# [TIPS] su sans mot de passe

## naerex

Bonjour

Voici un tips bien sympa pour ceux qui ne veulent pas taper le mot de passe root, de plus il ne nécessite aucune installation.

ouvrir /etc/pam.d/su et décommenter cette ligne :

```

#auth       required     pam_wheel.so use_uid

```

A présent les membres du groupe wheel peuvent faire su sans entrer le mot de passe.

Ca marche même pour kde avec le bouton superutilisateur dans le centre de config !

Peut être aussi sous gnome (à confirmer)

Pour une utilisation perso de son ordi je trouve ça très pratique  :Very Happy: 

Niveau sécu évidemment si votre mot de passe utilisateur est "toto" vous pouvez oublier cette méthode  :Wink: 

----------

## kopp

Je pense que même avec un mot de passe utilisateur compliqué, c'est moyen niveau sécurité, il suffit qu'un programme lancé en user soit vulnérable à un quelconque truc pourque quelqu'un l'exploite  pour utiliser su et avoir un accès root sur la machine.

Bon là ça ressemble à de la parano mais pour des machines souvent connectées au net, c'est risqué.

Faut aussi se méfier des amis qui ont tendance à vouloir tripatouiller vos consoles quand vous tournez le dos  :Wink: 

Avec certain potes, je pars pas pisser sans fermer tous les terminaux et bloquer X  :Wink: 

----------

## Darkael

 *kopp wrote:*   

> Je pense que même avec un mot de passe utilisateur compliqué, c'est moyen niveau sécurité, il suffit qu'un programme lancé en user soit vulnérable à un quelconque truc pourque quelqu'un l'exploite  pour utiliser su et avoir un accès root sur la machine.
> 
> Bon là ça ressemble à de la parano mais pour des machines souvent connectées au net, c'est risqué.

 

En même temps, si c'est un compte qui est utilisé souvent pour passer en root, pour un attaquant éventuel le passage en root ne sera qu'une formalité, à moins d'avoir pris des mesures drastiques supplémentaires.

Et puis pour une utilisation perso (ce qui est la cible de cette astuce), à mon avis tes données personnelles sont quand même beaucoup plus sensibles que l'accès à ton système...

----------

## titoucha

 *kopp wrote:*   

> 
> 
> Faut aussi se méfier des amis qui ont tendance à vouloir tripatouiller vos consoles quand vous tournez le dos 
> 
> Avec certain potes, je pars pas pisser sans fermer tous les terminaux et bloquer X 

 

Sont sympas tes potes   :Laughing: 

----------

## Darkael

Euh, ce n'est que maintenant que je vois ça: la ligne à décommenter n'est pas la bonne. C'est plutôt celle là:

```

# Uncomment this to allow users in the wheel group to su without

# entering a passwd.

auth       sufficient   pam_wheel.so use_uid trust

```

À corriger, donc  :Wink: 

----------

## Shibo

Un su sans password c'est peut-être pas une bonne idée comme dit plus haut... Mais rien n'empeche d'utiliser sudo sans mot de pass pour les users wheel. Là aussi il y a une ligne a decommenter.

```

# Fichier /etc/sudoers

# Ligne 47

%wheel          ALL=(ALL)          NOPASSWD: ALL

```

J'adore pas non plus cette solution mais vu que je suis feignant et que mon pass root est ... solide ... voilà ce que j'ai fait:

```

# En root

chmod 0777 /etc/sudoers

vim /etc/sudoers

# A la fin du fichier

monlogin          ALL=(ALL)          NOPASSWD: ALL

chmod 0440 /etc/sudoers

exit

sudo emerge -av portage et sa marche ^^ (par exemple)

```

Bon de toute facon c'est pas une bonne idée d'enlever la protection par mot de pass mais bon feignatise quand tu nous tiens :p

Maintenant penser bien a avoir un bon mot de pass pour votre session.

Note:

L'avantage de sudo c'est qu'il donne temporairement l'accès root.

Pour l'installer emerge sudo.

----------

## _droop_

Salut,

je ne vois pas trop la nuance entre avoir sudo sans mot de passe et su sans mot de passe sur le plan de la sécurité.

Au final les gens qui appartiennent à wheel peuvent faire les mêmes choses.

----------

## nico_calais

 *_droop_ wrote:*   

> Salut,
> 
> je ne vois pas trop la nuance entre avoir sudo sans mot de passe et su sans mot de passe sur le plan de la sécurité.
> 
> Au final les gens qui appartiennent à wheel peuvent faire les mêmes choses.

 

Avec sudo, tu peux n'autoriser qu'un certain nombre de commandes, avec ou sans mot de passe, avec système de temporisation si tu le souhaites. C'est bien plus parametrable. Avec sudo, soit tu t'en fous, et t'ouvres tout, soit t'es parano, et tu bloques au maximum mais le ou les utilisateurs pourront toujours utiliser la ou les commandes requierant les droits root.

Bon....Surtout, j'esperre que si vous supprimez le mot de passe root, vous n'avez un serveur ssh directement dispo du net   :Rolling Eyes: 

----------

## geekounet

Bon perso, j'ai mis le su sans password sur mon laptop pour ne pas me prendre la tête comme de toute façon je suis le seul à y toucher.

Mais sur le serveur, j'ai bien laissé su et sudo avec password.

Et de toute façon, j'ai un pass user assez complexe pour ne pas être cassé avant qq mois d'essais ^^, le login ssh en root est désactivé sur toutes mes machines, et le ssh de mon serveur qui est accessible du net n'est pas sur le port standard (je l'ai changé ya qq mois et je n'ai plus eu une seule attaque, mon fail2ban ne sert plus à rien ^^). Avec tout ça, je ne pense pas courir trop de risques.  :Smile: 

----------

## synss

Shibo: pour editer le sudoers, mieux vaut utiliser visudo plutot que changer les perm a la main, et 0660 est suffisant pour editer un fichier en root.

```
Defaults:%wheel     !authenticate
```

 marche aussi, et !syslog, !logfile, !lecture n'est pas mal non plus.

Et j'ai aussi ajoute 

```
# lock root on default runlevel

/usr/sbin/usermod -L root
```

 et 

```
# Unlock root for maintenance

/usr/sbin/usermod -U root
```

 et il ne reste qu'un seul compte sur mon portable (+ eventuellement le tres limite guest, quand je laisse mon ordi a qq1)

Avec sudo, sudo -s appelle un shell en root.

----------

## Oupsman

Si il y'a UNE erreur de syntaxe dans le fichier /etc/sudoers, l'ensemble des droits sudo devient invalide, pour tous les utilisateurs. Donc méfiance avec le vi /etc/sudoers. Il vaut mieux effectivement utiliser visudo qui fait une validation du fichier avant de le remplacer. 

Dans mon taf, on utilise beaucoup sudo pour allouer des droits à différentes personnes chez le client. Il vaut mieux sudo qui permet de filtrer (exemple, n'executer la commande rmdev -dl que sur les cartes fiber channels installées sur le serveur).

----------

