Bonsoir,

Alors juste une question :

Dans le fichier /etc/sudoers, à quoi correspond le groupe %wheel ?
# Allows people in group wheel ti run all commands
Je sais qu'il-y-a su - et su -lc, mais c'est juste par curiosité.

Merci à vous 😉

@+
Overview

The Wheel Group is a user group that can gain access to other user accounts on your server by using the su command (create a shell with the entered user id).
Pour simplifier en gros compte utilisateur avec accès au compte administrateur (ç apeux servir pour installer un soft).
Le groupe «wheel» n'est qu'un nom pour un exemple de groupe qui pourrait avoir des droits identiques à ceux de root.
Le groupe «wheel» existe par défaut dans /etc/group et dans certaines distributions sert à installer des applications.


Pour en savoir plus sur su/sudo Voir ici
Merci pour vos explications...😉

J'avais trouvé ça aussi, mais c'est vrais que j'aurais dû penser à faire un tour dans /etc/group.
The easiest way to work with sudo is to configure it to allow everyone in the 'wheel' group to have sudo access. This is a historical group, traditionally used for this sort of purpose
Bref, est il préférable (selon vous) d'ajouter un user à ce groupe, ou de modifier celui-ci ?

Bonne journée
@+
Sur certaines distributions on propose de désactiver l'utilisateur 'root' et d'utiliser un autre nom (forcément moins connu) appartenant au groupe 'wheel' pour faire toute l'administration, mais cela dépend des scripts qui testeraient l'id avec 0 pour autoriser ou non l'administration.
On peut aussi modifier le nom root dans /etc/passwd mais cela dépend de certains scripts qui testent non pas l'id mais le nom de login.
J'ai vu que root appartient au groupe wheel, si j'ajoute un user à ce groupe pour effectuer les tâches d'administration en évoquant sudo, ça devrait le faire non ?

Je demande, parce que j'ai vu (en googlant) sur un forum dédié à Debian que cela pouvait d'exposer le système à quelques vulnérabilités (dans la cas d'un serveur).

Qu'en pensez-vous ?

@+
Ajouter le groupe wheel à un utilisateur ne sert que si tu donnes au groupe wheel des droits dans sudoers.
C'est une faille de sécurité potentielle étant donnée que beaucoup de personnes mal intentionnées connaissent l'existence de ce groupe (comme ils connaissent l'identité administrateur «root»).

La seule protection d'un login appartenant à un groupe wheel défini avec «%wheel^IALL=(ALL)^INOPASSWD: ALL» n'est que son mot de passe et si l'on pense à un accès ssh pour ce login, il peut ne plus y avoir de protection (autres que celles lièes à ssh).

Un ssh trop ouvert + sudoers trop ouvert ::= OUVERTURE D'UNE FAILLE DE SECURITE


Comme /etc/group et /etc/passwd sont accessibles en lecture, il est plus sécurisant de créer un groupe avec un nom n'ayant rien de près ou de loin avec «administration» et de l'utiliser comme on utilise «wheel» dans /etc/sudoers car /etc/sudoers est protégé en lecture, et il est donc plus difficile de faire une attaque sur des logins d'un groupe qu'on ne connait pas a priori.
OK, c'est noté.

D'ailleurs, si ça peut servir, je sui tombé sur cette article, au cas où...

Ce qui m'étonne (dans une certaine mesure), c'est que tous les articles/how-tos/discussions que j'ai pu trouvé sur le sujet, parlent de wheel comme étant le groupe auquel ajouter les users à "sudoer", mais bon...suffit de changer le groupe, hein:-?

Merci à vous pour m'avoir éclairé...😉

@+
Salut,



si tu décommentes la ligne ou il y a %wheel blalla cela veut juste dire que seul les utilisateurs faisant parti du groupe wheel pourront faire du su vers root


@+
Tout le monde (ou presque) utilise «root» comme login administrateur, et si tout le monde (ou presque) utilise «wheel» comme groupe administrateur, il y aura des tentatives d'intrusions potentielles.
Pfff ça me gonfle de voir des sudoers avec ALL=NOPASSWD ... si sudo existe c'est pour une gestion plus fine des droits, c'est pas pour que tout le monde puisse faire n'importe quoi sans taper de mot de passe en ajoutant seulement sudo devant la commande ...
Donc si on veut bien fqire les choses on crée des groupes d'utilisateurs et des groupes de commandes ensuite on distribue les droits proprement.
On fait un truc du style :
Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig
%william ALL = SERVICES
Comme ça le user william ( ou les membre du groupe william ) peut utiliser les commandes service et chkconfig sans connaitre le mot de passe du root.
@deyo => tu me feras 50 lignes sur PAM ... tu as oublié de parlé de pam_wheel
3 ans plus tard
bonjour tout le monde!je ne savais pas ou poser la question mais puisqu'il est question du fichier sudoer alors j'ai jugé bon de poser mon problème ici.
Alors voila:il ya deux jours j'ai du faire une modification dans le fichier sudoers pour octroyer à un utilisateur simple tous les droits au meme titre en ajouter ceci: nom_utilisateur ALL=(ALL) ALL! apres avoir effectué toutes les operations j'ai reedité le dit fichier en supprimant la ligne ajoutée et redemarrer la machine.tout c'est bien passé mais le probleme est que depuis cette manipulation l'utilisateur dont il est question execute des commandes sensibles normalement excutables qu'avec le root.que puis je faire pour arranger cela?
Bonjour,

Tu devrais ouvrir un nouveau sujet et laisser les anciens sujets reposer en paix. Je te conseille aussi de reformuler ton sujet plus clairement car je ne suis pas sûr d'avoir bien compris les manipulations que tu as faites.
désolé du retard. affaire résolue; j'ai pu resoudre mon probème en desinstallant le package sudo,puis je l'ai reinstallé par la suite.puis voili voulou. 🙂