Bonsoir !

Je viens de lire sur un topic que sudo est à éviter... pour quelles raisons ?

Merci !

1) Il facilite l'escalade de privilèges (le premier guignol venu qui chope ton password user peut s'octroyer les privilèges root en 5 secondes...).

2) sudo n'a jamais été indispensable pour devenir root. su est là pour ça, root et les users lambdas sont séparés, c'est pas pour le fun ni la déco.

3) sudo ne permet pas d'effectuer certaines actions (j'essaierai de retrouver les exemples auxquels je pense, mais il y a des choses qui ne sont faisables qu'en étant "root, le vrai").

Et encore, j'abrège.

Sudo sert plutôt dans les environnements multi-utilisateurs. Avec sudo tu peux donner les pleins droits admins à certaines personnes, leur donner le droit d'utiliser seulement certains programmes qu'ils ne peuvent pas utiliser en tant que simple utilisateur... et tu peux aussi révoquer ces droits très facilement en cas de pépin.

Dans le cas d'une machine avec un seul utilisateur, cela n'a pas vraiment d'intérêt vu que le bénéfice risque/confort est bien plus bas : "su" suffit pour accéder au compte root et sudo introduit un angle d'attaque pour accéder au compte root.

Oh et tant que j'y suis voilà un exemple de faille introduite par sudo qui date de quelques jours : http://www.reddit.com/r/linux/comments/1lyev4/is_your_clock_locked/

En résumé : par défaut, sudo autorise à ne pas retaper son mot de passe quelques minutes après une première authentification avec sudo ("grace period"). L'astuce consiste à lire le fichier log pour trouver une date récente d'authentification avec sudo puis de changer l'heure pour tomber dans cette "grace period" et pouvoir exécuter n'importe quelle commande en root.

Debian et beaucoup d'autres distros implémentent une contre-mesure à cette attaque depuis longtemps... pas Ubuntu (ni OSX qui utilise aussi sudo). Le pire c'est que le gars qui a signalé le bug sur Launchpad n'est pas pris au sérieux, qu'ils ne voient pas l'énormité de cette faille et on lui a répondu que le manque de sécurité au niveau de l'horloge d'Ubuntu était "intentionnel"

C'est chaud quand même.

Heureusement que j'ai jamais pris l'habitude de faire sudo

J'aurais plutôt envie de dire que sudo avec la configuration par défaut sous Ubuntu est à évité.
Sudo est bien pour donner l'accès à CERTAINE commande à un utilisateur standard.
Avant systemd, j'utilisais un truc du genre pour fermé/redémarré/suspendre via la ligne de commande.

« Debian et beaucoup d'autres distros implémentent une contre-mesure à cette attaque depuis longtemps... pas Ubuntu (ni OSX qui utilise aussi sudo). »

Pour Ubuntu Normal, pourquoi faire attention aux failles qui touchent les briques sur lesquelles on repose intégralement? (le budget "publicité / promo / comm" est certainement bien plus élevé que celui du service qualité/sécurité chez Canonical)

Pour OSX ça m'étonne un petit peu venant d'Apple mais JMEF c'est pas ma guerre + j'utilise pas cet OS et je ne vois même pas pourquoi quelqu'un voudrait faire de la ligne de commande dessus en fait.

A ce que j'ai lu, ça fait plus de 5 mois que la faille a été signalée mais Apple n'a toujours pas sorti de patch.

C'est quand même dingue qu'une faille aussi large que le cosmos soit pas corrigé parce que...parce que chez Canonical y essayent de raquetter les gens pour vendre leur mobile d'abord et OSEF la sécurité ?

M’étonne pas tellement d’Apple les mises a jour et eux sa a toujours chié dans la colle x) Mais bon quand même ! :o

Si c'est si mauvais/dangereux, pourquoi est-il alors livré avec debian ?

Ce n'est pas mauvais, il faut juste l'utiliser correctement : ça veut dire le configurer et limiter les accès (que ce soit pour "être" root ou bien un autre utilisateur). Typiquement, ce n'est pas root qui fait des copies brutes de mon serveur de bdd, mais un utilisateur qui peut exceptionnellement lire le répertoire de mysql.

Parce que Debian te demande ton mot de passe quand tu essayes de changer l'heure depuis ton bureau Gnome/KDE/... donc il n'est pas affecté par ce problème.
A noter que Xubuntu n'est apparemment pas affecté par ce problème.

« Si c'est si mauvais/dangereux, pourquoi est-il alors livré avec debian ? »

C'est pas non-plus la mort comme dit plus haut, une fois configuré comme il faut. Mais je trouve ce gadget tout sauf indispensable.

Et il n'est livré avec Debian _que_ si on le souhaite hein (lors de l'installation, le choix est proposé entre mettre un password sur root, ou le laisser sans password et donner les droits de sudoer au premier user normal créé), et il reste désinstallable à souhait.

@Aubiet ( https://www.jeuxvideo.com/forums/1-38-7772968-1-0-1-0-sudo-a-eviter.htm#message_7773073 ), et un pogramme fourni par debian n'est pas forcément de qualité ou à recommande (pulseaudio par exemple...ou Gnome).