Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Arrêt de maintenance pour Fedora 28

#1 31/03/2018 17:23:05

didierg
Modérateur
Modérateur
Inscription : 11/07/2005
Messages : 4 874

Fedora 28 Workstation - Plus de mot de passe root

Bonjour,

Alors que nous avons eu de longues discussions sur les avantages et dangers respectifs de "su" et "sudo", cette question semble définitivement résolue avec Fedora 28 Workstation:

2. Reduced Initial Setup Redundancy

To make Fedora more beginner friendly, Fedora 28 Workstation will have fewer ‘questions’ to answer at the install time. There will be no root password anymore and the user password itself will be sufficient for the root actions, same as Ubuntu.

Je ne suis pas sûr que celà soit un progrès en terme de sécurité.

Par ailleurs, si ma compréhension est bonne, il n'y a pas de mot de passe de défini ce qui fait qu'il est impossible par défaut "out of the box" de se connecter en tant que root en init 3. Une des première chose à faire est donc se connecter avec son utilisateur pour changer le définir le mot de passe de root.

Dernière modification par didierg (31/03/2018 20:25:26)

Hors ligne

#2 31/03/2018 18:50:19

nouvo09
Accro à Fedo !
Lieu : Paris
Inscription : 22/09/2005
Messages : 21 751

Re : Fedora 28 Workstation - Plus de mot de passe root

On se croirait sous windows !


C'est pas parce que c'est difficile qu'on n'ose pas,
c'est parce qu'on ose pas que c'est difficile !

Hors ligne

#3 31/03/2018 22:16:52

Refuznik
Membre
Inscription : 31/01/2007
Messages : 7 343

Re : Fedora 28 Workstation - Plus de mot de passe root

Pareil que @nouvo09 !
C'est quoi ce binz on va être obligé de créer un mot de passe root à la fin de l'installation maintenant.
Deja que je n'étais pas chaud pour le login avec les droit d’administrateur pour l'utilisateur lambda.

Dernière modification par Refuznik (31/03/2018 22:19:04)

#4 31/03/2018 22:57:07

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 17 630
Site Web

Re : Fedora 28 Workstation - Plus de mot de passe root

A voir si ils vont mettre cette pratique pour toutes les versions ou juste la workstation qui servira qu'à mme michu...

Mais bon la mode du sudoQ vas encore me donner des aigreurs d'estomac... mais c'est la tendance et les "ben pensant" viendront te dire que c'est le bien qu'il faut le maitriser et que si tu dis le contraire "Honte à toi". (oui! on me l'a déjà faite celle là...).


AMD Ryzen 7 2700X + MSI Gaming Pro Carbon X470, 32Go de RAM DDR4 3200@3333Mhz Gskill Trident Z RBG CL14, AMD Radeon RX590 Sapphire Nitro+ Special Edition 8Go GDDR5
SSD Samsung : 1x 970 NVME (PCI-express 3.0x4) 500Go + 1x 850 EVO 250Go + 2x 860 EVO 500Go + 2x1To 860 QVO  / HDD : 1x2To WD black 64Mo + 1x4to WD Black 128Mo + 3To WD red
Boitier GMT Bequiet Dark 900 + Lepa 800W 80+gold

Hors ligne

#5 31/03/2018 23:54:53

didierg
Modérateur
Modérateur
Inscription : 11/07/2005
Messages : 4 874

Re : Fedora 28 Workstation - Plus de mot de passe root

L'installation Server demande toujours le mot de passe de root et la définition du premier utilisateur.

Après je ne suis pas d'accord, la Workstation n'est pas destinée qu'à Mme Michu, même des utilisateurs avertis peuvent l'utiliser par exemple sur un portable.

Hors ligne

#6 01/04/2018 00:19:33

nouvo09
Accro à Fedo !
Lieu : Paris
Inscription : 22/09/2005
Messages : 21 751

Re : Fedora 28 Workstation - Plus de mot de passe root

didierg a écrit :

L'installation Server demande toujours le mot de passe de root et la définition du premier utilisateur.

Après je ne suis pas d'accord, la Workstation n'est pas destinée qu'à Mme Michu, même des utilisateurs avertis peuvent l'utiliser par exemple sur un portable.

Tu as raison mais un utilisateur averti créera un mot de passe root, on ne se refait pas.


C'est pas parce que c'est difficile qu'on n'ose pas,
c'est parce qu'on ose pas que c'est difficile !

Hors ligne

#7 01/04/2018 12:44:38

didierg
Modérateur
Modérateur
Inscription : 11/07/2005
Messages : 4 874

Re : Fedora 28 Workstation - Plus de mot de passe root

Premières impressions sur Workstation...

Indépendamment de la suppression du mot de passe de root, le fait de ne pas avoir à rentrer l'utilisateur et son mot de passe lors de l'installation mais lors du premier démarrage et sous une forme plus ergonomique est un progrès pour l'utilisateur lambda qui découvre Fedora Workstation

Après dès lors que Workstation va vers cet utilisateur lambda, on peut regretter qu'il n'y ait pas la possibilité d'avoir une mise en garde à chaque utilisation de la commande sudo "à la Windows".

Point positif, l'intégration de virtualbox-guest-additions dans les dépôts et l'installation automatique de ceux-ci qui permet entre autres de passer en plein écran sans rien avoir à installer dès le premier démarrage.

Point négatif lié à Gnome 3.28, la suppression de la possibilité de mettre des icônes sur le bureau: https://www.omgubuntu.co.uk/2018/01/gno … moved-3-28

Dernière modification par didierg (01/04/2018 12:48:33)

Hors ligne

#8 02/04/2018 18:43:02

winmandrake
Membre
Inscription : 08/07/2008
Messages : 1 132

Re : Fedora 28 Workstation - Plus de mot de passe root

Je n'ai pas eu cette problématique, mais j'ai fais mon installation à partir d'une net install. Soit c'est une nouveauté pour la worksattion, soit c'est très récent.


Mon pc : AMD R5-2400G sur Asus Prime B450M-A, 16 Go ram, Nvidia 1050Ti (4Go), SSD Samsung 850 EVO (250 Go) + black caviar de 1To.

Hors ligne

#9 03/04/2018 14:48:34

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 7 238
Site Web

Re : Fedora 28 Workstation - Plus de mot de passe root

ça avait été annoncé, en effet pour renforcer la sécurité. Oui c'est un vieux sujet (troll), il faut évoluer. Vive sudo ;)

Hors ligne

#10 03/04/2018 19:15:18

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 17 630
Site Web

Re : Fedora 28 Workstation - Plus de mot de passe root

SUDOQ! ONT T'EN.....FUME! non franchement je m'y met par obligation et ... ça me donne toujours autant de boutons cette bestiole! Je préfère utiliser su -lc pour les commande temporaire perso...

Après je doute que ce soit le cas pour les versions "pro du pot". style serveur/netinstall. Après perso je part sur la netinstall maintenant, cela permet plus de souplesse, surtout avec une ligne rapide.

Dernière modification par VINDICATORs (03/04/2018 19:16:12)


AMD Ryzen 7 2700X + MSI Gaming Pro Carbon X470, 32Go de RAM DDR4 3200@3333Mhz Gskill Trident Z RBG CL14, AMD Radeon RX590 Sapphire Nitro+ Special Edition 8Go GDDR5
SSD Samsung : 1x 970 NVME (PCI-express 3.0x4) 500Go + 1x 850 EVO 250Go + 2x 860 EVO 500Go + 2x1To 860 QVO  / HDD : 1x2To WD black 64Mo + 1x4to WD Black 128Mo + 3To WD red
Boitier GMT Bequiet Dark 900 + Lepa 800W 80+gold

Hors ligne

#11 03/04/2018 20:46:44

nouvo09
Accro à Fedo !
Lieu : Paris
Inscription : 22/09/2005
Messages : 21 751

Re : Fedora 28 Workstation - Plus de mot de passe root

+1


C'est pas parce que c'est difficile qu'on n'ose pas,
c'est parce qu'on ose pas que c'est difficile !

Hors ligne

#12 04/04/2018 13:34:12

philippe_PMA
Membre
Inscription : 06/03/2006
Messages : 1 997

Re : Fedora 28 Workstation - Plus de mot de passe root

C'est cool sudo.
Si tu as réussi à avoir les droits sur un utilisateur lamda y a plus qu'a faire sudo.
C'est un progrès, pas forcément pour la sécurité, mais c'est un progrès hammer
Par contre, tu peux limiter le progrès en configurant sudo ...

Dernière modification par philippe_PMA (04/04/2018 13:35:37)


Gigabyte Z77-D3H+core i5 3550+8Go DDR3-12800 (1333MHz) / ASUS P5B+Quad core Q9550+CG ASUS X1950 PRO+8Go DDR2-5300 (667MHz).
Boitier Antec remote fusion black+ASUS P5Q-EM+core 2 duo 6600+Intel GMA X4500HD+2Go DDR2-5300 (667MHz).
ASUS EeePC 1005PE, CPU atom N450, 2Go SoDIMM DDR2-5300 (667MHz).

Hors ligne

#13 04/04/2018 14:41:55

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 7 238
Site Web

Re : Fedora 28 Workstation - Plus de mot de passe root

c'est pas parcequ'on ne connait pas un outils qu'il faut le décrier... c'est presque navrant, j'ai la flemme de tout expliquer. Essayez de prendre un peu de recul, de vous ouvrir l'esprit, et de comprendre pourquoi sudo est utiliser partout, surtout sur serveur et en entreprise. Et pourquoi il est par défaut sur Fedora depuis...

Recherchez par ex sudo + anssi sur Google, c'est dans les normes de sécurité dans beaucoup de grands groupes.

Mais peut être que je me plante, peut être que su est vraiment l'avenir. Pouvez vous m'expliquez simplement comment vous fetes pour demander à un user de relancer un service sur votre machine à distance via ssh ? Je suis curieux avec votre histore de su -lc.

Dernière modification par madko (04/04/2018 14:42:18)

Hors ligne

#14 04/04/2018 14:47:18

winmandrake
Membre
Inscription : 08/07/2008
Messages : 1 132

Re : Fedora 28 Workstation - Plus de mot de passe root

madko a écrit :

c'est pas parcequ'on ne connait pas un outils qu'il faut le décrier... c'est presque navrant, j'ai la flemme de tout expliquer. Essayez de prendre un peu de recul, de vous ouvrir l'esprit, et de comprendre pourquoi sudo est utiliser partout, surtout sur serveur et en entreprise. Et pourquoi il est par défaut sur Fedora depuis...

Recherchez par ex sudo + anssi sur Google, c'est dans les normes de sécurité dans beaucoup de grands groupes.

Mais peut être que je me plante, peut être que su est vraiment l'avenir. Pouvez vous m'expliquez simplement comment vous fetes pour demander à un user de relancer un service sur votre machine à distance via ssh ? Je suis curieux avec votre histore de su -lc.

Dans ce cas, je te demande de nous faire part de tes connaissances dans un bon billet sur la doc de Fedora.

Perso, j'utilise su -lc 'ma commande' si je n'ai qu'une ligne à taper. Seulement, il est vrai que l'on a besoin du mot de passe administrateur.
Si sudo permet de controler réellement ce que chaque utilisateur peu faire en tant qu'admin (installer un programme mais pas modifier un fichier système), là c'est un progrès.


Mon pc : AMD R5-2400G sur Asus Prime B450M-A, 16 Go ram, Nvidia 1050Ti (4Go), SSD Samsung 850 EVO (250 Go) + black caviar de 1To.

Hors ligne

#15 04/04/2018 15:38:14

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 7 238
Site Web

Re : Fedora 28 Workstation - Plus de mot de passe root

tu décris exactement la raison d'être de sudo :p

En gros avec sudo tu donne clairement le droit à un user, d'executer une commande, et eventuellement avec les arguments figés. Tu peux très bien dire que le user toto ne peux faire que "sudo dnf install vim". Il n'aura qu'à taper son mot de passe et pas celui de root (qui doit être le moins utilisé). Il ne pourra rien faire d'autre que d'installer vim via dnf. Il n'aura accès à aucun fichiers de root (ou autres users) etc. Bref tu limite la casse, tu restreins l'usage des droits administratif. Et c'est clairement tracé (c'est pas root qui à fait un dnf install, c'est toto via sudo, c'est plus nominatif, d'où son usage principalement en environnement pro).

https://doc.fedora-fr.org/wiki/Sudo Qui, j'ai pas tout lu en détail, me semble toujours pertinente.

Dernière modification par madko (04/04/2018 15:42:41)

Hors ligne

#16 04/04/2018 16:04:04

winmandrake
Membre
Inscription : 08/07/2008
Messages : 1 132

Re : Fedora 28 Workstation - Plus de mot de passe root

madko a écrit :

tu décris exactement la raison d'être de sudo :p

En gros avec sudo tu donne clairement le droit à un user, d'executer une commande, et eventuellement avec les arguments figés. Tu peux très bien dire que le user toto ne peux faire que "sudo dnf install vim". Il n'aura qu'à taper son mot de passe et pas celui de root (qui doit être le moins utilisé). Il ne pourra rien faire d'autre que d'installer vim via dnf. Il n'aura accès à aucun fichiers de root (ou autres users) etc. Bref tu limite la casse, tu restreins l'usage des droits administratif. Et c'est clairement tracé (c'est pas root qui à fait un dnf install, c'est toto via sudo, c'est plus nominatif, d'où son usage principalement en environnement pro).

https://doc.fedora-fr.org/wiki/Sudo Qui, j'ai pas tout lu en détail, me semble toujours pertinente.

J'ai lu la doc, franchement je le trouve beaucoup trop indigeste.

Tu as décris un exemple, comment procède tu ?

Dernière modification par winmandrake (04/04/2018 16:05:23)


Mon pc : AMD R5-2400G sur Asus Prime B450M-A, 16 Go ram, Nvidia 1050Ti (4Go), SSD Samsung 850 EVO (250 Go) + black caviar de 1To.

Hors ligne

#17 04/04/2018 16:52:09

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 7 238
Site Web

Re : Fedora 28 Workstation - Plus de mot de passe root

Le plus simple c'est de passer par la commande visudo. En root là forcément sauf tu as coché la case "faire de cet utilisateur un administrateur" pendant l'installation de ta Fedora. Si tu as coché cette case, tu es normalment avec ton utilisateur normal dans le groupe wheel. Ce groupe wheel est configuré par défaut sur Fedora pour faire toutes les commandes via sudo (protégé par ton mot de passe utilisateur). Dans ce cas tu peux déjà faire un sudo visudo.

La commande visudo permet d'éditer le fichier de conf de sudo en validant les changements, ça evite de faire des boulettes. Elle utilise par défaut vi, mais tu peux utiliser un autre editeur texte via la variable d'environnement EDITOR.

Bref, sous visudo en fin de fichier tu ajoutes:

toto      ALL=/usr/bin/dnf install vim

la syntaxe c'est "user      HOST=CMD OPTION". Donc là user c'est juste toto, HOST on met pas de restriction donc ALL, on précise ensuite la commande avec le chemin d'accès complet (pour eviter que des petits malins fassent un script dnf dans leur home)
tu sauvegardes le fichiers.

Tu bascule sous l'utilisateur toto

sudo dnf install vim

Hop sudo demande le mot de passe de utilisateur toto. S'il est bon, il lance la commande demandée (et seulement celle-ci) en tant que root.

Après la force de sudo est qu'il peut se faire sur des groupes d'utilisateur (le fameux groupe wheel pour les admin). Et tu peux aussi faire des alias de commande (il y en a plein en ex en commentaire, pour gerer les paquets, les services etc). Il y a moyen aussi de filtrer en fonction de la machine sur laquelle on se trouve, pratique si le fichier sudoers est partagé (via LDAP par ex).

Voilà un exemple tout simple. Bien sûr toto ne doit pas être dans le groupe wheel. Mais si tu teste sudo dnf install vim ça doit passer, alors que sudo dnf install nano par ex non

Par défaut la fameuse ligne qui autorise les utilisateurs du groupe wheel à tout faire (se sont des admin en gros), c'est :

## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL

Dernière modification par madko (04/04/2018 17:04:38)

Hors ligne

#18 04/04/2018 17:07:43

winmandrake
Membre
Inscription : 08/07/2008
Messages : 1 132

Re : Fedora 28 Workstation - Plus de mot de passe root

Merci,
après une bonne recherche sur le net j'avais un peu avancer.

Déjà, j'ai ajouter ceci :

Defaults editor = /usr/bin/nano:/usr/bin/vi

Ce qui permet d'utiliser nano (si présent) comme éditeur en utilisant visudo. Première édition : export VISUAL=nano

Ensuite, j'ai pu configurer pour permettre un dnf upgrade sans mdp

toto ALL=NOPASSWD: /usr/bin/dnf upgrade

Simple et pratique.

Et non, mon utilisateur n'est pas en groupe admin.


Mon pc : AMD R5-2400G sur Asus Prime B450M-A, 16 Go ram, Nvidia 1050Ti (4Go), SSD Samsung 850 EVO (250 Go) + black caviar de 1To.

Hors ligne

#19 04/04/2018 17:31:50

didierg
Modérateur
Modérateur
Inscription : 11/07/2005
Messages : 4 874

Re : Fedora 28 Workstation - Plus de mot de passe root

Voir:

man sudoers

Hors ligne

#20 04/04/2018 17:50:39

philippe_PMA
Membre
Inscription : 06/03/2006
Messages : 1 997

Re : Fedora 28 Workstation - Plus de mot de passe root

madko a écrit :

...
Pouvez vous m'expliquez simplement comment vous fetes pour demander à un user de relancer un service sur votre machine à distance via ssh ? ...

En entreprise (en tout cas dans la mienne depuis quelle a une certaine taille), l'utilisateur lambda ne relancera pas un service, mais ça sera quelqu'un de l'équipe appropriée (système, DBA, middleware, etc.). Et en fait, ça sera calife qui est un équivalent de sudo et qui tracera qui a fait quoi.

Chez moi, bah, j'utilise su -c ou su - si j'ai plusieurs commandes à passer. Et si je veux donner la main à quelqu'un d'autre sur certaines commandes et que je considère que je ne peux lui donner accès à root je lui configure sudo mais pas en droit full.


Gigabyte Z77-D3H+core i5 3550+8Go DDR3-12800 (1333MHz) / ASUS P5B+Quad core Q9550+CG ASUS X1950 PRO+8Go DDR2-5300 (667MHz).
Boitier Antec remote fusion black+ASUS P5Q-EM+core 2 duo 6600+Intel GMA X4500HD+2Go DDR2-5300 (667MHz).
ASUS EeePC 1005PE, CPU atom N450, 2Go SoDIMM DDR2-5300 (667MHz).

Hors ligne

#21 04/04/2018 19:21:10

Fifi
Membre
Lieu : Belgique
Inscription : 22/05/2006
Messages : 5 245

Re : Fedora 28 Workstation - Plus de mot de passe root

philippe_PMA a écrit :

Chez moi, bah, j'utilise su -c ou su - si j'ai plusieurs commandes à passer. Et si je veux donner la main à quelqu'un d'autre sur certaines commandes et que je considère que je ne peux lui donner accès à root je lui configure sudo mais pas en droit full.

+1, je pense que c'est un bon raisonnement.


Fedora 27-x86_64 - KDE 5 - Plasma 5.10 - ASUS M3A32-MVP Deluxe - AMD Phenom 8650 X3 - Nvidia GTX 260 ( avec le driver proprio Nvidia 340xx ) - 4 Go RAM Corsair - 1 disque dur WD de 1 To en Sata3 et un SSD Crucial de 256 Go ( disque de boot )
Multiboot Fedora - Centos 7.0  -  Windows 10 Pro - Systemrescuecd
firefox-56.0-5.fc26.x86_64  -  thunderbird-52.5.0-1.fc27.x86_64

Hors ligne

#22 04/04/2018 21:02:37

didierg
Modérateur
Modérateur
Inscription : 11/07/2005
Messages : 4 874

Re : Fedora 28 Workstation - Plus de mot de passe root

philippe_PMA a écrit :

En entreprise (en tout cas dans la mienne depuis quelle a une certaine taille), l'utilisateur lambda ne relancera pas un service, mais ça sera quelqu'un de l'équipe appropriée (système, DBA, middleware, etc.).

Les indiens et les marocains font ça très bien !

Hors ligne

#23 04/04/2018 22:34:49

Heldwin
Gilets jaunes
Inscription : 07/10/2008
Messages : 4 200

Re : Fedora 28 Workstation - Plus de mot de passe root

madko a écrit :

[...]Pouvez vous m'expliquez simplement comment vous fetes pour demander à un user de relancer un service sur votre machine à distance via ssh ? Je suis curieux avec votre histore de su -lc.

Perso, je n'ai jamais eu à demander à un utilisateur (ou même un user virtuel) de redémarrer un service sur ma machine, alors je ne saurai répondre :)
Et de toute façon, ils savent tous qu'on doit pas toucher à ma machine ^^

(et à distance, faudrait déjà qu'il démarre avant sshd sur ladite machine, et configure iptables pour pouvoir y accéder...)

Dernière modification par Heldwin (04/04/2018 23:38:31)


"The only way to achieve the impossible is to believe it’s possible"

Hors ligne

#24 08/04/2018 18:22:22

Kanuni
Membre
Inscription : 17/07/2017
Messages : 26

Re : Fedora 28 Workstation - Plus de mot de passe root

Sudo a déjà eu un problème  de sécurité par le passé. J'ai pas du tout confiance à Sudo et surtout des fondateurs de Ubuntu qui préconise Sudo.
D'ailleurs j'avais lu une fois un document sur la sécurité et Root est préférable à Sudo.
Il nous faudra faire la commande pour avoir Root:

sudo passwd root

Moi je reste avec la commande Su comme le début des distributions Linux.

Hors ligne

#25 08/04/2018 18:32:51

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 7 238
Site Web

Re : Fedora 28 Workstation - Plus de mot de passe root

Kanuni tu oublies que Fedora préconise sudo aussi maintenant. Pour info sudo date des années 1980, et est maintenant maintenu par quelqu'un d'assez connu dans la sécurité et qui travaille principalement pour OpenBSD (rien que ça). Donc... comment dire...

Bref la grosse amélioration aussi avec sudo c'est de moins, voire pas du tout, taper le mot de passe root, et surtout de ne pas ouvrir de session complète root. Bref l'opposé de su. Mais bon sous Linux on est libre, su sera toujours là ;)

Dernière modification par madko (08/04/2018 18:33:23)

Hors ligne

Pied de page des forums