Le fonctionnement de su et sudo sont abordés dans la première partie. L’idée est d’éviter de recourir à des binaires setuid+root qui sont en général une importante surface d’attaque, peu importe s’ils sont configurés pour autoriser ou non certains comptes utilisateurs.
Le gros défaut de “su -” en plus de fonctionner ainsi est de distribuer de façon centralisée le compte root. Vous avez besoin du mot de passe du compte root pour vous y connecter. Avec des clés on évite ce problème.
L’article explique justement qu’interdire la connexion root par SSH est une comédie sécuritaire souvent répandue et fait plus de mal que de bien quand au final on utilise su/sudo.
Je pense aborder un récapitulatif à la fin de l’article pour que ce soit plus clair car peut-être que les informations sont trop dispersées.
En même temps, je ne comprends pas trop le problème.
J’ai toujours interdit la connexion root par SSH. Je n’ai quasiment jamais utilisé ou prou sudo, sauf dans un environnement particulier. Je me connecte par SSH à une session, et si j’ai besoin d’administrer le système, je bascule en root, par l’usage de “su -”. Et puis, basta…
Et, quand je dois vraiment utiliser “sudo”, je le configure d’une seule et même manière :
Defaults targetpw
ALL ALL=(ALL) ALL
Qui appelle strictement le compte root… sans avoir la nécessité d’utiliser un utilisateur privilégié.
Je dois avouer qu’au départ à première lecture du titre j’ai pas bien vu le rapport du SSH qui remplace sudo.
Après en lisant l’article je comprends mieux où tu veux en venir.
Comme je l’ai écrit dans l’article, je n’ai pas vu de référence au code source. Je serais intéressé par un lien qui confirme que c’est basé sur Nextcloud. Sur la page Wikipédia il est fait référence à une application mobile basée sur Nextcloud mais il est noté que la licence est propriétaire : https://fr.wikipedia.org/wiki/KDrive
Petite information, tout infomaniak ou presque est basé sur du logiciel libre, les mails, contacts, agenda ou même kdrive sont basé sur Nextcloud, le client de sync kdrive est basé sur Nextcloud client, le client de sync Xdav est basé sur davx5 etc…
Le service mail est vraiment top, 5 adresses mail pour une 30ene d’euros par ans, avec chacun alias illimité, et on peux lié le compte smtp à un compte infomaniak ou non. De plus les domaines sont illimités chez eux.
Franchement je n’ai rien trouvé de mieux pour le moment, à voir par la suite. Rien n’est écris
Je suis heureux et épaté du travail réalisé sur cette série sur la recherche du clavier parfait, malgré mes connaissances j’ai pu en apprendre encore plus tout en lisant la verve de @richarddern
Un must have a lire dans son ensemble, pour une premiére entré en matière approfondit.
Je me permets de suggérer également FreeOTP+, qui me sert pour la double auth et qui est dispo sur f-droid également, et termux (un terminal avec son propre gestionnaire de packages, j’ai pu installer python et puis je me connecte en ssh à mon serveur grâce à cette appli :P).
“C’est juste dommage que Gagdetbgride demande d’avoir le GPS activé pour la découverte initiale, mais on peut la désactiver ensuite.”
C est une necessité (Depuis Android 6 (api 21)) pour effectuer un scan bluetooth sur Android. Car grace au beacon bluetooth un peu partout present dans les lieux publique, avec l aide d une base de ces beacons, une geoloc est possible.
Quand au prob de reco, oui si la geoloc n’est pas activé sur le telephone et l application Gadgetbridge, celle ci ne peux pas se reconnecter automatiqument a la montre.
A l exception de Ubuntu 21.10 qui a la 8000eme ligne du changenotes de la release precise :
“””
The version of the ZFS driver included in the 5.13.0-19 kernel contains a bug that can result in filesystem corruption. Users of ZFS are advised to wait until the first Stable Release Update of the kernel in 21.10 before upgrading.
“””
Et la tu te retrouve avec un ZFS tout pété, snapshoot et retour en arriere corrompue.
Une astuce que j’utilise de mon côté c’est mega pour synchroniser mes fichiers et j’ai ajouté des exceptions pour synchroniser ces fichiers liés à git et aux repos locaux
ça ne vaut peut être pas ces gestionnaires, mais ça fait plutôt bien le travail
Le fonctionnement de su et sudo sont abordés dans la première partie. L’idée est d’éviter de recourir à des binaires setuid+root qui sont en général une importante surface d’attaque, peu importe s’ils sont configurés pour autoriser ou non certains comptes utilisateurs.
Le gros défaut de “su -” en plus de fonctionner ainsi est de distribuer de façon centralisée le compte root. Vous avez besoin du mot de passe du compte root pour vous y connecter. Avec des clés on évite ce problème.
L’article explique justement qu’interdire la connexion root par SSH est une comédie sécuritaire souvent répandue et fait plus de mal que de bien quand au final on utilise su/sudo.
Je pense aborder un récapitulatif à la fin de l’article pour que ce soit plus clair car peut-être que les informations sont trop dispersées.
En même temps, je ne comprends pas trop le problème.
J’ai toujours interdit la connexion root par SSH. Je n’ai quasiment jamais utilisé ou prou sudo, sauf dans un environnement particulier. Je me connecte par SSH à une session, et si j’ai besoin d’administrer le système, je bascule en root, par l’usage de “su -”. Et puis, basta…
Et, quand je dois vraiment utiliser “sudo”, je le configure d’une seule et même manière :
Qui appelle strictement le compte root… sans avoir la nécessité d’utiliser un utilisateur privilégié.
Oui je m’étais fait la remarque également. :P
sinon non-officiels mais maintenus par des membres réguliers du Journal : Sur Twitter et sur Reddit
Je dois avouer qu’au départ à première lecture du titre j’ai pas bien vu le rapport du SSH qui remplace sudo. Après en lisant l’article je comprends mieux où tu veux en venir.
Toutes mes excuses mais j’ai du mal à saisir l’intérêt pour le JdH de 12 secondes de contenu.
c’est parce que la technologie utilisée derrière c’est webdav comme Nextcloud et Owncloud.
Je n’arrive pas à retrouvé l’article qui en parlait, mais je suis tombé sur ce tweet : https://twitter.com/infomaniak/status/1367755521491689472
Apparemment il s’en éloigne, mais aujourd’hui, le client nextcloud (que j’utilise), fonctionne parfaitement sur kdrive.
Comme je l’ai écrit dans l’article, je n’ai pas vu de référence au code source. Je serais intéressé par un lien qui confirme que c’est basé sur Nextcloud. Sur la page Wikipédia il est fait référence à une application mobile basée sur Nextcloud mais il est noté que la licence est propriétaire : https://fr.wikipedia.org/wiki/KDrive
Petite information, tout infomaniak ou presque est basé sur du logiciel libre, les mails, contacts, agenda ou même kdrive sont basé sur Nextcloud, le client de sync kdrive est basé sur Nextcloud client, le client de sync Xdav est basé sur davx5 etc… Le service mail est vraiment top, 5 adresses mail pour une 30ene d’euros par ans, avec chacun alias illimité, et on peux lié le compte smtp à un compte infomaniak ou non. De plus les domaines sont illimités chez eux.
Franchement je n’ai rien trouvé de mieux pour le moment, à voir par la suite. Rien n’est écris
Content de voir que mon contenu est apprécié ! Merci pour ce commentaire :)
Je suis heureux et épaté du travail réalisé sur cette série sur la recherche du clavier parfait, malgré mes connaissances j’ai pu en apprendre encore plus tout en lisant la verve de @richarddern Un must have a lire dans son ensemble, pour une premiére entré en matière approfondit.
Ça fait du bien de lire quelqu’un d’un peu objectif sur Tailwind. Merci pour le billet
Je me permets de suggérer également FreeOTP+, qui me sert pour la double auth et qui est dispo sur f-droid également, et termux (un terminal avec son propre gestionnaire de packages, j’ai pu installer python et puis je me connecte en ssh à mon serveur grâce à cette appli :P).
;)
purée vous êtes trop rapides, j’ai pas eu le temps de poster mon propre billet qu’il est déjà en ligne !
Oh on peu pas repondre …
“C’est juste dommage que Gagdetbgride demande d’avoir le GPS activé pour la découverte initiale, mais on peut la désactiver ensuite.”
C est une necessité (Depuis Android 6 (api 21)) pour effectuer un scan bluetooth sur Android. Car grace au beacon bluetooth un peu partout present dans les lieux publique, avec l aide d une base de ces beacons, une geoloc est possible.
Quand au prob de reco, oui si la geoloc n’est pas activé sur le telephone et l application Gadgetbridge, celle ci ne peux pas se reconnecter automatiqument a la montre.
A l exception de Ubuntu 21.10 qui a la 8000eme ligne du changenotes de la release precise : “”” The version of the ZFS driver included in the 5.13.0-19 kernel contains a bug that can result in filesystem corruption. Users of ZFS are advised to wait until the first Stable Release Update of the kernel in 21.10 before upgrading. “””
Et la tu te retrouve avec un ZFS tout pété, snapshoot et retour en arriere corrompue.
Une astuce que j’utilise de mon côté c’est mega pour synchroniser mes fichiers et j’ai ajouté des exceptions pour synchroniser ces fichiers liés à git et aux repos locaux
ça ne vaut peut être pas ces gestionnaires, mais ça fait plutôt bien le travail
Yadm c’est un scripte shell sans trop de dép sauf pour gpg