root ?
Il faut se connecter à root directement.

Google_Bot
Niveau 12
21 mai 2022 à 18:03:04

Le 21 mai 2022 à 17:18:03 :

Le 21 mai 2022 à 16:41:26 :

Le 21 mai 2022 à 16:06:24 :

Le 20 mai 2022 à 10:48:12 :
oui du coup je vais le virer et reprendre ce bon su, je prefere avoir deux mdp differents, comme ça si par miracle quelqu'un trouve le mdp de mon user, il devra aussi trouver celui de root

Quel malaise :rire:

Je sais même pas par où commencer pour expliquer la stupidité de ces propos :rire:

si je suis le seul à utiliser mon serveur, je vois 0 intérêt à sudo

C'est quoi l'intérêt d'avoir un compte utilisateur et un compte root ?
Il faut se connecter à root directement.

Typiquement, utiliser root pour les opérations d'administration du système (installation, configuration) puis un ou plusieurs comptes à moindres privilèges pour l'administration des services (exemple : faire tourner un serveur Minecraft, faire monter ou descendre du contenu web par SFTP... ces choses-là ne sont pas censées être réalisés avec le compte root).

vvvvvvvvvvvvv1
Niveau 6
21 mai 2022 à 18:10:33

Je n'aime pas multiplier les comptes sur un serveur. Je préfère avoir un seul compte, sécurisé, où je fais tout avec.
Tout ça pour au final se prendre la tête avec des histoires de sudo, qui ne servent à rien pour moi.

Un compte : Root.
Connexion : SSH, avec une clé.

soyiy
Niveau 5
21 mai 2022 à 18:51:09

Avec su tu as accès à toutes les tâches administratives root

Avec sudo tu peux (optionnellement) faire en sorte de limiter les droits à certaines fonctionnalités du système - même si par défaut tu as accès à tout si tu utilises une distro Linux juste pour toi sur ta propre marchine

Google_Bot
Niveau 12
22 mai 2022 à 00:24:09

Le 21 mai 2022 à 18:10:33 :
Je n'aime pas multiplier les comptes sur un serveur. Je préfère avoir un seul compte, sécurisé, où je fais tout avec.
Tout ça pour au final se prendre la tête avec des histoires de sudo, qui ne servent à rien pour moi.

Un compte : Root.
Connexion : SSH, avec une clé.

Alors on s'entend bien sur l'idée de minimiser le nombre de comptes mais l'exemple du serveur Minecraft est quand-même assez parlant : lancer Minecraft en tant que root c'est risqué, la moindre vuln de type RCE devient instantanément fatale là où l'utilisation d'un compte dédié, à bas privilèges (et certainement pas sudoer pour le coup) oblige l'attaquant à trouver un moyen de faire une élévation de privilège avant de pouvoir complètement powner la machine.

Bon dans la plupart des cas on crée des comptes "système" (UID < 1000) pour ce genre de choses mais le principe reste le même, pour de simples opérations de maintenance sur les services associés à ces comptes je trouve ça pertinent d'avoir accès au compte en direct sans avoir à tout faire en tant que root.

Et oui, authentification SSH par mot de passe interdite chez moi aussi, clefs RSA uniquement, etc. etc.

Pseudo supprimé
Niveau 9
23 mai 2022 à 11:45:53

Le 21 mai 2022 à 18:10:33 :
Je n'aime pas multiplier les comptes sur un serveur. Je préfère avoir un seul compte, sécurisé, où je fais tout avec.
Tout ça pour au final se prendre la tête avec des histoires de sudo, qui ne servent à rien pour moi.

Un compte : Root.
Connexion : SSH, avec une clé.

Lorsque ta machine n'a aucun accès à internet et aucun contact avec l'extérieur, effectivement, utiliser le compte root peut se faire. Par contre, dès lors qu'il y a un accès au net, avoir un compte root actif est dangereux. pas pour rien que l'a majorité des distros le désactive par défaut aujourd'hui.

E-102-C
Niveau 6
23 mai 2022 à 11:54:26

Le 23 mai 2022 à 11:45:53 :

Le 21 mai 2022 à 18:10:33 :
Je n'aime pas multiplier les comptes sur un serveur. Je préfère avoir un seul compte, sécurisé, où je fais tout avec.
Tout ça pour au final se prendre la tête avec des histoires de sudo, qui ne servent à rien pour moi.

Un compte : Root.
Connexion : SSH, avec une clé.

Lorsque ta machine n'a aucun accès à internet et aucun contact avec l'extérieur, effectivement, utiliser le compte root peut se faire. Par contre, dès lors qu'il y a un accès au net, avoir un compte root actif est dangereux. pas pour rien que l'a majorité des distros le désactive par défaut aujourd'hui.

mais si on peut pas se connecter a root depuis l'exterieur il n'y a pas de probleme non plus

Pseudo supprimé
Niveau 9
23 mai 2022 à 17:48:56

Le 23 mai 2022 à 11:54:26 :

Le 23 mai 2022 à 11:45:53 :

Le 21 mai 2022 à 18:10:33 :
Je n'aime pas multiplier les comptes sur un serveur. Je préfère avoir un seul compte, sécurisé, où je fais tout avec.
Tout ça pour au final se prendre la tête avec des histoires de sudo, qui ne servent à rien pour moi.

Un compte : Root.
Connexion : SSH, avec une clé.

Lorsque ta machine n'a aucun accès à internet et aucun contact avec l'extérieur, effectivement, utiliser le compte root peut se faire. Par contre, dès lors qu'il y a un accès au net, avoir un compte root actif est dangereux. pas pour rien que l'a majorité des distros le désactive par défaut aujourd'hui.

mais si on peut pas se connecter a root depuis l'exterieur il n'y a pas de probleme non plus

Oui, mais la seule façon de faire ça, c'est de ne pas avoir de compte root ^^

Tc32Xzfeza1xc2
Niveau 5
23 mai 2022 à 18:42:50

Le 22 mai 2022 à 00:24:09 :

Le 21 mai 2022 à 18:10:33 :
Je n'aime pas multiplier les comptes sur un serveur. Je préfère avoir un seul compte, sécurisé, où je fais tout avec.
Tout ça pour au final se prendre la tête avec des histoires de sudo, qui ne servent à rien pour moi.

Un compte : Root.
Connexion : SSH, avec une clé.

Alors on s'entend bien sur l'idée de minimiser le nombre de comptes mais l'exemple du serveur Minecraft est quand-même assez parlant : lancer Minecraft en tant que root c'est risqué, la moindre vuln de type RCE devient instantanément fatale là où l'utilisation d'un compte dédié, à bas privilèges (et certainement pas sudoer pour le coup) oblige l'attaquant à trouver un moyen de faire une élévation de privilège avant de pouvoir complètement powner la machine.

Bon dans la plupart des cas on crée des comptes "système" (UID < 1000) pour ce genre de choses mais le principe reste le même, pour de simples opérations de maintenance sur les services associés à ces comptes je trouve ça pertinent d'avoir accès au compte en direct sans avoir à tout faire en tant que root.

Et oui, authentification SSH par mot de passe interdite chez moi aussi, clefs RSA uniquement, etc. etc.

Effectivement, dans ce genre de cas, nous sommes d'accord oui :ok:

Le 23 mai 2022 à 11:45:53 :

Le 21 mai 2022 à 18:10:33 :
Je n'aime pas multiplier les comptes sur un serveur. Je préfère avoir un seul compte, sécurisé, où je fais tout avec.
Tout ça pour au final se prendre la tête avec des histoires de sudo, qui ne servent à rien pour moi.

Un compte : Root.
Connexion : SSH, avec une clé.

Lorsque ta machine n'a aucun accès à internet et aucun contact avec l'extérieur, effectivement, utiliser le compte root peut se faire. Par contre, dès lors qu'il y a un accès au net, avoir un compte root actif est dangereux. pas pour rien que l'a majorité des distros le désactive par défaut aujourd'hui.

Alors très sincèrement, la sécurité par défaut de linux, aujourd'hui, j'ai plus envie de faire l'exact inverse qu'autre chose :hap:

3ygB5wVD69qu9J
Niveau 37
25 mai 2022 à 06:38:42

https://madaidans-insecurities.github.io/linux.html#root
https://dmitry.khlebnikov.net/2015/07/18/should-we-use-sudo-for-day-to-day-activities/
https://www.redhat.com/sym/sysadmin/sysadmins-dont-sudo

Je pose ça là pour de la lecture sur le sujet.

Sinon mon avis c'est que sudo limite rien du tout en pratique, même configuré, et c'est de la surface d'attaque inutile sur des serveurs. Je préfère des rôles SELinux quitte à créer des comptes administratifs restreints.

waneb22583
Niveau 7
09 juin 2022 à 10:01:26

Vidéo sortie aujourd'hui :

Why "sudo" when you can just "su"?

https://www.youtube.com/watch?v=Yqisex4rm6w

Garuflo
Niveau 7
15 juillet 2022 à 19:03:09

Le 21 mai 2022 à 16:06:24 :

Le 20 mai 2022 à 10:48:12 :
oui du coup je vais le virer et reprendre ce bon su, je prefere avoir deux mdp differents, comme ça si par miracle quelqu'un trouve le mdp de mon user, il devra aussi trouver celui de root

Quel malaise :rire:

Je sais même pas par où commencer pour expliquer la stupidité de ces propos :rire:

On est bien d'accord que faire péter le mdp root en passant par le grub fonctionne toujours?

1
Sujet : en quoi sudo est mieux que su?
   Retour haut de page
Consulter la version web de cette page