Discussion :

[erwann56]

Bonjour à tous,

Je me retrouve devant un cas d'école que je n'arrive pas à résoudre.

J'ai plusieurs serveurs (ovh)avec la même distrib debian et sur certaines machines un sudo -i me demande le mot de passe root. Sur d'autres, jamais et je deviens root directement.

Mon utilisateur, debian par défaut est pourtant bien membre du groupe sudo sur toutes les machines. J'ai bien rajouté via visudo, la ligne "Defaults rootpw". Mais cela ne fonctionne vraiment jamais sur certaines machines.
J'ai fouillé dans le pam.d, les logins etc mais je ne vois aucune différence.

root:~# cat /etc/sudoers.d/90-cloud-init-users
# User rules for debian
debian ALL=(ALL) NOPASSWD:ALL

root:~# cat /etc/sudoers.d/debian-cloud-init
debian ALL = NOPASSWD: ALL

et enfin:

root:/etc/pam.d# cat /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults env_reset
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Defaults rootpw

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

Quelqu'un aurait une idée ?

[tabouret]

Hello,

2 lignes sudo pour le même utilisateur (debian) déjà c'est pas propre.
Supprimes en une.

Ensuite tu as NOPASSWD:ALL ....

Si debian est membre du groupe sudo, pourquoi lui faire une ligne dédiée dans le sudoers?

[erwann56]

Salut

Les deux lignes sont insérées directement lors de la création de la machine chez OVH.

Et le NOPASSWD ne me convient pas, je veux justement que le mot de passe root soit toujours demandé (d'où l'ajout du rootpw dans le sudoers).

Ce fichier est identique sur les différents serveurs.

[tabouret]

Il va falloir qu'OVH revoit ce qu'est un sudoers dans ce cas la c'est alarmant.

Enlève le NOPASSWD dans ce cas non?

[gabriel21]

Il suffit d'enlever le NOPASSWD.

Et dans tous les fichiers.

De tête l'ordre des fichiers est important. Si sudoers trouve une directive dans le sudoers.d, il l'applique et sort. Ce qui veut dire que si tu as une autre directive opposée dans le fichier sudoers, elle ne sera pas prise en compte.

La demande du mot de passe est une affaire personnelle, les deux approches existent. J'ai déjà vu le cas, où les mot de passe ne sont plus utilisé, mais uniquement des clé ssh (avec ou sans mot de passe). Cela a des avantages et des inconvénient. Mais en terme de sécurités, aucun impact. Si le compte présent dans le sudoers est compromis, que le mot de passe soit demandé ou pas, cela ne changera pas grand chose voir rien du tout, notamment si le mot de passe est compromis. L'intérêt de sudo est de pouvoir tracer les actions effectuées par le compte administrateur et l'origine de la connexion et de donner des possibilités d'administration à des compte sans pour autant leur donner un accès administrateur. Ce n'est pas un moyen de protection. Il n'est pas plus robuste que le système déployé sous Windows qui demande la confirmation pour les opérations d’administrations ou le mot de passe administrateur si le compte ne l'est pas(sudo ne sait pas le faire d'ailleurs).

[erwann56]

Merci

J'ai mis debian ALL = PASSWD:ALL

Mais je ne comprends pas pourquoi d'une machine à l'autre, avec les mêmes lignes dans les mêmes fichiers, le pass root est demandé et pas demandé.

Je vais faire comme ca. Merci encore.

[tabouret]

Parce que d'une machine à l'autre la conf sudo n'est pas la même c'est sur à 100%.

[erwann56]

Parce que d'une machine à l'autre la conf sudo n'est pas la même c'est sur à 100%.

Hé bien, je veux bien le croire (malgré un diff nul sur les fichiers sudoers entre mes différents serveurs)

Mais ca fonctionne comme ca. Pour les autres, j'essaierais de comprendre un jour.

Merci en tout cas.

[gabriel21]

Et dans les fichiers du répertoire /etc/sudoers.d/ ?

[erwann56]

Et dans les fichiers du répertoire /etc/sudoers.d/ ?

Pareil. Même contenu, même droits.

D'où cette interrogation de savoir s'il n'y avait pas un truc ailleurs.

Mais c'est bon. Merci