Confusion Administrateur - utilisateur Le sujet est résolu

[piratebab]

non, root est un compte vraiment à part, qui n'est utilisé que de façon exceptionnelle pour agir sur le coeur du systeme. Il a de grands pouvoirs, ce qui implique de grandes responsabilités
Ton "administrateur" n'est qu'un simple utilisateur. Il a peut être hérité de droits d'administration via la commande sudo (ce qui à mon avis n'est vraiment pas une bonne idée), mais il n'est pas équivalent à root.

[tony]

salut,
ama la confusion est facile car même des sources "Debian" peuvent l'entretenir: https://www.debian.org/doc/manuals/debi ... -1.7.12.10 où on lit:

SÉCURITÉ Mot de passe administrateur
Le mot de passe de l'utilisateur root doit être long

et plus bas Figure 4.5. Mot de passe administrateur, en lisant le début qui rapproche "superutilistaeur" et "compte d'administration" on peut se poser des questions. Pourtant, un peu plus bas, l'auteur rétablit la distinction:

Debian impose également de créer un compte utilisateur standard pour que l'administrateur ne prenne pas la mauvaise habitude de travailler en tant que root.

à relier à ce que dit Debian Wiki:

......Sinon, le compte root n'est pas activé et le mot de passe du premier utilisateur créé sera utilisé pour les tâches d'administration

une fois bien acclimaté ça ne pose pas de problème, mais pour un débutant y'a de quoi se gratter la tête.

[Glordinacran]

Bonjour.
Je vous lis et je crains une certaine confusion ...
Que l'on parle de compte Root, d'administration du système ou de compte Administrateur, pour moi, c'est le même.
Concernant Sudo, il doit être utilisé quand la machine est gérée par plusieurs personnes. Et avec Sudo, il y a les mêmes droits que Root.

Voir les paragraphes 4.2.9 et 8.9.4 des Cahiers de l’Administrateur Debian, où il est indiqué :

4.2.9. Mot de passe administrateur
The super-user root account, reserved for the machine's administrator, is automatically created during installation; this is why a password is requested. The installer also asks for a confirmation of the password to prevent any input error, which would later be difficult to amend. Note that you can leave both fields empty if you want the root account to be disabled. In that case, the login for the root user will be deactivated and the first regular user — that will be created by the installer in the next step — will have administrative rights through sudo (see Section 8.9.4, « Partage des droits d'administration »).

SÉCURITÉ Mot de passe administrateur
Le mot de passe de l'utilisateur root doit être long (12 caractères ou plus) et impossible à deviner. En effet, tout ordinateur (et a fortiori tout serveur) connecté à Internet fait régulièrement l'objet de tentatives de connexions automatisées avec les mots de passe les plus évidents. Parfois, il fera même l'objet d'attaques au dictionnaire, où diverses combinaisons de mots et de chiffres sont testées en tant que mots de passe. Évitez aussi les noms des enfants ou parents et autres dates de naissance : de nombreux collègues les connaissent et il est rare que l'on souhaite leur donner libre accès à l'ordinateur concerné.
Ces remarques valent également pour les mots de passe des autres utilisateurs, mais les conséquences d'une compromission sont moindres dans le cas d'un utilisateur sans droits particuliers.
Si l'inspiration vient à manquer, il ne faut pas hésiter à utiliser des générateurs de mot de passe comme pwgen (dans le paquet de même nom).

8.9.4. Partage des droits d'administration
Bien souvent, plusieurs administrateurs s'occupent du réseau. Partager le mot de passe de l'utilisateur root n'est pas très élégant et ouvre la porte à des abus du fait de l'anonymat de ce compte partagé. La solution à ce problème est le programme sudo, qui permet à certains utilisateurs d'exécuter certaines commandes avec des droits particuliers. Dans son emploi le plus courant sudo permet à un utilisateur de confiance d'exécuter n'importe quelle commande en tant que root. Pour cela, l'utilisateur doit simplement exécuter sudo commande et s'authentifier à l'aide de son mot de passe personnel.
When installed, the sudo package gives full root rights to members of the sudo Unix group. To delegate other rights, the administrator can use the visudo command, which allows them to modify the /etc/sudoers configuration file (here again, this will invoke the vi editor, or any other editor indicated in the EDITOR environment variable). Alternatively they might put rules in small files in /etc/sudoers.d/ as long as this directory is included by /etc/sudoers via @includedir /etc/sudoers.d, which is the default for Debian. Adding a line with username ALL=(ALL) ALL allows the user in question to execute any command as root.
More sophisticated configurations allow authorization of only specific commands to specific users. All the details of the various possibilities are given in the sudoers(5) manual page.

Merci de vos réponses, au cas où j'aurai "loupé un truc" .
Bonne après-midi.

[piratebab]

Ce qui crée la confusion, c'est que la personne qui a configuré ton ordi à appelé un compte simple utilisateur "administrateur"!
Sous tous les systeme issus d'UNIX, dont linux, le seul "administrateur" est le compte root, qui est vraiment à part de tous les autres.
sudo, c'est un autre histoire. Il permet de donner quelques droits d'administration à un simple utilisateur (par ex le droit d'éteindre l'ordinateur).
Malheureusement, le nombre de droits que root peux déléguer à un simple utilisateur n'est pas limité, et rien n’empêche de déléguer tous les droits de root à un simple utilisateur (mais cet utilisatur sera toujours distinct de root). Un système ne peux pas fonctionner sans compte root (il est parfois caché, mais il est quand même là).
Ce n'est à mon avis pas une bonne méthode car elle amène une grosse confusion sur la gestion des droits (ce post en est la preuve). Le principe de base de la sécurité est de ne donner que les droits strictement nécessaire à un compte .
Si tu veux administrer ton système, tu passes root, tu faits se que tu as à faire, puis tu déconnectes root.
Un exemple: tu navigues sur internet avec les droits d'administration, et ton navigateur est corrompu par un site malveillant (parfois à l'insu de l'administrateur du site!). Ton compte sera corrompu, et c'est jackpot pour l'attaquant qui se retrouve sur ta machine avec tout les droits.
alors que si ton compte à des droits limités, l'attaquant n'aura accés qu'aux données personnelles de ce compte (ce qui est déja grave), mais rien de plus. Il devra corrompre le compte root pour prendre le contrôle de la machine.

[tony]

....Et avec Sudo, il y a les mêmes droits que Root.
......

Juste une précision pour, peut-être, t'aider à comprendre.

Je faisais la même erreur lorsque je suis passé de Ubuntu à Debian, erreur dont j'étais entièrement responsable car je ne me posais aucune question et ne vérifiait rien. Le fichier actuel de configuration de sudo, par défaut, indique:

Code : Tout sélectionner

# view /etc/sudoers
..........
# User privilege specification
root    ALL=(ALL:ALL) ALL
 
# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL
..........

il donne donc au groupe des "sudoers" les mêmes droits que root "to execute any command". Mais ça n'est pas une obligation, ça peut se modifier. Il me semble qu'il y a qqs années en arrière il fallait le préciser. Comme je n'ai plus de groupe sudo je ne m'en suis plus préoccupé et n'ai pas suivi son évolution.
J'espère que je n'ai pas écrit de bêtises, mais notre administrateur bénévole corrigera éventuellement.

PS: ça m'a permis de voir que j'avais oublié de désinstaller "sudo" qui ne me sert plus à rien.

[Glordinacran]

Ce qui crée la confusion, c'est que la personne qui a configuré ton ordi à appelé un compte simple utilisateur "administrateur"!

Bonsoir Piratebab.
Je ne suis pas celui qui a initié ce post .
Avec ta réponse et celle de Tony, je comprends mieux vos propos précédents.

Si tu veux administrer ton système, tu passes root, tu faits se que tu as à faire, puis tu déconnectes root.
Un exemple: tu navigues sur internet avec les droits d'administration, et ton navigateur est corrompu par un site malveillant (parfois à l'insu de l'administrateur du site!). Ton compte sera corrompu, et c'est jackpot pour l'attaquant qui se retrouve sur ta machine avec tout les droits.
alors que si ton compte à des droits limités, l'attaquant n'aura accés qu'aux données personnelles de ce compte (ce qui est déja grave), mais rien de plus. Il devra corrompre le compte root pour prendre le contrôle de la machine.

@Piratebab : t'as entièrement raison de mentionner ce problème d'un compte "User" dans le sudoers avec tous les droits.
Mon compte "user" est configuré en "full ALL" dans le sudoers.
Je vais le modifier en enlevant les droits et m'en vais essayer de comprendre comment configurer le sudoers en limitant certains accès.
Bonne soirée.

[Glordinacran]

@Tony : oui, tu as raison d'indiquer que l'on peut configurer le sudoers de manière à limiter les droits.
J'ai fait un raccourci en oubliant qu'un sudoers peut-être configuré autrement qu'en "full ALL" comme indiqué dans ton exemple.
Bonne soirée.