2
Bonjour tout le monde,
Je suis en train de tester openSUSE Leap 15.4 dans une machine virtuelle. J'utilise depuis quelques années Debian et je teste openSUSE pour voir si je vais migrer vers cet OS qui me semble très complet. J'ai installé Debian sur mon ordinateur de travail et sur l'ordinateur de mes parents. Sur ces deux ordinateurs, j'ai l'habitude d'utiliser sudo avec le mot de passe utilisateur pour effectuer toutes les commandes ,ou de lancer les programmes, qui nécessitent des droits superutilisateur. Sur l'ordinateur de mes parents, chaque utilisateur dispose du droit sudo dans les mêmes conditions.
J'essaie de reproduire ce fonctionnement sur openSUSE (dites moi si j'ai tort du point de vue de la sécurité). J'ai donc suivi ce tutoriel pour autoriser tous les membres du groupe wheel à pouvoir utiliser sudo avec le mot de passe utilisateur.
Voici mon fichier /etc/sudoers
## sudoers file.
##
## This file MUST be edited with the 'visudo' command as root.
## Failure to use 'visudo' may result in syntax or file permission errors
## that prevent sudo from running.
##
## See the sudoers man page for the details on how to write a sudoers file.
##
##
## Host alias specification
##
## Groups of machines. These may include host names (optionally with wildcards),
## IP addresses, network numbers or netgroups.
# Host_Alias WEBSERVERS = www1, www2, www3
##
## User alias specification
##
## Groups of users. These may consist of user names, uids, Unix groups,
## or netgroups.
# User_Alias ADMINS = millert, dowdy, mikef
##
## Cmnd alias specification
##
## Groups of commands. Often used to group related commands together.
# Cmnd_Alias PROCESSES = /usr/bin/nice, /bin/kill, /usr/bin/renice, \
# /usr/bin/pkill, /usr/bin/top
# Cmnd_Alias REBOOT = /sbin/halt, /sbin/reboot, /sbin/poweroff
##
## Defaults specification
##
## Prevent environment variables from influencing programs in an
## unexpected or harmful way (CVE-2005-2959, CVE-2005-4158, CVE-2006-0151)
Defaults always_set_home
## Path that will be used for every command run from sudo
Defaults secure_path="/usr/sbin:/usr/bin:/sbin:/bin:/usr/local/bin:/usr/local/sbin"
Defaults env_reset
## Change env_reset to !env_reset in previous line to keep all environment variables
## Following list will no longer be necessary after this change
Defaults env_keep = "LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE LC_TIME LC_ALL LANGUAGE LINGUAS XDG_SESSION_COOKIE"
## Comment out the preceding line and uncomment the following one if you need
## to use special input methods. This may allow users to compromise the root
## account if they are allowed to run commands without authentication.
#Defaults env_keep = "LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE LC_TIME LC_ALL LANGUAGE LINGUAS XDG_SESSION_COOKIE XMODIFIERS GTK_IM_MODULE QT_IM_MODULE QT_IM_SWITCHER"
## Do not insult users when they enter an incorrect password.
Defaults !insults
## Uncomment to use a hard-coded PATH instead of the user's to find commands
# Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
##
## Uncomment to send mail if the user does not enter the correct password.
# Defaults mail_badpass
##
## Uncomment to enable logging of a command's output, except for
## sudoreplay and reboot. Use sudoreplay to play back logged sessions.
# Defaults log_output
# Defaults!/usr/bin/sudoreplay !log_output
# Defaults!REBOOT !log_output
## In the default (unconfigured) configuration, sudo asks for the root password.
## This allows use of an ordinary user account for administration of a freshly
## installed system. When configuring sudo, delete the two
## following lines:
#Defaults targetpw # ask for the password of the target user i.e. root
#ALL ALL=(ALL) ALL # WARNING! Only use this together with 'Defaults targetpw'!
##
## Runas alias specification
##
##
## User privilege specification
##
root ALL=(ALL:ALL) ALL
## Uncomment to allow members of group wheel to execute any command
%wheel ALL=(ALL:ALL) ALL
## Same thing without a password
#%wheel ALL=(ALL:ALL) NOPASSWD: ALL
## Read drop-in files from /etc/sudoers.d
@includedir /etc/sudoers.d
Il me semble avoir correctement suivi les instructions mais il reste un "problème". Lorsque je veux lancer le partitionneur openSUSE (ou les autres outils Yast), une boîte de dialogue me demande le mot de passe superutilisateur et non celui de l'utilisateur. Pour les commandes comme "sudo zypper refresh" c'est bien le mot de passe utlisateur qui est demandé. Pourquoi cette "incohérence" ?
Je me dis que soit j'essaie de reproduire ce que j'avais l'habitude de faire sur Debian, soit j'autorise sudo mais avec un mot de passe superutilisateur bidon comme "admin" pour que mes parents n'aient pas de difficulté à s'en souvenir.
Merci de votre aide !