[gull] question su

[Félix Hauri]

On Tue, May 13, 2008 at 10:50:28AM +0200, Leopoldo Ghielmetti wrote:
> 
> Il giorno dom, 11/05/2008 alle 12.03 +0200, Yann Sagon ha scritto:
> > Félix Hauri a écrit :
> > >
> > > Au départ, la question portait sur ``su - QuelqueChose''.
> > > Le QuelqueChose étant un nom d'utilisateur autre que ``root'',
> > > je présume.
...
> Vous avez raison tous les deux. En effet j'utilise su pour passer d'un
> utilisateur à un autre (root et non root).
> ...
> La solution comme certains l'ont dit (que je remercie beaucoup) c'est
> d'utiliser sux. A partir de la j'ai vu que SuSE et RedHat installent sux
> et puis linkent su sur sux (bien que le paquetage s'appelle su).
Après un login root, extérieur ou non, pour utiliser le serveur graphique,
on peut le faire en tapant la commande suivant (exemple: lancer xload)
# env DISPLAY=:0 XAUTHORITY=~user/.Xauthority xload
en admettant que l'interface graphique soit utilisé par ``user'' et
qu'il s'agisse bien du premier interface graphique ``:0''.

On peut égallement prendre le control de la console de login,
avec GDM, la commande suivante permetra de lancer un serveur VNC
insécure, sans mot de passe:

# env DISPLAY=:0 XAUTHORITY=/var/lib/gdm/\:0.Xauth x11vnc

exemple: pour logguer un ecran graphique à distance:
(je ne dis pas ``pour *se* logguer'')

mycomputer:~$ ssh -L 5900:localhost:5900 user at machinedistante
user at dst:~$ sudo su -
password:
root at dst:~# env DISPLAY=:0 XAUTHORITY=/var/lib/gdm/\:0.Xauth x11vnc -listen 127.0.0.1
...
puis dans une autre console:
mycomputer:~$ xvncviewer localhost

L'écran de login graphique distant apparait alors. Il sera brutalement ferme
des que les informations de connexions seront transmises. 
Pour reprendre le control de la session lancée:
mycomputer:~$ ssh -L 5900:localhost:5900 user at machinedistante
user at dst:~$ env DISPLAY=:0 XAUTHORITY=.Xauthority x11vnc -listen 127.0.0.1
...
puis dans une autre console:
mycomputer:~$ xvncviewer localhost     


> Disons que j'aime pas trop sudo, il est plus lourd à utiliser qu'un
> simple su, en plus il y a aussi un risque pour la sécurité du système si
> jamais il y a quelqu'un que pur une raison ou une autre arrive à
> connaître mon mot de passe utilisateur (il aurait donc automatiquement
> droit à toutes les commandes root simplement en tapant sudo).
Non, pas si l'utilisateur que tu créé pour toi n'as pas accès à ``sudo all''
(voir mon mail précédent)
si ``moi'' est seul utilisateur appartenant au group ``admin'',
depuis ton compte, tu devras taper ``su - admin'', Avant de pouvoir
utiliser sudo...

sudo étant plus souple à configurer, pour créer des groupes, autorisations
particulires etc, il représente une évolution par rapport aux anciennes
méthodes qui permettaient d'être très sécure et de tout faire égallement
avec seulement ``su'', ``su -'' et une bonne gestion et /etc/passwd, et
/etc/group.

> A plus grande raison si il tombe sur une shell ou j'ai déjà tapé le mot
> de passe pour sudo (Ubuntu le mémorise).
Si tu veux, et seulement si tu veux!
(c'est comme tu préfère, c.f. préférences;)
(nota: l'hibernation associées à une sélection oisives de ce genre
 de préférences peuvent ensemble constituer une faille de sécurité
 primordiale, pour l'utilisation de portables.)

> Le "su -" par contre demande le mot de passe de root (et il n'y a que
> moi qui le connaît).
Sauf si quelqu'un te voit le taper...

> Disons qu'il n'y a pas de système sûr à 100%, chacun à ses failles.
:->

> Moi personnellement je me suis habitué à utiliser su et je me trouve très
> bien. Donc la première chose que j'ai fait quand j'ai installé ma
> Ubuntu, j'ai donné un mot de passe à root et sudo je l'ai oublié.
Hmmm.. Attention aux effets de bord: désinstalle sudo et supporte les
conséquences ou lis les pages de manuel de sudo, ajoute un compte
utilisateur:admin à ton système (et supprime le password root...)

C'est à force d'associer ``facilités'' et ``automatismes'' que
win* est devenu THE vecteur de propagation des virus et spams...

-- 
 Félix Hauri  -  <felix at f-hauri.ch>  -  http://www.f-hauri.ch