Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Roman d'informatique technique pour débutants... entre autre de Linux!

kholo

Réseau local ou l'art de la schizophrénie sans la paranoïa (ou presque).

Je vais tenter de reprendre tout ou partie de mes connaissances qui concernent le réseau local et les possibilités associées.
Ce texte est fait pour les utilisateurs Linux et particulièrement Ubuntu mais cela fonctionne sur d'autres systèmes (à part certains programmes qu'il faudrait adapter).

Je rentre dans le vif du sujet par une explication sur les utilisateurs :
Par défaut les utilisateurs appartiennent au minimum à un groupe de leur nom.
Le premier utilisateur crée lors de l'installation appartiendra également au groupe sudo et pourra donc réaliser des taches administratives.
Les utilisateurs appartenant au groupe sudo (il ne devrait y en avoir qu'un sur chaque système personnel) peuvent acquérir les privilèges du suoer-utilisateur (root) en utilisant la commande sudo.

Pour accroître la sécurité, cet utilisateur, quelque soit la configuration et le nombre d'utilisateurs, ne devrait être cantonné qu'aux actions d'administration. Pour reprendre cette idée, même seul utilisateur sur votre ordinateur, vous devriez (nous devrions) tous avoir au moins deux utilisateurs (outre root) sur nos configurations : le sudoer et un utilisateur avec des droits limités. Cela fait donc trois avec le root...

Vous allez me dire : "mais chaque fois que je dois faire une tâche d'administration, je dois changer d'utilisateur pour passer sur le 'bureau' du sudoer" ; en fait non, ou pas tout à fait ; je m'explique, mais mettons cela de côté, c'est justement ce que nous allons voir dans la partie réseau.

Le réseau :
Sous Linux, le réseau peut être sécurisé grâce à l'utilisation d'un "tunnel" chiffré et son protocole associé : le ssh.
Pour utiliser ce protocole, le serveur (votre ordinateur) doit simplement avoir un programme d'installé. J'utilise principalement openssh et expliquerait ici son utilisation mais il en existe d'autres.
Sur une installation Ubuntu, voici donc la ligne qui doit être tapée par le sudoer :
Ouvrez un terminal avec Ctrl + Alt + t (comme terminal)

sudo apt install openssh-server

Toutes les autres commandes pourront, dès lors, être commanditées par quelque utilisateur que ce soit, pour peu qu'il ait accès au compte sudoer (connaissance du mot de passe).
Je vais être plus précis, reprenons la partie des utilisateurs :
vous venez d'installer votre système et avez vos deux premiers utilisateurs root et le sudoer... disons "superu" ; réglage des drivers éventuels, post installation (installation des logiciels habituels et réglages système), installation de openssh et création d'un utilisateur (disons toto) avec des droits restreints, puis déconnexion du compte sudoer pour se connecter avec toto.
Vous pouvez administrer toto via ses propres droits pour peu que cela le concerne directement. Toto a son bureau, ses fichiers et dossiers, il est chez lui.

Maintenant, vous avez besoin d'installer un nouveau programme mais toto n'a pas le droit; donc vous ouvrez un terminal et vous vous connectez à superu depuis le compte toto :

ssh superu@localhost

La première connexion vous demandera "d'associer" toto à superu puis le mot de passe de superu. Ce mot de passe sera demandé à chaque nouvelle connexion. Une fois connecté, vous pouvez installer votre programme avec sudo apt install un_programme ; par exemple installons vlc

sudo apt install vlc

le système demande le mot de passe (celui de superu) puis installe vlc comme si nous étions sur son compte en directe.
une fois fait, vous vous déconnectez (si vous en avez terminer de superu)

exit

NB : Ctrl + d fera la même chose que exit
de la même façon, vous pouvez éditer un fichier système :

ssh superu@localhost

puis, par exemple nano :

sudo nano /etc/default/grub

vous faites ce que vous avez à faire, puis après avoir refermé (pour nano c'est ctrl + x), éventuellement

sudo update-grub

et ainsi de suite; puis, quand c'est terminé

exit

la procédure sera la même chaque fois que vous aurez des taches administratives à faire.

Rien ne vous empêche d'avoir un navigateur internet sous la main et de faire du copier coller de mots ou de lignes depuis celui ci vers le terminal.
Vous noterez que, dans un terminal, le coller se fait Ctrl + MAJ + V (et non Ctrl + V) et, pour les même raisons le copier se fait Ctrl + MAJ + C.

Dans un terminal, vous disposez également de possibilités avec la souris comme le double clic pour sélectionner un mot et le triple clic pour sélectionner une ligne et le menu d'options sous le clic droit !

Pour le côté sécurité, si vous confiez votre ordinateur avec le mot de passe de toto, vous pouvez être sûr que rien de dangereux ne peut être fait puisque toto n'a pas de droits pour cela : parfait pour une utilisation familiale avec un compte commun; tous les utilisateurs de la famille ont le mot de passe du compte toto mais un nombre limité aura accès à superu grâce à son mot de passe (celui là, pas la peine de le diffuser).

Pour aller plus loin, vous avez besoin d'avoir un dossier accessible à toto dans un endroit qui normalement n'est accessible seulement qu'au sudoer (superu), par exemple dans /media :

ssh superu@localhost

on va dans /media

cd /media

on crée un dossier avec les droits de root par le sudoer superu

sudo mkdir dossier_toto

on met toto comme propriétaire de ce dossier

sudo chown toto:toto dossier_toto

et on sort

exit

maintenant toto à un dossier dossier_toto à lui dans /media

Pour aller plus loin, les systèmes Linux utilisent les ACL mais je n'irais pas plus loin pour cette démonstration.

Ssh, c'est bien, sftp c'est mieux et Samba c'est inutile ! :lol:
ftp est un protocole pour l'accès à distance aux fichiers. On peut sécuriser ce protocole en utilisant ssh pour faire transiter les informations : ssh + ftp = sftp.
Ce protocole est très répandu et on trouve des clients sur presque tous les systèmes. Filezilla est très connu. Depuis les systèmes Linux, les navigateurs de fichiers savent gérer ce protocole et une simple ligne permet de se connecter. On peut, une fois première connexion faite, ajouter le chemin à nos favoris par glisser déposer ou avec le raccourcis clavier ctrl + d comme on le ferais dans un navigateur internet.
Par exemple, pour connecter toto à superu :
ouvrez la barre d'adresse avec Ctrl + L ou allez dans "Connexion à un serveur" à gauche en bas de la liste ou dans le menu puis mettez cette adresse (pour notre exemple)
sftp://superu@localhost/home/superu
de là, vous avez accès aux dossiers de superu et y mettre ou récupérer des éléments de ou vers toto.

Depuis le même PC, c'est bien, sur un réseau local aussi :
Nous avons vu comment faire passer des éléments d'un utilisateur à un autre sur le même système mais nous pouvons également faire la même chose depuis ou vers un utilisateur d'un autre ordinateur sur notre réseau local. Notre "box" servira de point central et permettra l'interconnexion facilement tout en garantissant une certaine sécurité vis à vis de l’extérieur (l'internet). A ce titre, le fait d'interconnecter des ordinateurs sur un réseau local se nomme un intranet. Ajoutons un PC à notre exemple avec deux utilisateurs "superv" et "tata". Ici, commence la schizophrénie car, pour les besoins de l'explication, j'ai utilisé des noms différents ; dans la vraie vie, on pourra utiliser les même noms sur les deux ordinateurs et seules les IP changeront et permettront de savoir où nous sommes.
Chaque PC à une adresse sur notre réseau local : une IP. Pour notre exemple, l'adresse du premier PC avec superu et toto sera 192.168.1.10, celle du second avec superv et tata sera 192.168.1.11.
Sur les systèmes Linux une commande permet à tous les utilisateurs de connaître cette adresse sur les différents ports (ethernet, wifi,...) de notre PC :

ifconfig

Voici à quoi cela pourrait ressembler pour notre premier ordinateur:

toto@Sat-L500:~$ ifconfig 
enp14s0   Link encap:Ethernet  HWaddr 00:00:00:00:00:00  
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          Packets reçus:0 erreurs:0 :0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000 
          Octets reçus:0 (0.0 B) Octets transmis:0 (0.0 B)

lo        Link encap:Boucle locale  
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          Packets reçus:193351 erreurs:0 :0 overruns:0 frame:0
          TX packets:193351 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000 
          Octets reçus:17477744 (17.4 MB) Octets transmis:17477744 (17.4 MB)

wlp20s0   Link encap:Ethernet  HWaddr 12:12:12:12:12:12  
          inet adr:192.168.1.10  Bcast:192.168.1.100.255  Masque:255.255.255.0
          adr inet6: cc00::cc00:cc00:cc00:cc00/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Packets reçus:915933 erreurs:0 :1936 overruns:0 frame:0
          TX packets:686926 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000 
          Octets reçus:1195567727 (1.1 GB) Octets transmis:70481167 (70.4 MB)

toto@Sat-L500:~$

On peut y voir que toto n'est pas branché en filaire puisque pas d'adresse sur enp14s0 mais qu'il est branché en wifi et que son adresse IP est 192.168.1.10, son serveur dhcp (peut être la box) est à l'IP 192.168.1.100, que les autres ordinateurs auront certainement une IP entre 192.168.1.1 et 192.168.1.255... tout cela avec cette ligne :

          inet adr:192.168.1.10  Bcast:192.168.1.100.255  Masque:255.255.255.0

je passe sur les autres informations.
nous sommes sur le compte de toto sur le premier PC. Pour nous connecter à tata :

ssh tata@192.168.1.11

ou, depuis un navigateur de fichier :
sftp://tata@192.168.1.11/home/tata
et rien n’empêche de se connecter à superv depuis tata depuis toto
nous sommes toto, donc d'abord de toto à tata

ssh tata@192.168.1.11

puis de tata à superv

ssh superv@localhost

on aurait pu avoir "presque" le même résultat en allant de toto à superv en tapant depuis toto

ssh superv@192.168.1.11

La différence principale est que pour se déconnecter, dans le premier cas, il faudra faire deux fois exit, dans le second une seule fois... mais d'autres différences existent !
Maintenant ajoutons encore un peu d’ambiguïté : pour le moment, nous avons utilisé ssh pour faire transiter des ordres ou des fichiers et dossiers mais nous pouvons aussi faire transiter des programmes graphiques. Attention, c'est là que cela devient compliqué...
on va lancer vlc sur le second PC
si il ne l'est pas encore, commençons par l'installer :
superv est le sudoer du second ordinateur donc on se connecte en ssh depuis toto par exemple mais la procédure, à part l'IP (encore que) serait la même depuis tata:

ssh superv@192.168.1.11

puis on l'installe

sudo apt install vlc

le mot de passe de superv et en quelques secondes ou dizaines de secondes c'est fait.
on se déconnecte de superv

exit

Nous sommes sur le compte de toto et nous nous connectons à tata en graphique; une option est à ajouter à ssh : -X (en majuscule) et cela donnera :

ssh -X tata@192.168.1.11

maintenant lançons le lecteur vidéo vlc.

vlc

souvenez vous, nous sommes sur le PC de toto...
sur vlc, allez dans le menu "Media", puis "Ouvrir un fichier" puis voyons ce qui se trouve dans le /home et vous y trouverez tata et superv ce qui est normal puisque nous nous sommes connectés en ssh avant de lancer vlc. Pour aller plus loin, lançons une vidéo, elle se trouve dans les dossiers de tata, s'affiche sur le PC de toto mais le son lui sort des enceintes du PC de tata; parce que ssh ne transite que les graphismes et vlc se comporte comme si il était toujours en local sur le PC de tata (et superv).
Il reste encore des personnes pour suivre ?
Fermons vlc... par le menu, restons simple !

Aller dans nos programmes et ouvrons le gestionnaire de fichier : nautilus ;
puis retournons dans le terminal et lançons nautilus.

nautilus

De la même façon que vlc, comme nous sommes toujours connectés à tata nous voyons les dossiers (y compris les raccourcis personnels) et fichiers de tata comme si nous étions sur sa machine et avec ses droits. Comme nous avions lancé nautilus en local (de toto) juste avant, nous avons une autre fenêtre de nautilus qui elle affiche les dossiers et fichiers de toto.
Non, non, non, je vous vois venir : pas question de droper des fichiers de l'un vers l'autre car ssh cloisonne le nautilus distant.
alors, vous allez me dire : "A quoi ça sert" et bien à presque rien mais j'utilise l'ouverture graphique pour afficher des photos et les ranger à distance comme si j'étais en local puisque pas la peine de faire transiter les photos pour les afficher mais uniquement l'application qui me sert à les éditer...
Houla, j'en ai perdu un wagon cette fois ci...

Je recommence plus lentement :
Si je lance une application graphique d'affichage de photo à travers ssh, seule l'affichage de cette application transite via mon réseau et donc cela sera toujours plus rapide que si je devais faire une lecture des photos une par une même si celles ci on été vignettées auparavant. Cela est de même via nautilus qui en plus est souvent réglé pour ne pas afficher les photos distantes car, justement, cela serait trop lourd pour un réseau même local... notez que cette limitation disparaîtra peut être un jour avec les réseaux fibrés...

En local, c'est bien, à distance ce serait encore mieux !
Ma démonstration s'arrête ici car je suis absolument contre l'ouverture des réseaux personnels à l'internet pour la simple (et bonne ?) raison que peu d'entre nous ont un niveau suffisant pour contrer des attaques de pirates expérimentés ou non qui pullulent sur la toile. Sachez seulement que votre "box" reste un rempart encore suffisant pour vous protéger des attaquants automatiques (bots et boutonneux en mal de sensations fortes).

Voilà, vous n'avez plus aucune excuse à vous perdre dans l'installation et le paramétrage de Samba quand vous disposez nativement de tous les outils pour faire la même chose en mieux sur votre ordinateur.

Aller plus loin :
Restons sur un cas concret. Mon ordinateur actuel est un portable sur mes genoux, j'ai un PC dans mon salon avec son propre écran et également branché sur ma télé, j'ai un autre portable de récupération dans ma chambre qui me sert de HTPC et en a assez pour faire même voire plus que mon propre portable de travail; j'en ai trois ou quatre autres dans mon bureau , un comme serveur, un pour ma musique, un raspberry pour faire des tests et ne pas être trop à la ramasse et un autre également pour des tests. Oublions ceux du bureau et ne prenons que mon portable, le PC du salon et le HTPC de la chambre. En plus de ssh, j'utilise X2go pour le contrôle de bureau complet (on peut utiliser vnc), LMS pour faire du multiroom de musique et divers autres programmes pour des protocoles que je n'aborderai pas ici.

Si je suis dans ma chambre depuis le htpc ou n'importe où dans mon appartement sur mon portable je peux prendre le contrôle de mon Salon et lancer des actions divers, puis, plus tard télécharger des fichiers depuis le salon vers la chambre. Un autre programme (screen) me permet de lancer une action en ligne de commande (téléchargement avec wget, mise à jour, ou mise à jour,...), la relâcher sans l'arrêter si elle prend trop de temps, et la reprendre à divers moment pour la finaliser. Avec une dizaine de programmes, j'ai un contrôle complet sur mon environnement informatique et mes documents.

[supprimé]

Kholo avant d'avoir modifié a écritSsh, c'est bien, sftp c'est mieux et Samba c'est nul !

Houlà, tu n'as pas peur de déclarer ça.
Je me suis déjà fait remonter les bretelles pour avoir scandé Allahou Akbar dans une fête du cochon, j'espère que tu ne seras pas banni :lol: .

kholo

oui j'étais en train de corriger et je me trouvais un peu extrémiste sur le coup
alors j'ai modifié, laisse ton post il fera la balance !!!

bruno

kholo a écritPour des raisons de sécurité, l'utilisateur qui possède des droits élevés (root) est "supplanté" par un autre, le sudoer, qui nécessite l'instruction sudo chaque fois qu'une action de root est nécessaire.

hum… c'est très alambiqué et inexact comme explication.

[supprimé]

kholo a écritoui j'étais en train de corriger et je me trouvais un peu extrémiste sur le coup
alors j'ai modifié, laisse ton post il fera la balance !!!

J'ai tout de même indiqué aussi que tu as modifié ton texte.
J'espère que tu as compris que j'ironisais 😉 , j'approuve à 100% que SSH devrait être utilisé avant Samba pour le partage de fichiers.

kholo

bruno a écrit
kholo a écritPour des raisons de sécurité, l'utilisateur qui possède des droits élevés (root) est "supplanté" par un autre, le sudoer, qui nécessite l'instruction sudo chaque fois qu'une action de root est nécessaire.
hum… c'est très alambiqué et inexact comme explication.

bon, oui, je reste un peu vague... et peut être inexact en effet.
et pourtant, c'était bien le but de Ubuntu... ou devrais je dire dire Canonical, d'isoler root pour en faire un utilisateur factice, comme on le fait pour www-data par exemple, face aux utilisateur "réels"
En fait cette réflexion vient du travail que font les rédacteurs de la doc en ce moment et la "difficulté" (dangerosité) d'utiliser sudo en mode graphique.
donc je ne me suis pas trop étaler sur le côté historique et sur cette différence majeure entre Ubuntu et Debian...
je cherchais une façon ludique d'appréhender l'utilisation de sudo et montrer qu'on pouvait avoir la souplesse du GUI en ligne de commande grâce aux terminaux et faire du copier / coller dans des éditeurs "non graphiques"... mettre gedit de côté et passer à nano voire vi ou vim pour éditer les fichiers systèmes...
si quelqu'un veut apporter des précisions, je modifierai mon texte avec plaisir 😉

bruno

Ubuntu n'a pas fait le choix de sudo/sudoers pour administrer le système pour des raisons de sécurité. D'ailleurs cela n'apporte rien en terme de sécurité par rapport à l'usage classique d'un compte root actif. mais je veux bien que l'on me démontre le contraire 😉

Ubuntu fait ce choix pour simplifier l'administration du système pour l'utilisateur de base.
Dans le cas d'un système utilisant sudo/sudoers, le compte root est simplement désactivé et cet utilisateur existe bien. En conséquence on ne peut pas ouvrir directement une session en tant que root.
Pour administrer le système le(s) utilisateur(s) autorisé(s) par sudoers (=plugin sudo pour la politique de sécurité) peuvent se substituer à l'utilisateur root pour lancer une commande (sudo = Substitue User DO et sudo sans argument --user est équivalent à sudo --user=root) ;

sudo truc

en saisissant simplement son mot de passe.
Ce qui est plus simple et plus rapide que sur un système ou l'utilisateur root est actif. Dans ce cas un utilisateur qui veut administrer le système devra ouvrir une session root avec le mot de passe de root.

Ta phrase pourrait être remplacée par :

Pour exécuter des actions qui nécessitent les privilèges root (ou super-utilisateur ou administrateur système), un utilisateur autorisé par sudoers, c'est à dire appartenant au groupe sudo, peut acquérir ses privilèges, ou plus exactement se substituer à root, en utilisant la commande sudo.

Ou plus synthétique (mais uniquement vrai avec Ubuntu dans saa configuration par' défaut):

Les utilisateurs appartenant au groupe sudo peuvent acquérir les privilèges du suoer-utilisateur (root) en utilisant la commande sudo.

Pour la doc, j'ai l'impression qu'elle est en train de partir en vrille, juste parce que certains veulent à tout prix lancer des applications graphiques en tant que root. Ce qu'il ne faut pas faire et est généralement inutile de toute façon.

diesel

bruno a écritPour la doc, j'ai l'impression qu'elle est en train de partir en vrille, juste parce que certains veulent à tout prix lancer des applications graphiques en tant que root. Ce qu'il ne faut pas faire et est généralement inutile de toute façon.

A part des vieux comme moi, maintenant, tout le monde ne sait plus rien faire sans une application qui marche à la souris. 🙁 🙁 🙁

Amicalement.

Jean-Marie

kholo

merci Bruno pour ces précisions, je m'en vais rectifier mon Roman...
ceci dit, je doute que la "simplicité" ait été le seul leitmotiv d'ajouter quelque chose d'aussi lourd que sudo... non ?
je n'ai pas beaucoup cherché mais Todd C. Miller devrait être plus qualifié que moi pour donner une réponse que je ne comprendrais certainement pas ; autant pour mon niveau d'anglais que pour les paradigmes que cela supposerait...
et, pendant que je parle de lui, il doit y avoir une bonne raison pour qu'il soit à l'origine de sudo et et qu'on retrouve son nom dans des docs de openssh...

pour ce qui est de la doc, si ce n'est pas déjà le cas, n'hésites pas à faire des observations sur la mailing liste [Uwiki]
je suis spectateur des messages qui s’accumulent depuis juin dernier et les gars réalisent un travail de fond hallucinant !

@diesel83140 : oui j'essaie justement de montrer qu'on peut allier ligne de commande et clicodrome sans devoir faire une formation supérieure d'informatique... et ce, même si j'ai conscience que les notions que j'explique ici dépassent largement le cadre de compréhension de Mme Michu... par contre une fois que tout est paramétré, c'est d'une simplicité déconcertante de passer ou d'ouvrir ses docs d'une machine à une autre !
... justement c'est dans le titre, de devenir schizo à ne plus savoir si on est en local ou sur une autre machine de notre réseau perso... il m'arrive de bosser directement sur le disque dur externe de mon PC du salon alors que je suis sur une autre bécane et d'oublier complètement où je suis... bon, je suis un peu bordélique aussi, j'avoue !

bruno

https://www.sudo.ws/intro.html
Il ne dit pas autre chose que moi :

Todd C. Miller a écrit Sudo (su "do") allows a system administrator to give certain users (or groups of users) the ability to run some (or all) commands as root while logging all commands and arguments.

Traduction :
Sudo permet à un administrateur système de donner à certains utilisateurs (ou groupes d'utilisateur) la possibilité d'exécuter certaines commandes (ou toutes) en tant que root, tout en enregistrant (logs) toutes les commandes et leurs arguments.
C'est donc bien un outil destiné à faciliter la délégation de privilèges sur un système de type UNIX, et il n'y a aucun argument concernant la sécurité sur le site en question.

N.B. : sudo existe depuis les années 80 et Ubuntu n'a rien inventé. À la sortie d'Ubuntu il y a eu de longues polémiques stériles pour savoir s'il était plus sécurisé d'utiliser un compte root actif ou sudo avec un compte root désactivé. Les deux approches présentent des avantages et des inconvénients mais rien ne permet d'affirmer que l'un est plus sûre que l'autre.

Pour la doc, je ne veux pas m'en occuper. Tout ce que je peux dire c'est que la page [doc]sudo[/doc] est une aberration car elle se focalise sur le lancement d'applications graphiques en tant que root sans aucunement expliquer ce qu'est sudo, son utilisation et sa configuration via sudoers…

diesel

De toutes manières, se loguer root sous ubuntu, rien de plus simple

sudo passwd root

Une fois le mot de passe défini ("toto" de préférence 😉 ), "su" dans un terminal ou se loguer root dans une session texte est un jeu d'enfant comme sur n'importe quel unix like.

Amicalement.

Jean-Marie

Sciensous

même s'il y a peut-être des inexactitudes (perso je ne suis pas assez calé pour juger), je trouve la démarche de Kholo excellente
+
assez claire et pédagogue et chose rare très peu de fotd'Auorthhaugraff

Merci à toi

Je rajouterai que finalement, on peut simplifier encore dans un cadre familiale:
le compte root + le sudoer --> plus de troisième compte si celui sudoer est ouvert automatiquement (autologin)
Par contre faut aussi enlever les verrouillages (écran) pour ne pas avoir à divulguer LE mot de passe sudoer 😉

Aussi, possibilité de faire un alias ssh sudoer@localhost

enfin, vers le milieu: rempart et non remparE 🙂

diesel

Kholo, je viens pour la première fois de lire le début de ta prose.

Installer un serveur ssh sur un poste de travail pour permettre à travers l'interface lo à n'importe qui de réaliser des tâches d'administration, alors que tu dis qu'il ne devrait y avoir qu'un seul administrateur sur une machine, à mon avis, faut être un peu tordu (mais ce n'est que mon avis).

Alors que dans les paramètres (accessibles en cliquant en haut à gauche du bureau), tu peux ajouter ou retirer qui tu veux du groupe des sudoers.

Amicalement.

Jean-Marie

bruno

J'ai lu aussi en diagonale le reste des manipulation et je trouve cela particulièrement tordu. Tout du moins inutilement compliqué et n'apportant rien au niveau sécurité. On pourrait me dire que c'est l'inverse : en installant un nouveau service : SSH, tu augmentes la surface d'attaque et le risque d'erreur de configuration pour les débutants.

@Sciensous : il n'y a pas d'utilisateur sudoers. sudoers est le plugin de politique de sécurité sudo (cf. man sudoers). Ou si tu préfères, sudoers est le fichier de configuration de sudo.

Quant à Samba, tu n'en a peut-être pas besoin pour ton usage personnel mais c'est indispensable dans certains cas. Par exemple entreprise avec un serveur qui partage les fichiers dans un environnent hétérogène (Windows, MAC, etc.) et où les utilisateurs doivent pouvoir modifier les mes fichiers (donc possibilité de mettre un verrou sur les fichiers ouverts). Et de toute façon le protocole SMB doit être strictement limité au réseau local.

kholo

@Sciensous : merci pour les encouragements, faute corrigée.
pour le verrouillage écran, justement, le fait d'avoir un compte avec des droits limités permet de divulguer, dans un cadre familiale, le mot de passe. Personnellement, j'utilise beaucoup Ctrl + Alt + L qui endort l'écran et verrouille le système sans le couper; par exemple, pour laisser se terminer un téléchargement. Au réveil le mot de passe est obligatoire et on retrouve tout dans l'état. Cela peut être aussi utile dans un cadre pro...
Pour ce qui est de l'auto login, ça ne fonctionne que tant qu'on a pas besoin de seahorse (le logiciel qui garde nos mots de passe sur le système) donc c'est foireux dans un environnement multi ordinateurs comme celui que je décris.

Pour tout dire mon ordi portable et mon "HTPC" (en fait c'est un bureau classique et c'est usage qui en fait un htpc) sont sur le compte sudoer mais celui de mon salon, allumé du matin au soir (avec 3 To de hdd et autant de données; un hdd externe pour les docs sensibles), à un compte limité pour ma femme (et moi de temps en temps) et je ne vais pour ainsi dire jamais sur le bureau du sudoer.

Pour ce qui est de faire un alias, pas la peine, mon astuce consiste à utiliser sftp : je fais ma première connexion comme expliqué dans mon Roman ensuite Ctrl + D et (c'est nouveau) je fais une paire de clé pour pouvoir me connecter sans code. Encore une fois cela ne serait pas sécure si cette paire de clé était effective vers un compte sudoer, là c'est vers un compte normal donc cela ne me pose pas de soucis (enfin pas plus que ça...)

@diesel83140 @bruno
j'ai dû mal me faire comprendre : ma connexion lo est utile pour faire de l'administratif entre un compte qu'il soit local à l'ordi ou sur un autre PC de mon réseau local et le sudoer de ma machine mais les restrictions restent les même que dans un cadre normal : je suis le seul à connaître le mdp donc le seul à avoir les accès... j'aurais des mouflets à la maison ou des potes en transite que ce serait pareil : je reste le seul à aller sur le compte sudoer donc à faire de l'admin... sauf hackeur bien décider à me faire chier !
et je veux bien que qu'on m'explique comment le compte normal de ma femme pourrait avoir accès à des taches profondes d'admin sans le mot de passe du sudoer ( A part utiliser des trous de sécurité qui ne dépendent pas de mon fait ) !

Pour ce qui est de Samba j'utilise Filezilla sur Linux (juste pour le fun), sur divers MacOS (tous) , sur Windows (tous)... et je crois aussi avoir fais avec Android (mais mon téléphone est encore en 2.3, un câble USB et, de temps en temps, airdroid me suffisent).
du temps d'Xp et Vista (et se7en si je me rappel bien) j'ai mappé du ssh mais ça reste bancal alors j'ai mis ça de côté (merci Korben 😉 ).
Pour avoir cherché, je comprends cette "obligation" d'utiliser Samba... mais ça ne m’empêche pas de penser que c'est casse c... ! et ce justement parce que j'ai fais l'effort de passer full Linux pour ne plus avoir à y revenir...

J'installe du Linux à tour de bras pour des amis, pour des clients, je suis chiant et je l'avoue prosélytiste... mais ceux qui m'ont fais confiance n'ont pas trop à s'en plaindre à part deux trois et une seule cliente qui à fait machine arrière pour retrouver son
Incrédimail (là je ne peux plus rien pour elle !).

Tout ceci écrit, merci à tous les deux de prendre le temps de me répondre et d'éprouver ma vision,... j'en attendais pas moins !

diesel

Ben..., s'il n'y a que moi qui fais de l'administration, je ne vois pas l'intérêt de faire tout ça.

Chez moi, j'ai un PC station de travail et un serveur.

Pour administrer mon PC, sudo xxxx

Pour administrer mon serveur, j'ai un compte à mon nom sur le serveur donc ssh serveur (sans rien préciser de plus), puis une fois que je suis logué sur le serveur, sudo xxxx pour administrer.

Et ça me va très bien comme ça.

Amicalement.

Jean-Marie

kholo

salut MilkFG,
pour un premier message, c'est court...

je vais en profiter pour répondre à Diesel...
bon, tu as un PC et un serveur...
moi j'ai un PC portable et un serveur, un PC dans le salon qui est un poste de travail / serveur et plus souvent pour ma femme, j'ai un PC dans ma chambre qui fait bureau et HTPC, j'ai un raspberry et quelques tours sous la main (dont 2 sous Doz pour la musique et les jeux)... je dois en oublier...
quand je suis dans le salon ou dans la chambre, ou sur un de mes PC, il faut que je puisse facilement transférer des documents à un autre des PC sans trop me prendre la tête, donc il me fallait une procédure simple... et pas d'échange de clé dans tous les sens qui laisserait un accès trop simple (encore que j'en ai mis pour certaines circonstances) ...

j'en met toujours des tonnes car j'aime être précis et compris mais ce que je fais est à la portée d'anciens débutants et surtout d'anciens Windoziens... c'est souvent à eux que je m'adresse quand je les vois galérer avec Samba (les C......).

Le monde Linux est sécurisé par un système de droits qui laisse beaucoup de monde sur le carreau, et même moi qui commence à avoir de la bouteille, je reste dubitatif sur certaines procédures...
par exemple, installer des "programmes" python avec pip sans droit... fallait savoir qu'il existait une option --user... et j'y ai pas coupé, j'ai foutu, à un moment, un sudo devant en me disant que ça ferait avancer le schmilblick... mais "queue néni" ! j'ai surtout bien mis le bordel !

donc, je le dirai autrement : pour une personne seule au fond de sa grotte, la sécurité n'est pas importante, j'en conviens... mais un simple couple qui utilise le même PC et en possède d'autres et, plus encore, avec un enfant (surtout les ados), se doit d'avoir une organisation de son système de fichiers ne serait ce pour ne pas se mélanger les pinceaux (et les fichiers) voire, avec un gamin, de lui interdire l'accès à certaines zones de données... surtout quand c'est des potes à lui de passage qui se servent de la bécane... par exemple...

Pour tout ça, quelques connaissances des ACL, du ssh, et sftp, suffisent à combler tous les besoins de particuliers pour les échanges entre machines au sein de leur réseau...
Mon petit roman était une façon, certe un peu technique, d'aborder ces concepts... mais je n'en suis pas à mon coup d'essai et je reviendrai ! :lol: