Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Concernant sudo pour lancer les applis graphiques

bluc

Bonjour

Ça fait un an peut être plus que, comme beaucoup de gens ici, je n'utilise plus (et je sais pourquoi) sudo nautilus ou autres , pas que ça me gène, ni que ça me manque
Mais je vois moins sur les autres forums admin: ou pkexec utilisés a la place de sudo
Ayant fait des recherches sur le net je ne trouve pas beaucoup d'explications a ce sujet (c'est a dire pourquoi plus de sudo en graphique) , j'ai peut être mal cherché
Alors pour mon info personnelle (et peut être pour d'autres utilisateurs aussi) quelqu'un pourrait il me mettre des liens vers ces informations

Merci

kamaris

Voici un lien de doc fr : https://doc.ubuntu-fr.org/utilisateurs/aldian/sudo_gedit
Un autre de doc en : https://askubuntu.com/questions/1162608/can-there-ever-be-any-problem-when-using-gedit-to-edit-system-files-with-sudo
Ça concerne plutôt « sudo gedit » à la base, mais le problème général du « sudo application graphique » est évoqué.

bluc

Merci kamaris, je regarderai ça demain 😉

Coeur Noir

sudo n'a jamais été recommandé pour lancer la moindre appli' graphique, quelle qu'elle soit et ce depuis toujours.

Pour faire cela il y avait gksudo ou kdesudo devenus obsolètes avec 18.04 ( voire avant ? ) car ça n'est pas compatible avec wayland : [ c'est mon interprétation, sujette à caution ] la partie affichage graphique dans wayland est forcément et uniquement liée à l'utilisateur en cours, donc pas possible de demander à un autre utilisateur - root dans ce cas - d'afficher quelque chose. C'est une sécurité aussi rudimentaire qu'efficace.

On pourrait dans l'absolu toujours utiliser gksudo dans Xorg mais il a été supprimé 1) pour préparer à l'hypothétique moment où wayland sera l'affichage par défaut partout et 2) parce que de toute façon, c'était discutable du point de vue de la sécurité du système.

pkexec ou admin:// aujourd'hui gèrent « proprement » les requêtes entre ce qui est exécuté côté système et l'affichage graphique de l'utilisateur en cours, pour les exécutables ( ou utilisateurs ? ) préalablement « inscrits » et pris en charge par pkexec. Pour le reste il y a éventuellement sudo -H appli_graphique

bluc

Oui j'ai bien compris tout ça ,même si depuis 2005 jusqu’à il y a un an j'ai fait des sudo nautilus et sudo gedit a gogo sans vraiment avoir de problèmes ou je ne m'en suis pas rendu compte.
Je ne retrouvais pas cette page de la doc du lien de kamaris, et ne trouvant pas grand chose d'autres sur le net , je voulais conforter tout ça

kamaris

Il existe une commande très propre pour éditer graphiquement ses fichiers systèmes, elle est commentée dans le lien en anglais que j'ai donné :

SUDO_EDITOR=gedit sudoedit fichier

où « gedit » peut être remplacé par ce qu'on veut comme éditeur (graphique ou non en fait).
Toutes les opérations sont effectuées en tant que simple utilisateur sur un fichier temporaire, jusqu'à l'enregistrement des modifications inclus, et c'est seulement à la fermeture de l'éditeur qu'une copie est effectuée avec les droits root sur le fichier système.

kamaris

Complément sur les applications graphiques qui nécessitent les droits root : https://doc.ubuntu-fr.org/policykit

bluc

Merci

Watts

Bonjour,

Dans le lien askubuntu qui est présent, il est mentionné que même

sudo nano

serait dangereux et non recommandé. Qu'en pensez vous? Moi c'est ma méthode par défaut

pseudofab

Bonjour,
Pas de souci avec nano. Tout comme Vim, ce n'est pas une application graphique.

FrancisFDZ

Bonjour,

pseudofab a écritBonjour,
Pas de souci avec nano. Tout comme Vim, ce n'est pas une application graphique.

Ah bon !? J'ai toujours utilisé "vi" comme éditeur en mode console, et j'avais compris que "vim" en était la version graphique (mais si "vi" n'est pas présent, il faut installer "vim")

pseudofab

jt'écoute :vim --version
VIM - Vi IMproved 8.0 (2016 Sep 12, compiled Jun 06 2019 17:31:41)
Rustines incluses : 1-1453
Modifié par pkg-vim-maintainers@lists.alioth.debian.org
Compilé par pkg-vim-maintainers@lists.alioth.debian.org
Énorme version sans interface graphique.
....

Il existe une interface graphique pour Vim appellé Gvim, mais c'est une truc qui n'est pas installé par défaut avec le paquet Vim.

kamaris

Watts a écritBonjour,

Dans le lien askubuntu qui est présent, il est mentionné que même
sudo nano
serait dangereux et non recommandé. Qu'en pensez vous? Moi c'est ma méthode par défaut

Je ne suis pas sûr que l'auteur aille jusque-là dans les termes qu'il utilise, mais il souligne simplement que la véritable « méthode canonique », contrairement à ce qui est dit dans le lien fr que j'ai donné, n'est pas sudo nano ou sudo vi, mais bien

SUDO_EDITOR=[nano,vi,whatever] sudoedit fichier

Car c'est seulement dans ce cas que l'usage des droits root est restreint autant qu'il est possible : à la seule copie du fichier temporaire vers le fichier que l'on souhaite effectivement modifier.

L'auteur donne d'ailleurs des arguments dans ce sens, en particulier concernant vim : « If your editor configuration causes something to be run, that gets run as root. For sophisticated editors like vim, this can cause quite a bit of nontrivial code to run as root. » (et les autres points qui suivent).
Ce type d'argument donne une idée de toutes les failles exploitables dès lors qu'une action ne nécessitant pas les droits root est engagée, donc en toute rigueur, on ne peut pas dire qu'il n'y a aucun problème à faire du sudo nano ou sudo vi.
Lorsqu'il relativise son avertissement, c'est d'ailleurs pour dire qu'il n'y a en fait pas de différence fondamentale entre sudo appli graphique et sudo appli non graphique, mais que c'est plus une question de portée :
« The reason it's less of a big deal than with graphical applications is that the editor usually still starts, the error messages are usually easier to understand, you can usually figure out what specific files are affected much more easily, and the breakage is typically confined to that one program. (Graphical programs use configuration files in more places.) Furthermore, unlike with graphical editors, users who only casually use a text editor and don't deliberately change its configuration are fairly unlikely to experience this problem. »

Maintenant, en pratique, tout le monde fait du sudo nano, vi, etc. il me semble, c'est donc que les effets de bord sont limités, indépendamment même des options utilisées pour sudo : -i, -H, etc.

serged

J'ai toujours gksudo, quoique étant passé en LinuxMint 19 (19.3 aujourd'hui) basé sur Ubuntu 18.04.
Pourquoi ?
Je suis passé de LM 18.x (basé sur Ubuntu 16.04.x) directement grâce à la méthode préconisée par LM. Et, du coup, j'ai gardé l'ancien gksudo qui fonctionne très bien.

Donc il suffit de récupérer le binaire de gksudo sur une ancienne distribution...