[quote=“xunil2003”]bonsoir,

Dernière question.
Que faut il taper pour afficher tout les utilisateurs du groupe sudo ?

Merci.[/quote]

cat /etc/group | grep sudo

Non ce n’est pas ce qu’il lui faut, mais ce qu’il veut. Ça fait une sacrée différence, sachant que ce qu’il veut est une hérésie complète (comme on s’échine à expliquer depuis le départ) ! [/quote]
Tu vas te sentir coupable s’il fout en l’air son système ? Moi non…

Salut,

Moi je dis tous simplement, c’est un grand garçon xunil2003 …

Alors, … liberté liberté !

* edit *

“ Que la pique du peuple brise le sceptre des rois. ”

Salut,
Je ne suis toujours pas d’accord.
J’ai relu les tuto et le man sudo; mais je ne comprend toujours pas ce que tu fais.
J’ai du louper une étape, alors peux tu m’expliquer stp?

Pourquoi ajouter le compte www-data au groupe sudo ?
Je ne vois pas, ni dans le tuto, ni dans le manuel, ni dans cette discussion pourquoi faire cela ?

car dans le tuto il y a aussi un gros rectangle ou c’est écrit :

Et à quoi correspond cette ligne que tu as dans ton sudoers stp ?
J’ai l’impression que cela veut dire: www-data peut tout faire et sans qu’on lui demande de pass.
Je me trompe sûrement, mais je vais redire comme la première fois: as tu lu le tuto ?

Pourquoi ne pas ajouter simplement le droit a www-data d’executer ton script?
Perso j’utilise sudo avec des règles dans ce genre:

En espérant que tu m’éclaire sur ce que je n’ai pas compris, merci

Re,

Version courte!

liberté liberté !

non …

[quote=“loreleil”]Re,

Version courte!

liberté liberté !

non … [/quote]

Quand je vois un fou essayer de se pendre dans mon quartier, j’essaie de le dissuader, pour que le quartier n’en souffre pas dans sa réputation de tranquille

Une envie soudaine d’aller voir son site; puis au passage j’ai regardé son script .
Toussessplique!

xunil2003, pour lancer émule et lancer des commandes par ton navigateur , il y a plus simple: ShellInABox
http://code.google.com/p/shellinabox/

Bonjour,

Ben alors j’ai pas du pigé un truc ??
Tout d’abord c’est un serveur domestique et non professionnel.
Le serveur a une identification apache pour le web.
En de mot mon serveur fait plein de truc, domotique, media, sauvegarde, composition d’appel téléphonique, crontab, at, etc…
Pour que les utilisateurs sur les autres poste n’est rien a taper sur le serveur, il y a des scripts bash que le serveur execute via des pages php.
Le serveur est accessible depuis l’interieur et en local.

Alors pourquoi sudo, ben c’est simple
dans du code php si je fait
exec(’/home/serveur/mon_script.sh’); ------> pas de droit d’execution
si par exemple je souhaite faire
echo “/home/serveur/Domotique/ordres/e1-off” | at 01:57 ------> pas de droit d’execution
modifier le mot de pae apache
/etc/init.d/service amule-daemon start -----> Sans sudo encore une fois —> pas de droit d’execution

/usr/bin/htpasswd ---------------> Sans sudo encore une fois —> pas de droit d’execution
je ne peut pas tout exposer.

alors sans sudo vous faites comment ???

Ha j’aller oublier , prier de vous apstenir pour ce style de réponse intelligente.

Car si le fou n’a pas compris que la corde ne s’utilise pas dans un quartier tranquille, IL SAUTERA LES PIEDS JOINTS LA CORDE AU COUP !

Merci.

On te l’a dit : le problème n’est pas d’utiliser sudo ou non, mais de l’utiliser correctement (ouvrir uniquement les commandes nécessaires).
SwitchT t’a donné un exemple de règle sudoers qui ne met pas inutilement ta machine en danger :

Si tu ne veux pas doubler toutes tes commandes dans ton code PHP et dans sudoers (ce qui pourrait se comprendre vu que tu en as beaucoup) tu peux aussi faire un script “multifonctions” que ton code PHP appellera, du coup tu n’auras qu’une seule règle à mettre dans sudoers.

Quelque chose du genre :

#!/bin/sh case "$1" in amule-start) /etc/init.d/amule-daemon start ;; amule-stop) /etc/init.d/amule-daemon stop ;; esacwww-data ALL= NOPASSWD: /chemin/vers/script$commande = "sudo /chemin/vers/script amule-start"; exec("$commande", $top, $error );

Salut,

Cette réflexion ne t’était pas destinée mais à ceux qui ont cru bon de te donner une réponse.
Nous sommes quelques uns à tenir à la réputation de ce forum. J’en ai quitté certains où justement les réponses imprudentes étaient monnaie courante.

Utiliser, utilisez, utilisé

Une fois de plus je dirais :“as tu lu les messages d’avant” et le tuto ?
Qui à parlé de ne pas utiliser sudo ?
Peux tu répondre à mes questions deux 2 posts précédents stp?
J’aimerai bien apprendre de ta méthode, mais avant ca, répond aux questions stp.
( shellinabox, groupe sudo etc…).

Bonsoir,

syam
Merci pour votre explication je comprends mieux. Enfin de compte sudo n’exécute pas directement la commande et dans sudoers sudo doit executer uniquement le script a case.
Mais alors avec les cases je peut tout rentré dans un seul script bash tout ce que php doit exécuter du site en entier.

SwitchT

très intéressant shellinabox, je ne sais pas si je peux l’installer sur mon serveur ARM, il faut que j’essaye.

root@debian:~# uname -a Linux debian 2.6.39.4 #1 PREEMPT Sat Apr 7 16:02:44 UTC 2012 armv5tel GNU/Linux root@debian:~#

Globalscale DreamPlug Multi Boot/Debian Squeeze 2.6.39.4 —> newit.co.uk/shop/proddetail. … ream_Multi

[quote]
Et à quoi correspond cette ligne que tu as dans ton sudoers stp ?[/quote]
A tout les droits : execution, lecture, ecriture pour sudo

[quote]J’ai l’impression que cela veut dire: www-data peut tout faire et sans qu’on lui demande de pass. :[/quote]tout a fait

Oui mais je n’ai pas compris certaines choses, que je comprends maintenant.

Merci à tous pour vos réponses et explications.
cdt.

[quote=“xunil2003”]syam
Merci pour votre explication je comprends mieux. Enfin de compte sudo n’exécute pas directement la commande et dans sudoers sudo doit executer uniquement le script a case.
Mais alors avec les cases je peut tout rentré dans un seul script bash tout ce que php doit exécuter du site en entier.[/quote]
Oui.
L’autre alternative “propre” consisterait à écrire directement les commandes dans ton PHP et à les recopier dans sudoers, une règle par commande. Ma solution est équivalente (dans les deux cas on n’autorise que le strict minimum) mais elle est plus pratique à mettre en œuvre.
En tous cas tu avoueras que c’est beaucoup plus sécurisé quand le serveur web ne peut exécuter que certaines commandes prédéterminées.

Je te conseille de jeter un tout petit oeuil sur le

man sudoers ( pas man sudo).
(en html ici => http://www.gratisoft.us/sudo/sudoers.man.html).
Regarder la partie Examples, qui permet de mieux comprendre.
Une règle s’écrit:

Ajoutes l’option :NOPASSWD dans ton cas, et t’es pas obligé de préciser AUNOMDEQUI par exemple.

ET pour ne pas écrire des lignes longues et se tromper, un utilise des Alias qui regroupent des listes d’utilisateur ou de commandes avant

Dans ton cas, j’immagine un fichier sudoers dans le genre:

User_Alias     DOMOTIQUE = toi, ta copine , un_pote
Cmnd_Alias     SCRIPTS_DOMO = /usr/bin/scripts_domotique/, /usr/sbin/shutdown, /usr/sbin/reboot

root    ALL=(ALL:ALL) ALL
DOMOTIQUE ALL= NOPASSWD: SCRIPTS_DOMO

Tu peux par sécurité INTERDIRE des éléments avec "!"
Exemple:

jill can run any commands in the directory /usr/bin/, except for

those in the SU and SHELLS aliases.

jill SERVERS = /usr/bin/, !SU, !SHELLS

NE copicolli pas directement, j’ai écrit ca au pif.
Un fichier de sudoers bien complet pour exemple:
http://www.gratisoft.us/sudo/sample.sudoers

Pour shellinabox, ca peut etre complémentaire a ton systèeme:
Version ARM:
http://code.google.com/p/shellinabox/downloads/detail?name=shellinabox_2.10-1_armel.deb&can=2&q=
OU sources à compiler si tu veux.

Du coup maintenant que tu dis que c’est un réseau local, j’aurais surement utilisé ssh pour lancer les commandes.
Une icone dans le bureau, quand tu clic dessus ca envoie une commande pour une action et voila.
Avec une identification par clés, pas de mot de pass et probablement ien plus simple.
Quand tu dis réseau local, il y a des machines reliées à internet quand même ?

Voila j’espère que ca t’aidera,à plus.

[quote=“SwitchT”]Salut,
Je ne suis toujours pas d’accord.
J’ai relu les tuto et le man sudo; mais je ne comprend toujours pas ce que tu fais.
J’ai du louper une étape, alors peux tu m’expliquer stp?

Pourquoi ajouter le compte www-data au groupe sudo ?
Je ne vois pas, ni dans le tuto, ni dans le manuel, ni dans cette discussion pourquoi faire cela ?

car dans le tuto il y a aussi un gros rectangle ou c’est écrit :

[/code]

En espérant que tu m’éclaire sur ce que je n’ai pas compris, merci[/quote]

parceque certaines distributions le font par défaut avec le user et ont inculqué que c’ était normal, dernièrement j’ai fait une installation de cette distrib ‘Grand public’ et le plus grave, c’ est que le mot de passe de root n’ était même pas différencié de celui du user à l’ installation, donc si un débutant ne sait pas qu’ il faut faire ensuite un ‘passwd root’ en béton différent du user et un ‘deluser user sudo’ , c’ est une faille de sécurité béante .