Se connecter

ix · 17-11-2016, 14:29:52

Bonjour,

Je viens d'arriver sur Primtux, et en ouvrant la première session administrateur, on me suggère de changer le mot de passe de l'utilisateur. Là, je comprend bien l'intérêt. Par contre, le message me paraît confus et je reste un peu perplexe :

Citation :conseillé pour des raisons de sécurité, choisissez le même mot de passe pour root et administrateur

Donc 3 petites questions :
- Quel est l'intérêt de garder un mot de passe à root vu qu'administrateur est dans le groupe sudo ? J'ai l'habitude de désactiver la connexion par mot de passe à root (passwd -d), y aura-t-il des dommages collatéraux dans ce cas ?
- En admettant qu'un vieux barbu ait besoin à tout prix d'un compte root, pourquoi le même mot de passe qu'administrateur ?

- Qu'en est-il des mots de passe des 3 autres utilisateurs (mini, super & maxi) ? Sont-ils définis, peuvent-ils se connecter dans une console / un shell ?

ix · 17-11-2016, 15:01:11

Première réponse à mes questions :
- oui, il y a des dommages collatéraux à supprimer la connexion à root : gksu est utilisé pour lancer certaines tâches d'administration. Il faut donc conserver un mot de passe.

Par contre pour le moment, je ne vois pas pourquoi le même qu'administrateur.

**zoom61** · 17-11-2016, 15:19:44

ix a écrit :Donc 3 petites questions :
- Quel est l'intérêt de garder un mot de passe à root vu qu'administrateur est dans le groupe sudo ? J'ai l'habitude de désactiver la connexion par mot de passe à root (passwd -d), y aura-t-il des dommages collatéraux dans ce cas ?

Euh, si tu ouvres une console dans l'admin, et que tu fais un apt-get update, cela ne va pas fonctionner pour cause de problème de privilèges.

ix a écrit :- En admettant qu'un vieux barbu ait besoin à tout prix d'un compte root, pourquoi le même mot de passe qu'administrateur ?

Tu n'es pas obligé de mettre le même, tu as deux commandes une pour root et une autre pour l'admin.

ix a écrit :D- Qu'en est-il des mots de passe des 3 autres utilisateurs (mini, super & maxi) ? Sont-ils définis, peuvent-ils se connecter dans une console / un shell ?

Il n'y en a pas, dans leurs interfaces, ils n'ont pas accès à la console, sauf si on la rajoute.

***Steph*** · 17-11-2016, 17:03:06

Ces questions ont été longuement réfléchies:
- Un compte root car il est le seul à pouvoir lancer certaines applications
- Le même mot de passe car c'est plus pratique si on ne sait pas qui a lancé quoi: root ou l'utilisateur en sudo?
- Le mot de passe "tuxprof" est visible partout sur le site, le forum et le wiki. Un mot de passe affiché en clair sur le web n'est pas un bon mot de passe.
- Les comptes élèves n'ont pas accès au shell pour des raisons de sécurité, mais ils ont bien un mot de passe (tuxprof aussi).

ix · 17-11-2016, 22:57:56

Steph a écrit :- Un compte root car il est le seul à pouvoir lancer certaines applications

Des applications qu'on ne peut pas lancer en sudo ? Pourtant le fichier de conf de sudo est assez standard :

Code :
#Allow members of group sudo to execute any command

%sudo ALL=(ALL:ALL) ALL

Dans le pire des cas, que je n'ai jamais rencontré,

Code :
sudo su -c "commande à lancer"

devrait résoudre le problème.

Steph a écrit :- Le même mot de passe car c'est plus pratique si on ne sait pas qui a lancé quoi: root ou l'utilisateur en sudo?

C'est en général précisé dans le message mais je comprends l'idée pour les moins pointilleux.

Steph a écrit :Ces questions ont été longuement réfléchies

Ce n'est pas un reproche, mais la première distro que je rencontre avec un mix de root et de sudo. Je suis un peu surpris et le message me laissant penser que les mots de passe devaient (impératif) être semblable faisait imaginer des solutions encore plus tarabiscotées à mon esprit tordu.

Steph a écrit :- Les comptes élèves n'ont pas accès au shell pour des raisons de sécurité, mais ils ont bien un mot de passe (tuxprof aussi).

Est-il possible d'avoir qq pistes pour voir comment c'est fait, ainsi que les connexions à la session graphique sans mot de passe ?

Au passage et complètement hors sujet, il y a-t-il un git ou svn, une plateforme de rapports de bug et un forum irc, j'ai déjà qq trucs sous la main et le forum ne me parait pas l'endroit idéal pour ça.

***Steph*** · 17-11-2016, 23:29:11

https://framagit.org/Steph/primtux2

Ce n'est pas hors sujet puisque la réponse y est. Pas d'irc, mais pour les rapports de bugs ou idées tu peux les faire sur le forum ici:
http://forum.primtux.fr/viewforum.php?id=3

ix a écrit :C'est en général précisé dans le message mais je comprends l'idée pour les moins pointilleux.

Non, pas pour les moins pointilleux, pour les profanes, nuance, et j'y tiens. C'est à eux qu'il faut d'abord penser.

***Philippe Dpt35*** · 18-11-2016, 00:13:54

ix a écrit :J'ai l'habitude de désactiver la connexion par mot de passe à root (passwd -d)

Tu veux dire que tu permets qu'on se connecte à root sans avoir à saisir de mot de passe ?
N'est-ce pas extrêmement dangereux ?

**zoom61** · 18-11-2016, 08:37:53

Philippe Dpt35 a écrit :
ix a écrit :J'ai l'habitude de désactiver la connexion par mot de passe à root (passwd -d)

Tu veux dire que tu permets qu'on se connecte à root sans avoir à saisir de mot de passe ?
N'est-ce pas extrêmement dangereux ?

C'est surtout ce qu'il ne faut pas faire sous Linux :/

***Philippe Dpt35*** · 18-11-2016, 08:55:58

zoom61 a écrit :C'est surtout ce qu'il ne faut pas faire sous Linux :/

Et si ssh est activé, n'importe qui peut faire n'importe quoi sur la machine ! :o

Il existe toutefois des distributions Linux qui ont pris le parti de donner un accès root par défaut et sans mot de passe. C'est le cas de certaines Puppy il me semble. Mais elles sont plutôt destinées à un usage bureautique pour PC légers.

ix · (Modification du message : 18-11-2016, 16:39:55 par ix.)

Philippe Dpt35 a écrit :
ix a écrit :J'ai l'habitude de désactiver la connexion par mot de passe à root (passwd -d)

Tu veux dire que tu permets qu'on se connecte à root sans avoir à saisir de mot de passe ?
N'est-ce pas extrêmement dangereux ?

Effectivement c'est dangereux, très même. Je ne sais pas pourquoi j'avais le -d en tête, certainement longtemps que je n'ai pas pratiqué, les installations de debian et fedora permettant de désactivé le compte root.
Je me suis donc repenché dans la page de man (et au passage quand même vérifié mes machines. ouf, pas de problème), c'est

Code :
passwd -l root

qu'il faut faire.
Merci de la correction pour ne pas laissé trainer cette très mauvaise instruction.

Philippe Dpt35 a écrit :Et si ssh est activé, n'importe qui peut faire n'importe quoi sur la machine ! yikes

Pour ssh, c'est without-password pour root par défaut depuis au moins jessie, je ne me souviens plus avant, et j'ai toujours ajouté l'option AllowUsers en plus d'un firewall assez strict sur les sources.

***Steph*** · 18-11-2016, 18:33:49

ix a écrit :Pour ssh, c'est without-password pour root par défaut depuis au moins jessie, je ne me souviens plus avant, et j'ai toujours ajouté l'option AllowUsers en plus d'un firewall assez strict sur les sources.

Non, le mot de passe root est demandé, d'où peut-être l'intérêt d'en avoir créé un...

ix · 18-11-2016, 20:21:15

Steph a écrit :
ix a écrit :Pour ssh, c'est without-password pour root par défaut depuis au moins jessie, je ne me souviens plus avant, et j'ai toujours ajouté l'option AllowUsers en plus d'un firewall assez strict sur les sources.

Non, le mot de passe root est demandé, d'où peut-être l'intérêt d'en avoir créé un...

Pourtant, après avoir installé openssh-server sur une installation toute fraiche de primtux2, j'obtient :

Code :
root@pt:~# grep Root /etc/ssh/sshd_config 

PermitRootLogin without-password

# the setting of "PermitRootLogin without-password".

***Steph*** · 18-11-2016, 20:36:48

Ben écoute avec une PrimTux2 en serveur, une PrimTux2 en client, quand je demande au client de se connecter au serveur, que ce soit en Root ou root, on demande un mot de passe, et mieux que ça, le mot de passe (tuxprof) ne fonctionne même pas! Peut-être que l'authentification via une clé pour le client empêche ça, mais c'est plutôt une bonne nouvelle. Je précise que grep Root /etc/ssh/sshd_config me renvoie la même chose que toi sur le serveur, sans que ce soit vrai pourtant.

ix · 19-11-2016, 07:21:22

C'est exactement ce que fait cette option, même si le serveur demande le mot de passe, la connexion à root n'est pas possible par cette méthode :

Code :
PermitRootLogin

             Specifies whether root can log in using ssh(1).  The argument

             must be “yes”, “prohibit-password”, “without-password”,

             “forced-commands-only”, or “no”.  The default is

             “prohibit-password”.

             If this option is set to “prohibit-password” or

             “without-password”, password and keyboard-interactive authentica‐

             tion are disabled for root

Je m'excuse au passage pour la langue de ma machine.

Tout ça pour dire que même s'il ne faut absolument pas laisser root sans mot de passe, ça ne troue pas totalement l'accès à distance si ssh est installé avec les paramêtres par défaut.

Peut-être s'est-on un peu éloigné du sujet de départ à cause de mon énorme erreur et que le novice, cible de la distro il me semble, n'installe pas ssh.

Je pense avoir compris l'esprit de la gestion des comptes dans primtux. Merci pour vos réponses.

***Steph*** · 19-11-2016, 09:20:52

Il vaut mieux en discuter que d'ignorer. Nous sommes pragmatiques, mais pas techniciens, on peut passer à côté de certaines choses... Par exemple, nous n'avions pas pensé à la protection des comptes élèves en leur interdisant le shell et en protégeant les paramètres des bureaux, Thierry (dont je regrette qu'il se soit éloigné pour des questions sommes toutes philosophiques) nous a amené à repenser cette gestion. Donc on ne sait jamais, une contribution, une remarque technique peut amener une amélioration.

Se connecter
Utilisateur :
Mot de passe :	Mot de passe oublié ?
	Se rappeler