Forum: >>> Magnum BBS <<<

Re: Comment remplacer l'utilisateur root pour utiliser le service cron

From =?utf-8?Q?S=C3=A9bastien?= Dinot@21:1/5 to All on Sun Feb 18 00:10:01 2024

Bernard Bass a écrit :

Voilà ma question : Comment remplacer l'utilisateur root pour utiliser
le service cron ?

Puis-je savoir à quoi sert de désactiver le compte root si c'est pour
donner les pleins pouvoirs à un autre compte, en le dispensant de saisir
son mot de passe lorsqu'il utilise la commande sudo ?

echo "gestionnaire ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers

La subtilité de la manœuvre m'échappe.

Sébastien

--
Sébastien Dinot, [email protected]
http://www.palabritudes.net/
Ne goutez pas au logiciel libre, vous ne pourriez plus vous en passer !

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Pierre Malard@21:1/5 to All on Sun Feb 18 09:30:01 2024

--Apple-Mail=_6B2B2884-72ED-4C0F-B624-4AB3CA5914BA
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=utf-8

Bonjour,

Même question, tout ça sert-il à quoi que ce soit ?

Même si on interdit la connexion directe sous « root », ce qui peut se concevoir, il n’empêche que certaines commande doivent être lancées avec ces droits. su coup, pour modifier le crontab root, rien n’empêche d’utiliser un sudo pour
prendre ponctuellement ces droits pour modifier le crontab root.

Dans le même sujet si une tâche n’a pas besoin des droits root rien n’empêche d’utiliser un crontab « utilisateur » !

Enfin, si on souhaite mieux gérer tout ça on peut utiliser /etc/cron.d où on indique l’utilisateur à utiliser pour lancer la commande souhaitée… mais il faut avoir les droits « root » pour créer cette entrée ;-)

https://doc.ubuntu-fr.org/cron

Le 18 févr. 2024 à 00:09, Sébastien Dinot <[email protected]> a écrit :

Bernard Bass a écrit :

Voilà ma question : Comment remplacer l'utilisateur root pour utiliser
le service cron ?

Puis-je savoir à quoi sert de désactiver le compte root si c'est pour donner les pleins pouvoirs à un autre compte, en le dispensant de saisir
son mot de passe lorsqu'il utilise la commande sudo ?

echo "gestionnaire ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers

La subtilité de la manœuvre m'échappe.

Sébastien

--
Sébastien Dinot, [email protected]
http://www.palabritudes.net/
Ne goutez pas au logiciel libre, vous ne pourriez plus vous en passer !

--
Pierre Malard
Responsable architectures système CDS DINAMIS/THEIA Montpellier
IRD - UMR Espace-Dev - UAR CPST - IR Data-Terra
Maison de la Télédétection
500 rue Jean-François Breton
34093 Montpellier Cx 5
France

Tél : +33 626 89 22 68

«[...]développer la science ? Noble ambition ; mais qu'est-ce que
la science ? Une puissance et une joie ; et, si elle ne s'anime pas
de l'esprit de justice, [...] de la vie des hommes, [...] elle est un
privilège en plus.»
Jean Jaures - "L'idéal de justice" - 1889
|\ _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. ,\ ( `'-'
'---''(_/--' `-'\_) πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--

--Apple-Mail=_6B2B2884-72ED-4C0F-B624-4AB3CA5914BA
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;
charset=utf-8

<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Bonjour,<div class=""><br class=""></div><div class="">Même
question, tout ça sert-il à quoi que ce soit ?</div><div class=""><br class=""></div><div class="">Même si on interdit la connexion directe sous « root », ce qui peut se concevoir, il n’empêche que certaines commande doivent être lancé
es avec ces droits. su coup, pour modifier le crontab root, rien n’empêche d’utiliser un sudo pour prendre ponctuellement ces droits pour modifier le crontab root.</div><div class=""><br class=""></div><div class="">Dans le même sujet si une tâche
n’a pas besoin des droits root rien n’empêche d’utiliser un crontab « utilisateur » !</div><div class=""><br class=""></div><div class="">Enfin, si on souhaite mieux gérer tout ça on peut utiliser /etc/cron.d où on indique l’
utilisateur à utiliser pour lancer la commande souhaitée… mais il faut avoir les droits « root » pour créer cette entrée ;-)</div><div class=""><br class=""></div><div class=""><a href="https://doc.ubuntu-fr.org/cron" class="">https://
doc.ubuntu-fr.org/cron</a><br class=""><div><br class=""><blockquote type="cite" class=""><div class="">Le 18 févr. 2024 à 00:09, Sébastien Dinot <[email protected]> a écrit :</div><br class="Apple-interchange-newline"><div class=""><div
class="">Bernard Bass a écrit :<br class=""><blockquote type="cite" class="">Voilà ma question : Comment remplacer l'utilisateur root pour utiliser<br class="">le service cron ?<br class=""></blockquote><br class="">Puis-je savoir à quoi sert de dé
sactiver le compte root si c'est pour<br class="">donner les pleins pouvoirs à un autre compte, en le dispensant de saisir<br class="">son mot de passe lorsqu'il utilise la commande sudo ?<br class=""><br class=""><blockquote type="cite" class="">
echo "gestionnaire ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers<br class=""></blockquote><br class="">La subtilité de la manœuvre m'échappe.<br class=""><br class="">Sébastien<br class=""><br class="">-- <br class="">Sébastien Dinot, sebastien.
[email protected]<br class="">http://www.palabritudes.net/<br class="">Ne goutez pas au logiciel libre, vous ne pourriez plus vous en passer !<br class=""><br class=""></div></div></blockquote></div><br class=""><div class="">
<div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-
wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space:
normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-
spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"
class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration:
none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -
webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space:
normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">-- </div><
div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class=""><div style="margin: 0px;" class="">Pierre Malard</div><div style="margin: 0px;" class="">Responsable architectures système CDS DINAMIS/THEIA Montpellier</div><span
style="font-size: x-small;" class="">IRD - UMR Espace-Dev - UAR CPST - IR Data-Terra</span><br class=""><div style="margin: 0px;" class="">Maison de la Télédétection</div><div style="margin: 0px;" class="">500 rue Jean-François Breton</div><div style=
"margin: 0px;" class="">34093 Montpellier Cx 5</div><div style="margin: 0px;" class="">France</div><div class=""><br class=""></div><div class=""><div style="margin: 0px;" class="">Tél : +33 626 89 22 68</div></div><div class=""><br class=""></div></div>
<div style="margin: 0px; font-family: Times;" class="">   «<i class="">[...]développer la science ? Noble ambition ; mais qu'est-ce que </i></div><div style="margin: 0px; font-family: Times;" class=""><i class="">    la
science ? Une puissance et une joie ; et, si elle ne s'anime pas </i></div><div style="margin: 0px; font-family: Times;" class=""><i class="">   de l'esprit de justice, [...] de la vie des hommes, [...] elle est un</i></div><div style="
margin: 0px; font-family: Times;" class=""><i class="">   privilège en plus.</i>»</div><div style="margin: 0px; font-family: Times;" class=""><span class="Apple-tab-span" style="white-space: pre;"> </span>Jean Jaures - "L'idéal de
justice" - 1889</div><div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">   |\      _,,,---,,_</div><div style="margin: 0px; font-size: 10px; font-family: "Courier New";"
class="">   /,`.-'`'    -.  ;-;;,_</div><div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">  |,4-  ) )-,_. ,\ (  `'-'</div><div style="margin:
0px; font-size: 10px; font-family: "Courier New";" class=""> '---''(_/--'  `-'\_)   πr</div><div style="margin: 0px; font-size: 10px; font-family: Courier; min-height: 12px;" class=""><br class=""></div><div style="margin:
0px; font-size: 10px; font-family: "Courier New";" class="">perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  ) )-,_. ,\ (  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+
)#$1x$2#ge;print'</div><div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">- --> Ce message n’engage que son auteur <--</div></div></div></div></div></div></div>
</div>

<br class=""></div></body></html> --Apple-Mail=_6B2B2884-72ED-4C0F-B624-4AB3CA5914BA--

-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.2
Comment: GPGTools - http://gpgtools.org

iQIzBAEBCgAdFiEE0KHTJ+AWKhmI+acm/pSWHuad/BgFAmXRv0oACgkQ/pSWHuad /Bgtjg/+MkwTUqvBi/H5yna8X1VE6e09G/x4TB+SXcpIYrxt6oZyiHufODgLfvxf cwjp6bxpxRbA33HVwuAwRG+PsVKYHL0vdD7xpnB6dpZXVIljcSCTGX9stevDLz5L sO02aNtcE44GeUfi6FgjoG0xXXMeZ+SH3MhFwPHV5w0qp/uR3DWtZlLhhIFb+FoV VFv/8DGS0OUkxo+LpywBHQMgC61fuHekpBh7AU3EARPr+/h1eVJzpwB47eYeBb7C zzsHnPwLTUp0Or+B7VlzkxcEGdBSxV0OCWABG7oOlY/IXM8YeiQCSfu+xQbFUXdD p2PquLbaGn4mUpi+jPw6OgcBUhtZPcO3fNfDY2qquDmeZVlulLCdQmzbWhFfj+lC aTEM75IUyVyCcPwcDMZWacYXCjFvUrRfW/q8WqDa3LW3SZvWr7hJvpONy1yTllYb LoJugTz5bMBlEfDrNVDDojFZlwCgvDcxYnNgQfpkz+sNBkigIqOC4ZXy/I8toU72 t0v3wLS9/5cxHO00FlOk6NOpb9bRDQ9W5ZxSslF9NAgXv5jtunIraBMkhW0Z90t4 Rnu3TRtmaJC/FB0sW92GyB8Qay2ZQ4lUhSSsFJ3j8i68519Ah7JMchtl3iKml1Rf X74zuTMzCcYii3kTVlhAfQpjNMOelC9FSZNyZmVyJJbeFOpejkY=
=jebb
-----END PGP SIGNATURE-----

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Basile Starynkevitch@21:1/5 to Pierre Malard on Sun Feb 18 13:40:01 2024

On 2/18/24 09:26, Pierre Malard wrote:

Bonjour,

Même question, tout ça sert-il à quoi que ce soit ?

Même si on interdit la connexion directe sous « root », ce qui peut se concevoir, il n’empêche que certaines commande doivent être lancées
avec ces droits. su coup, pour modifier le crontab root, rien
n’empêche d’utiliser un sudo pour prendre ponctuellement ces droits
pour modifier le crontab root.

Tout à fait d'accord.

Dans le même sujet si une tâche n’a pas besoin des droits root rien n’empêche d’utiliser un crontab « utilisateur » !

D'accord aussi.

Enfin, si on souhaite mieux gérer tout ça on peut utiliser /etc/cron.d
où on indique l’utilisateur à utiliser pour lancer la commande souhaitée… mais il faut avoir les droits « root » pour créer cette entrée ;-)

Et j'ajouterais la mention du paquet Debian super. https://packages.debian.org/trixie/super paramétrable finement par /etc/super.tab

--
Basile Starynkevitch <[email protected]>
(only mine opinions / les opinions sont miennes uniquement)
92340 Bourg-la-Reine, France
web page: starynkevitch.net/Basile/
See/voir: https://github.com/RefPerSys/RefPerSys

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Bernard Bass@21:1/5 to All on Sun Feb 18 18:10:02 2024

This is a multi-part message in MIME format.
Bonjour,

Puis-je savoir à quoi sert de désactiver le compte root si c'est pour
donner les pleins pouvoirs à un autre compte, en le dispensant de saisir
son mot de passe lorsqu'il utilise la commande sudo ?
echo "gestionnaire ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers

Je pense avoir mal compris, je n'aurais pas du désactiver root, mais seulement supprimer le mot de passe **pour ne pas conserver le hash du

mot de passe root en mémoire.

sudo passwd -d root*

*
*

*################################*
*################################

Il faudrait alors réactiver l'utilisateur root , pour qu'il puisse

gérer les tâches cron du système ( cron.daily ... ) :

sudo passwd --unlock root*

Affiche :

passwd : déverrouiller le mot de passe créerait un compte sans mot

de passe.*

Vous devriez définir un mot de passe avec usermod -p pour

déverrouiller le mot de passe de ce compte.

passwd -S root
root L 2024-01-03 0 99999 7 -1

Le compte reste verrouillé (L) après la commande passwd --unlock root*

*Définir un mot de passe avec usermod -p pour déverrouiller* le mot

de passe de ce compte (root)

Il est indiqué dans une documentation d'enlever le mot de passe du

compte root pour ne pas laisser le hash en mémoire. :/

passwd root crérait / recrérait un compte root sans mot de passe ? <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Aucun hash de mot de passe ne serait alors conservé en mémoire et le compte root serait utilisable par le système pour utiliser cron.

*
*################################
**################################*

Même si on interdit la connexion directe sous « root », ce qui peut se concevoir,

Oui, j'ai désactivé la connexion à root depuis SSH.

Il me semble qu'il faille le faire pour le système aussi ? # Sans supprimer le compte root pour autant ? # C'est confus.*

il n’empêche que certaines commande doivent être lancées avec ces droits.

Effectivement.

du coup, pour modifier le crontab root, rien n’empêche d’utiliser un
sudo pour prendre ponctuellement ces droits pour modifier le crontab root.

Oui il est possible de modifier la crontab root avec sudo crontab -e

Les tâches ne seront pas lancées et resteront en erreur

"Authentication failure" avec l'utilisateur root désactivé et le mot de
passe expiré.*

Dans le même sujet si une tâche n’a pas besoin des droits root rien n’empêche d’utiliser un crontab « utilisateur » !

Oui, il faut autoriser les scripts depuis "/etc/sudoers.d" mais les

tâches systèmes ( cron.daily ... ne sont pas lancées si l'utilisateur
root est désactivé. )*

sudo nano /etc/sudoers

Préférer le dossier "/etc/sudoers.d" : il sert à stocker des

fichiers déclaratifs pour sudoers qui seront lus en complément du
fichier sudoers.

Attention, tous les fichiers qui contiennent "~" ou "." dans le nom

ne seront pas lus !

Organiser les règles par fichier plutôt que de tout centraliser dans

le même fichier : le fichier sudoers sera toujours lu, dans tous les cas.

Pour créer un nouveau fichier nommé "amis_sh", on utilisera :
sudo visudo /etc/sudoers.d/amis_sh
sudo chmod 440 /etc/sudoers.d/amis_sh

Ajouter deux ligne pour le script sudoer à autoriser :

amis_sh ALL=(ALL:ALL) ALL # Pas certain qu'il faille utiliser cette

ligne. J'ai testé sans, il me semble que cela ne fonctionne pas.

amis_sh ALL=(ALL) NOPASSWD:/home/amis_sh/test-crontab-sudo.sh*

nano test-crontab-sudo.sh
Ajouter les lignes suivantes :

!/bin/sh
touch "/home/amis_sh/test-crontab-sudo-ok1"; # Un fichier avec

droits utilisateur est créé.

su - amis_sh -c "touch test-crontab-sudo-user-ok"; # Un fichier avec

droits root est créé.

touch "/home/amis_sh/test-crontab-sudo-ok2"; # Un fichier avec

droits utilisateur est créé.

Utiliser la crontab de l'utilisateur : crontab -e
55 12 * * * user=$(whoami) sudo /home/amis_sh/test-crontab-sudo.sh
updates.log 2>&1

Enfin, si on souhaite mieux gérer tout ça on peut utiliser /etc/cron.d
où on indique l’utilisateur à utiliser pour lancer la commande souhaitée… mais il faut avoir les droits « root » pour créer cette entrée ;-)

Oui, Je suppose que l'on peut utiliser ici un nouvel utilisateur gestionnaire avec les droits root.*

Le problème reste présent pour lancer les tâches cron.daily si l'utilisateur root est désactivé.

Mention du paquet Debian super. https://packages.debian.org/trixie/super paramétrable finement par /etc/super.tab

Je n'ai pas regardé cette possibilité.*

Je lis pour les droits setuid :

# Elever les droits setuid sur les scripts exécutés par cron pour ne pas avoir à utiliser sudo :

* *Cette méthode pour ne pas utiliser sudo n'est pas recommandée* :

# sudo chown root script.sh
# sudo chmod 710 script.sh
# sudo chmod u+s script.sh

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#929292">
<div class="moz-text-html" lang="x-unicode"> Bonjour,<br>
<p>Puis-je savoir à quoi sert de désactiver le compte root si
c'est pour donner les pleins pouvoirs à un autre compte, en le
dispensant de saisir son mot de passe lorsqu'il utilise la
commande sudo ?<br>
echo "gestionnaire ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers</p>
<p><b>>> Je pense avoir mal compris, je n'aurais pas du
désactiver root, mais seulement supprimer le mot de passe </b><b>pour
ne pas conserver le hash du mot de passe root en mémoire.<br>
>> sudo passwd -d root</b></p>
<p><b><br>
</b></p>
<p><b>################################</b><br>
<b>################################<br>
>> Il faudrait alors réactiver l'utilisateur root , pour
qu'il puisse gérer les tâches cron du système ( cron.daily ...
) :<br>
>> sudo passwd --unlock root</b><br>
<b>>> Affiche :<br>
>> passwd : déverrouiller le mot de passe créerait un
compte sans mot de passe.</b><br>
>> Vous devriez définir un mot de passe avec usermod -p
pour déverrouiller le mot de passe de ce compte.<br>
</p>
<p><br>
>> passwd -S root<br>
>> root L 2024-01-03 0 99999 7 -1<br>
<b>>> Le compte reste verrouillé (L) après la commande
passwd --unlock root</b><br>
</p>
<p><br>
>> <b>Définir un mot de passe avec usermod -p pour
déverrouiller</b> le mot de passe de ce compte (root)<br>
<b>>> Il est indiqué dans une documentation d'enlever le
mot de passe du compte root pour ne pas laisser le hash en
mémoire. :/<br>
<br>
<font color="#1a5fb4">>> passwd root crérait / recrérait
un compte root sans mot de passe ? <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<br>
>> Aucun hash de mot de passe ne serait alors conservé
en mémoire et le compte root serait utilisable par le
système pour utiliser cron.<br>
</font></b><br>
<b>################################<br>
</b><b>################################</b></p>
<p><br>
</p>
<p>Même si on interdit la connexion directe sous « root », ce qui
peut se concevoir, <br>
</p>
<p><b>>>Oui, j'ai désactivé la connexion à root depuis SSH.
<br>
>> Il me semble qu'il faille le faire pour le système
aussi ? # Sans supprimer le compte root pour autant ? # C'est
confus.</b></p>
<p>il n’empêche que certaines commande doivent être lancées avec
ces droits.<br>
>> Effectivement.<br>
<br>
<br>
du coup, pour modifier le crontab root, rien n’empêche
d’utiliser un sudo pour prendre ponctuellement ces droits pour
modifier le crontab root.</p>
<p><b>>> Oui il est possible de modifier la crontab root
avec sudo crontab -e <br>
>> Les tâches ne seront pas lancées et resteront en
erreur "Authentication failure" avec l'utilisateur root
désactivé et le mot de passe expiré.</b><br>
</p>
<p><br>
</p>
<p>Dans le même sujet si une tâche n’a pas besoin des droits root
rien n’empêche d’utiliser un crontab « utilisateur » !</p>
<p><b>>> Oui, il faut autoriser les scripts depuis
"/etc/sudoers.d" mais les tâches systèmes ( cron.daily ... ne
sont pas lancées si l'utilisateur root est désactivé. )</b><br>
>> sudo nano /etc/sudoers<br>
<br>
>> Préférer le dossier "/etc/sudoers.d" : il sert à
stocker des fichiers déclaratifs pour sudoers qui seront lus en
complément du fichier sudoers.<br>
>> Attention, tous les fichiers qui contiennent "~" ou "."
dans le nom ne seront pas lus !<br>
>> Organiser les règles par fichier plutôt que de tout
centraliser dans le même fichier : le fichier sudoers sera
toujours lu, dans tous les cas.<br>
<br>
>> Pour créer un nouveau fichier nommé "amis_sh", on
utilisera :<br>
>> sudo visudo /etc/sudoers.d/amis_sh<br>
>> sudo chmod 440 /etc/sudoers.d/amis_sh<br>
<br>
<b>>> Ajouter deux ligne pour le script sudoer à autoriser
:<br>
>> amis_sh ALL=(ALL:ALL) ALL # Pas certain qu'il faille
utiliser cette ligne. J'ai testé sans, il me semble que cela
ne fonctionne pas.<br>
>> amis_sh ALL=(ALL)
NOPASSWD:/home/amis_sh/test-crontab-sudo.sh</b></p>
<p>>> nano test-crontab-sudo.sh<br>
>> Ajouter les lignes suivantes :<br>
</p>
<p>>> !/bin/sh<br>
>> touch "/home/amis_sh/test-crontab-sudo-ok1"; # Un
fichier avec droits utilisateur est créé.<br>
>> su - amis_sh -c "touch test-crontab-sudo-user-ok"; # Un
fichier avec droits root est créé.<br>
>> touch "/home/amis_sh/test-crontab-sudo-ok2"; # Un
fichier avec droits utilisateur est créé.</p>
<p>>> Utiliser la crontab de l'utilisateur : crontab -e<br>
>> 55 12 * * * user=$(whoami) sudo
/home/amis_sh/test-crontab-sudo.sh >> updates.log
2>&1<br>
</p>
<p><br>
</p>
<p>Enfin, si on souhaite mieux gérer tout ça on peut utiliser
/etc/cron.d où on indique l’utilisateur à utiliser pour lancer
la commande souhaitée… mais il faut avoir les droits « root »
pour créer cette entrée ;-)<br>
<b>>> Oui, Je suppose que l'on peut utiliser ici un nouvel
utilisateur gestionnaire avec les droits root.</b><br>
>> Le problème reste présent pour lancer les tâches
cron.daily si l'utilisateur root est désactivé.<br>
<br>
</p>
<p>Mention du paquet Debian super. <a
class="moz-txt-link-freetext"
href="https://packages.debian.org/trixie/super">https://packages.debian.org/trixie/super</a>
paramétrable finement par /etc/super.tab <br>
<b>>> Je n'ai pas regardé cette possibilité.</b><br>
>> Je lis pour les droits setuid :<br>
</p>
<p># Elever les droits setuid sur les scripts exécutés par cron
pour ne pas avoir à utiliser sudo :<br>
<b>>></b> <b>Cette méthode pour ne pas utiliser sudo
n'est pas recommandée</b> :<br>
# sudo chown root script.sh<br>
# sudo chmod 710 script.sh<br>
# sudo chmod u+s script.sh<br>
</p>
</div>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Pierre Malard@21:1/5 to All on Sun Feb 18 19:20:01 2024

--Apple-Mail=_81980A43-FAA2-4108-A5C5-FB3167E62309
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=utf-8

Bonjour,

Le 18 févr. 2024 à 18:46, Bernard Bass <[email protected]> a écrit :

Bonjour,
Puis-je savoir à quoi sert de désactiver le compte root si c'est pour donner les pleins pouvoirs à un autre compte, en le dispensant de saisir son mot de passe lorsqu'il utilise la commande sudo ?
echo "gestionnaire ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers

J’ai du louper des épisodes car je ne vois nulle part dans les réponses faites une mention laissant entendre qu’il fallait « disposer [l’utilisateur] de saisir son mot de passe ». C’est, à mon sens, une très mauvaise pratique à moins de
limiter drastiquement les commandes laissées à cet usage.

Je pense avoir mal compris, je n'aurais pas du désactiver root, mais seulement supprimer le mot de passe pour ne pas conserver le hash du mot de passe root en mémoire.
sudo passwd -d root

################################
################################

Il faudrait alors réactiver l'utilisateur root , pour qu'il puisse gérer les tâches cron du système ( cron.daily ... ) :
sudo passwd --unlock root
Affiche :
passwd : déverrouiller le mot de passe créerait un compte sans mot de passe.
Vous devriez définir un mot de passe avec usermod -p pour déverrouiller le mot de passe de ce compte.

passwd -S root
root L 2024-01-03 0 99999 7 -1
Le compte reste verrouillé (L) après la commande passwd --unlock root

Définir un mot de passe avec usermod -p pour déverrouiller le mot de passe de ce compte (root)
Il est indiqué dans une documentation d'enlever le mot de passe du compte root pour ne pas laisser le hash en mémoire. :/

passwd root crérait / recrérait un compte root sans mot de passe ? <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Aucun hash de mot de passe ne serait alors conservé en mémoire et le compte root serait utilisable par le système pour utiliser cron.

################################
################################

Même si on interdit la connexion directe sous « root », ce qui peut se concevoir,

Oui, j'ai désactivé la connexion à root depuis SSH.
Il me semble qu'il faille le faire pour le système aussi ? # Sans supprimer le compte root pour autant ? # C'est confus.

il n’empêche que certaines commande doivent être lancées avec ces droits.

Effectivement.

du coup, pour modifier le crontab root, rien n’empêche d’utiliser un sudo pour prendre ponctuellement ces droits pour modifier le crontab root.

Oui il est possible de modifier la crontab root avec sudo crontab -e
Les tâches ne seront pas lancées et resteront en erreur "Authentication failure" avec l'utilisateur root désactivé et le mot de passe expiré.

Dans le même sujet si une tâche n’a pas besoin des droits root rien n’empêche d’utiliser un crontab « utilisateur » !

Oui, il faut autoriser les scripts depuis "/etc/sudoers.d" mais les tâches systèmes ( cron.daily ... ne sont pas lancées si l'utilisateur root est désactivé. )
sudo nano /etc/sudoers

Préférer le dossier "/etc/sudoers.d" : il sert à stocker des fichiers déclaratifs pour sudoers qui seront lus en complément du fichier sudoers.
Attention, tous les fichiers qui contiennent "~" ou "." dans le nom ne seront pas lus !
Organiser les règles par fichier plutôt que de tout centraliser dans le même fichier : le fichier sudoers sera toujours lu, dans tous les cas.

Pour créer un nouveau fichier nommé "amis_sh", on utilisera :
sudo visudo /etc/sudoers.d/amis_sh
sudo chmod 440 /etc/sudoers.d/amis_sh

Ajouter deux ligne pour le script sudoer à autoriser :
amis_sh ALL=(ALL:ALL) ALL # Pas certain qu'il faille utiliser cette ligne. J'ai testé sans, il me semble que cela ne fonctionne pas.
amis_sh ALL=(ALL) NOPASSWD:/home/amis_sh/test-crontab-sudo.sh

nano test-crontab-sudo.sh
Ajouter les lignes suivantes :

!/bin/sh
touch "/home/amis_sh/test-crontab-sudo-ok1"; # Un fichier avec droits utilisateur est créé.
su - amis_sh -c "touch test-crontab-sudo-user-ok"; # Un fichier avec droits root est créé.
touch "/home/amis_sh/test-crontab-sudo-ok2"; # Un fichier avec droits utilisateur est créé.

Utiliser la crontab de l'utilisateur : crontab -e
55 12 * * * user=$(whoami) sudo /home/amis_sh/test-crontab-sudo.sh >> updates.log 2>&1

Enfin, si on souhaite mieux gérer tout ça on peut utiliser /etc/cron.d où on indique l’utilisateur à utiliser pour lancer la commande souhaitée… mais il faut avoir les droits « root » pour créer cette entrée ;-)

Oui, Je suppose que l'on peut utiliser ici un nouvel utilisateur gestionnaire avec les droits root.
Le problème reste présent pour lancer les tâches cron.daily si l'utilisateur root est désactivé.

Mention du paquet Debian super. https://packages.debian.org/trixie/super <https://packages.debian.org/trixie/super> paramétrable finement par /etc/super.tab

Je n'ai pas regardé cette possibilité.
Je lis pour les droits setuid :

# Elever les droits setuid sur les scripts exécutés par cron pour ne pas avoir à utiliser sudo :

Cette méthode pour ne pas utiliser sudo n'est pas recommandée :

# sudo chown root script.sh
# sudo chmod 710 script.sh
# sudo chmod u+s script.sh

--
Pierre Malard

«Il vaut mieux passer à La Poste qu’à la postérité»
Alphonse Allais

|\ _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. ,\ ( `'-'
'---''(_/--' `-'\_) πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--

--Apple-Mail=_81980A43-FAA2-4108-A5C5-FB3167E62309
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;
charset=utf-8

<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Bonjour,<br class=""><div><br class=""><blockquote type="cite"
class=""><div class="">Le 18 févr. 2024 à 18:46, Bernard Bass <<a href="mailto:[email protected]" class="">[email protected]</a>> a écrit :</div><br class="Apple-interchange-newline"><div class="">

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" class="">

<div text="#000000" bgcolor="#929292" class="">
<div class="moz-text-html" lang="x-unicode"> Bonjour,<br class=""><p class="">Puis-je savoir à quoi sert de désactiver le compte root si
c'est pour donner les pleins pouvoirs à un autre compte, en le
dispensant de saisir son mot de passe lorsqu'il utilise la
commande sudo ?<br class="">
echo "gestionnaire ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers</p><div class=""><br class=""></div></div></div></div></blockquote><div><br class=""></div><div>J’ai du louper des épisodes car je ne vois nulle part dans les réponses faites
une mention laissant entendre qu’il fallait « disposer [l’utilisateur] de saisir son mot de passe ». C’est, à mon sens, une très mauvaise pratique à  moins de limiter drastiquement les commandes laissées à cet usage.</div><div>
<br class=""></div><br class=""><blockquote type="cite" class=""><div class=""><div text="#000000" bgcolor="#929292" class=""><div class="moz-text-html" lang="x-unicode"><p class=""><b class="">>> Je pense avoir mal compris, je n'aurais pas du
désactiver root, mais seulement supprimer le mot de passe </b><b class="">pour
ne pas conserver le hash du mot de passe root en mémoire.<br class="">
>> sudo passwd -d root</b></p><p class=""><b class=""><br class="">
</b></p><p class=""><b class="">################################</b><br class="">
<b class="">################################<br class="">
>> Il faudrait alors réactiver l'utilisateur root , pour
qu'il puisse gérer les tâches cron du système ( cron.daily ...
) :<br class="">
>> sudo passwd --unlock root</b><br class="">
<b class="">>> Affiche :<br class="">
>> passwd : déverrouiller le mot de passe créerait un
compte sans mot de passe.</b><br class="">
>> Vous devriez définir un mot de passe avec usermod -p
pour déverrouiller le mot de passe de ce compte.<br class="">
</p><p class=""><br class="">
>> passwd -S root<br class="">
>> root L 2024-01-03 0 99999 7 -1<br class="">
<b class="">>> Le compte reste verrouillé (L) après la commande
passwd --unlock root</b><br class="">
</p><p class=""><br class="">
>> <b class="">Définir un mot de passe avec usermod -p pour
déverrouiller</b> le mot de passe de ce compte (root)<br class="">
<b class="">>> Il est indiqué dans une documentation d'enlever le
mot de passe du compte root pour ne pas laisser le hash en
mémoire. :/<br class="">
<br class="">
<font color="#1a5fb4" class="">>> passwd root crérait / recrérait
un compte root sans mot de passe ? <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<br class="">
>> Aucun hash de mot de passe ne serait alors conservé
en mémoire et le compte root serait utilisable par le
système pour utiliser cron.<br class="">
</font></b><br class="">
<b class="">################################<br class="">
</b><b class="">################################</b></p><p class=""><br class="">
</p><p class="">Même si on interdit la connexion directe sous « root », ce qui
peut se concevoir, <br class="">
</p><p class=""><b class="">>>Oui, j'ai désactivé la connexion à root depuis SSH.
<br class="">
>> Il me semble qu'il faille le faire pour le système
aussi ? # Sans supprimer le compte root pour autant ? # C'est
confus.</b></p><p class="">il n’empêche que certaines commande doivent être lancées avec
ces droits.<br class="">
>> Effectivement.<br class="">
<br class="">
<br class="">
du coup, pour modifier le crontab root, rien n’empêche
d’utiliser un sudo pour prendre ponctuellement ces droits pour
modifier le crontab root.</p><p class=""><b class="">>> Oui il est possible de modifier la crontab root
avec sudo crontab -e <br class="">
>> Les tâches ne seront pas lancées et resteront en
erreur "Authentication failure" avec l'utilisateur root
désactivé et le mot de passe expiré.</b><br class="">
</p><p class=""><br class="">
</p><p class="">Dans le même sujet si une tâche n’a pas besoin des droits root
rien n’empêche d’utiliser un crontab « utilisateur » !</p><p class=""><b class="">>> Oui, il faut autoriser les scripts depuis
"/etc/sudoers.d" mais les tâches systèmes ( cron.daily ... ne
sont pas lancées si l'utilisateur root est désactivé. )</b><br class="">
>> sudo nano /etc/sudoers<br class="">
<br class="">
>> Préférer le dossier "/etc/sudoers.d" : il sert à
stocker des fichiers déclaratifs pour sudoers qui seront lus en
complément du fichier sudoers.<br class="">
>> Attention, tous les fichiers qui contiennent "~" ou "."
dans le nom ne seront pas lus !<br class="">
>> Organiser les règles par fichier plutôt que de tout
centraliser dans le même fichier : le fichier sudoers sera
toujours lu, dans tous les cas.<br class="">
<br class="">
>> Pour créer un nouveau fichier nommé "amis_sh", on
utilisera :<br class="">
>> sudo visudo /etc/sudoers.d/amis_sh<br class="">
>> sudo chmod 440 /etc/sudoers.d/amis_sh<br class="">
<br class="">
<b class="">>> Ajouter deux ligne pour le script sudoer à autoriser
:<br class="">
>> amis_sh ALL=(ALL:ALL) ALL # Pas certain qu'il faille
utiliser cette ligne. J'ai testé sans, il me semble que cela
ne fonctionne pas.<br class="">
>> amis_sh ALL=(ALL)
NOPASSWD:/home/amis_sh/test-crontab-sudo.sh</b></p><p class="">>> nano test-crontab-sudo.sh<br class="">
>> Ajouter les lignes suivantes :<br class="">
</p><p class="">>> !/bin/sh<br class="">
>> touch "/home/amis_sh/test-crontab-sudo-ok1"; # Un
fichier avec droits utilisateur est créé.<br class="">
>> su - amis_sh -c "touch test-crontab-sudo-user-ok"; # Un
fichier avec droits root est créé.<br class="">
>> touch "/home/amis_sh/test-crontab-sudo-ok2"; # Un
fichier avec droits utilisateur est créé.</p><p class="">>> Utiliser la crontab de l'utilisateur : crontab -e<br class="">
>> 55 12 * * * user=$(whoami) sudo
/home/amis_sh/test-crontab-sudo.sh >> updates.log
2>&1<br class="">
</p><p class=""><br class="">
</p><p class="">Enfin, si on souhaite mieux gérer tout ça on peut utiliser
/etc/cron.d où on indique l’utilisateur à utiliser pour lancer
la commande souhaitée… mais il faut avoir les droits « root »
pour créer cette entrée ;-)<br class="">
<b class="">>> Oui, Je suppose que l'on peut utiliser ici un nouvel
utilisateur gestionnaire avec les droits root.</b><br class="">
>> Le problème reste présent pour lancer les tâches
cron.daily si l'utilisateur root est désactivé.<br class="">
<br class="">
</p><p class="">Mention du paquet Debian super. <a class="moz-txt-link-freetext" href="https://packages.debian.org/trixie/super">https://packages.debian.org/trixie/super</a>
paramétrable finement par /etc/super.tab <br class="">
<b class="">>> Je n'ai pas regardé cette possibilité.</b><br class="">
>> Je lis pour les droits setuid :<br class="">
</p><p class=""># Elever les droits setuid sur les scripts exécutés par cron
pour ne pas avoir à utiliser sudo :<br class="">
<b class="">>></b> <b class="">Cette méthode pour ne pas utiliser sudo
n'est pas recommandée</b> :<br class="">
# sudo chown root script.sh<br class="">
# sudo chmod 710 script.sh<br class="">
# sudo chmod u+s script.sh<br class="">
</p>
</div>
</div>

</div></blockquote></div><br class=""><div class="">
<div dir="auto" style="caret-color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space;
line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-
wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing:
0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform:
none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); letter-spacing: normal; text-align:
start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0,
0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div
dir="auto" style="caret-color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-
break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap:
break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div><font face="Courier New" style="color: rgb(0, 0, 0); text-decoration: none;" class=""><font style="color: rgb(0, 0, 0); text-decoration: none;" class=""><font size="1"
class="">-- </font><br class=""><font size="1" class=""><span style="font-style: normal;" class="">Pierre Malard</span></font></font></font></div><div><font face="Courier New" style="color: rgb(0, 0, 0); text-decoration: none;" class=""><font style="
color: rgb(0, 0, 0); text-decoration: none;" class=""><font size="1" class=""><span style="font-style: normal;" class=""><br class=""></span></font></font></font><font face="Times" style="color: rgb(0, 0, 0); text-decoration: none;" class=""><i class="">&
nbsp;  «Il vaut mieux passer à La Poste qu’à la postérité»</i><br class=""><span style="font-style: normal;" class="">                                 
                Alphonse Allais<br class=""></span></font><br class=""> <font face="Courier New" size="1" style="color: rgb(0, 0, 0); text-decoration: none;" class=""><span class="Apple-converted-space"> <
/span> |\      _,,,---,,_<br class="">   /,`.-'`'    -.  ;-;;,_<br class="">  |,4-  ) )-,_. ,\ (  `'-'<br class=""> '---''(_/--'  `-'\_)  πr<br class=""><br class="">perl -e '$_=
q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  ) )-,_. ,\ (  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'<br class="">- --> Ce message n’engage que
son auteur <--</font></div></div></div></div></div></div></div></div></div> </div>
<br class=""></body></html> --Apple-Mail=_81980A43-FAA2-4108-A5C5-FB3167E62309--

-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.2
Comment: GPGTools - http://gpgtools.org

iQIzBAEBCgAdFiEE0KHTJ+AWKhmI+acm/pSWHuad/BgFAmXSR+QACgkQ/pSWHuad /BjQ9Q/9EJk4iwSTzkc5lDybUfYL3X0TXVzHFNC5oZTRXHTCN8r9WCOTS/00/XQk SLl8JPCH2WKA56MeMFp7MzERZPeyispH2JR+CWP/dDC2AwiLIBGZL0NBq8JmXQSd RkcyESpeQAV7EiSgUXCtKXkP0VmpHMp1PcpujdK7uXoQdaAoUOMkkrKqdPdg5wwi Ss4eJbA8CGemhhUNFPRBBC1k+31DwRTaAuYatrXYvoC1ND6I9jnQ5jKF5aN8A/6+ NW+eJHZVnWzvZN4XJplPT+xsKV32Y/zwv6nfIUeLR1LiTa2+b7JJdsxRJLA1G1Ei OPHqMXSBsWJfl34BaewUfCDelnHB4dtKSl6i4c64RAZHEFJ4Agtf+M+9dyvESMl2 9b5zof7RQaqkWFsyvjkBhl4fpr0F+5vwroo/BEjQHwVPPpdh7lU+jNYxB14gvE1k BScy0HTwYennQf0nr0EXSD4is+gBsLXQlo5Q/czjOjdoDoOytNpVZ3JsO/52Udce 0IvagCDoh1PKm5+fc70Wf9kytg8nlQVTrSBOATX4do/gqEAc1UeEpaN4APgT/R1T C6buz7y3y71rJbIJQPABpGq19ITOPDsAe97dwR9T/aslmWP3LSlIdtjoYUOppidh NJ1r7GsytS8W9okXltfpdUc5q8D7Uigd80QKmQcfFfHLBBpM0CY=
=DwLm
-----END PGP SIGNATURE-----

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Bernard Bass@21:1/5 to All on Sun Feb 18 20:10:01 2024

This is a multi-part message in MIME format.
Pour protéger l'accès au compte root, j'ai bien configuré *sshd* pour *interdire le user root*, *la connexion par mot de passe vide et par mot
de passe*, uniquement *autoriser la connexion par clé ssh ed25519*.

sudo passwd root # Créer un mot de passe.
*passwd --lock root* # Le compte root est alors à nouveau verrouillé !
sudo passwd -S root
[sudo] Mot de passe de l'utilisateur sudoers :
root*L* 12/23/2019 0 99999 7 -1 # Le compte root est verrouillé.

sudo passwd root # Créer un mot de passe.
*sudo passwd -d root*
passwd : informations de validité du mot de passe changées.
sudo passwd -S root
root*NP* 02/18/2024 0 99999 7 -1
# Le compte root est accessible sans mot de passe depuis l'utilisateur
sudoers ( Et même d'un simple utilisateur ? Si il a les clés ssh pour se connecter au serveur.).
$ su root # Aucun mot de passe n'est demandé pour passer à l'utilisateur root.
#

Il semble donc nécessaire de définir un mot de passe complexe pour root
et de laisser l'utilisateur root activé.
*Je ne comprend pas* la méthode pour désactiver l'utilisateur root, ou
le mot de passe de l'utilisateur root, en restant dans la bonne pratique
de sécurité, tout en lui laissant la possibité d'administrer cron.' */Supprimer le mot de passe de l'utilisateur root pour ne pas conserver
le hash du mot de passe en mémoire./*

Désactiver l'utilisateur root à partir du shell :
Le moyen le plus simple de désactiver la connexion de l'utilisateur root
est de changer son shell du répertoire /bin/bash à /sbin/nologin, dans
le fichier
Par défaut :
*root:x:0:0:root:/root:/bin/bash*

Si la valeur est changée pour */sbin/nologin* , root sera t'il encore
capable d'administrer le système ? ( Tâches cron et autres tâches ? )
sudo nano /etc/passwd
*root:x:0:0:root:/root:/sbin/nologin*

*su root
This account is currently not available.*

*sudo bash
root@system
*

sudo crontab -e
Ajouter une tâche.

Erreurs :

Après avoir désactivé root sur le système, *je ne vois pas de solution
qui permet aux taches cron root, ou cron.daily de fonctionner sans configurations avancées*.
*Aucun répertoire /lib/security sur ma machine :*

févr. 18 20:16:02 system sudo[11786]: PAM unable to dlopen(pam_ck_connector.so): */lib/security/pam_ck_connector.so*: Ne
peut ouvrir le fichier d'objet partagé: Aucun fichier ou dossier de ce nom févr. 18 20:16:02 system sudo[11786]: PAM adding faulty module: pam_ck_connector.so
févr. 18 20:17:01 system CRON[11802]: PAM unable to dlopen(pam_ck_connector.so): /lib/security/pam_ck_connector.so: Ne peut
ouvrir le fichier d'objet partagé: Aucun fichier ou dossier de ce nom
févr. 18 20:17:01 system CRON[11802]: PAM adding faulty module: pam_ck_connector.so*

*

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#929292">
<p>Pour protéger l'accès au compte root, j'ai bien configuré <b>sshd</b>
pour <b>interdire le user root</b>, <b>la connexion par mot de
passe vide et par mot de passe</b>, uniquement <b>autoriser la
connexion par clé ssh ed25519</b>.</p>
<p><br>
<br>
</p>
sudo passwd root # Créer un mot de passe.<br>
<b>passwd --lock root</b> # Le compte root est alors à nouveau
verrouillé !<br>
sudo passwd -S root<br>
[sudo] Mot de passe de l'utilisateur sudoers :<br>
root<b> L</b> 12/23/2019 0 99999 7 -1 # Le compte root est
verrouillé.<br>
<br>
<br>
sudo passwd root # Créer un mot de passe.<br>
<b>sudo passwd -d root</b><br>
passwd : informations de validité du mot de passe changées.<br>
sudo passwd -S root<br>
root<b> NP</b> 02/18/2024 0 99999 7 -1<br>
# Le compte root est accessible sans mot de passe depuis
l'utilisateur sudoers ( Et même d'un simple utilisateur ? Si il a
les clés ssh pour se connecter au serveur.).<br>
$ su root # Aucun mot de passe n'est demandé pour passer à
l'utilisateur root.<br>
# <br>
<br>
<br>
Il semble donc nécessaire de définir un mot de passe complexe pour
root et de laisser l'utilisateur root activé.<br>
<b>Je ne comprend pas</b> la méthode pour désactiver l'utilisateur
root, ou le mot de passe de l'utilisateur root, en restant dans la
bonne pratique de sécurité, tout en lui laissant la possibité
d'administrer cron.'<br>
<b><i>Supprimer le mot de passe de l'utilisateur root pour ne pas
conserver le hash du mot de passe en mémoire.</i></b>
<p><br>
</p>
<p><br>
</p>
<p>Désactiver l'utilisateur root à partir du shell :<br>
Le moyen le plus simple de désactiver la connexion de
l'utilisateur root est de changer son shell du répertoire
/bin/bash à /sbin/nologin, dans le fichier <br>
Par défaut :<br>
<b>root:x:0:0:root:/root:/bin/bash</b><br>
</p>
<p>Si la valeur est changée pour <b>/sbin/nologin</b> , root sera
t'il encore capable d'administrer le système ? ( Tâches cron et
autres tâches ? )<br>
sudo nano /etc/passwd<br>
<b>root:x:0:0:root:/root:/sbin/nologin</b></p>
<p><b>su root<br>
This account is currently not available.</b></p>
<p><b>sudo bash<br>
root@system<br>
</b></p>
<p>sudo crontab -e<br>
Ajouter une tâche.<br>
<br>
Erreurs :<br>
</p>
<p>Après avoir désactivé root sur le système, <b>je ne vois pas de
solution qui permet aux taches cron root, ou cron.daily de
fonctionner sans configurations avancées</b>.<br>
<b>Aucun répertoire /lib/security sur ma machine :</b><br>
<br>
févr. 18 20:16:02 system sudo[11786]: PAM unable to
dlopen(pam_ck_connector.so): <b>/lib/security/pam_ck_connector.so</b>:
Ne peut ouvrir le fichier d'objet partagé: Aucun fichier ou
dossier de ce nom<br>
févr. 18 20:16:02 system sudo[11786]: PAM adding faulty module:
pam_ck_connector.so<br>
févr. 18 20:17:01 system CRON[11802]: PAM unable to
dlopen(pam_ck_connector.so): /lib/security/pam_ck_connector.so: Ne
peut ouvrir le fichier d'objet partagé: Aucun fichier ou dossier
de ce nom<br>
févr. 18 20:17:01 system CRON[11802]: PAM adding faulty module:
pam_ck_connector.so<b><br>
<br>
</b></p>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Bernard Bass@21:1/5 to All on Sun Feb 18 21:50:02 2024

This is a multi-part message in MIME format.
*La solution fonctionnelle pour désactiver root semble être la suivante :*

1)
sudo passwd root # Créer un mot de passe.
sudo passwd -d root # Supprimer le mot de passe.

2)
* Désactiver l'utilisateur root à partir du shell.
Le moyen le plus simple de désactiver la connexion de l'utilisateur root
est de changer son shell du répertoire /bin/bash à /sbin/nologin, dans
le fichier /etc/passwd.

sudo nano /etc/passwd
root:x:0:0:root:/root:/sbin/nologin

3)
sudo passwd -S root
root NP 02/18/2024 0 99999 7 -1 # L'utilisateur root utilise no password.

4)
su root
This account is currently not available.

5)
On ne peut donc pas accéder à root directement.
Le système cron avec la crontab -e root continue de fonctionner.
Le user root semble faire son travail sans erreur.

J'aurais préféré créer un utilisateur gestionnaire pour remplacer les actions de l'utilisateur root, capable de lancer toutes les tâches cron.
Si quelqu'un sait expliquer la méthode.
Merci.

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#929292">
<b>La solution fonctionnelle pour désactiver root semble être la
suivante :</b><br>
<br>
<br>
1)<br>
sudo passwd root # Créer un mot de passe.<br>
sudo passwd -d root # Supprimer le mot de passe.<br>
<p><br>
</p>
2)<br>
* Désactiver l'utilisateur root à partir du shell.<br>
Le moyen le plus simple de désactiver la connexion de l'utilisateur
root est de changer son shell du répertoire /bin/bash à
/sbin/nologin, dans le fichier /etc/passwd.
<p>sudo nano /etc/passwd<br>
root:x:0:0:root:/root:/sbin/nologin</p>
<p><br>
</p>
<p>3)<br>
sudo passwd -S root<br>
root NP 02/18/2024 0 99999 7 -1 # L'utilisateur root utilise no
password.<br>
</p>
<p><br>
</p>
<p>4)<br>
su root<br>
This account is currently not available.<br>
</p>
<p><br>
</p>
<p>5)<br>
On ne peut donc pas accéder à root directement.<br>
Le système cron avec la crontab -e root continue de fonctionner.<br>
Le user root semble faire son travail sans erreur.<br>
<br>
<br>
<br>
J'aurais préféré créer un utilisateur gestionnaire pour remplacer
les actions de l'utilisateur root, capable de lancer toutes les
tâches cron.<br>
Si quelqu'un sait expliquer la méthode.<br>
Merci.<br>
</p>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Bernard Bass@21:1/5 to All on Sun Feb 18 22:00:01 2024

This is a multi-part message in MIME format.
Bonsoir,

Puis-je savoir à quoi sert de désactiver le compte root si c'est pour
donner les pleins pouvoirs à un autre compte, en le dispensant de
saisir son mot de passe lorsqu'il utilise la commande sudo ?
echo "gestionnaire ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers

J’ai du louper des épisodes car je ne vois nulle part dans les
réponses faites une mention laissant entendre qu’il fallait « disposer [l’utilisateur] de saisir son mot de passe ». C’est, à mon sens, une très mauvaise pratique à moins de limiter drastiquement les commandes laissées à cet usage.

Effectivement.
Je n'ai pas la méthode pour créer un utilisateur root.
J'ai des notes pour créer un sudoer dans le groupe sudo.
Je ne sais par contre pas s'il est possible de créer un utilisateur
semblable à l'utilisateur root.
On m'avait surement déjà répondu, cela n'est probablement pas possible,
ou, compliqué, puisque c'est root (0) qui administre le système.

J'ai passé root en /sbin/nologin dans /etc/passwd ce qui empêche l'utilisation de root, tout en permettant au système de fonctionner,
sudo crontab -e fonctionne normalement.

Je ne sais toujours pas créer un utilisateur gestionnaire capable de
prendre le rôle de root, pour faire fonctionner l'ensemble des services
cron, sans passer par des manipulations complexes.

Merci d'avoir répondu.

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#929292">
Bonsoir,<br>
<blockquote type="cite"
cite="mid:[email protected]">
<div>
<blockquote type="cite" class="">
<div class="">
<div text="#000000" bgcolor="#929292" class="">
<div class="moz-text-html" lang="x-unicode">
<p class="">Puis-je savoir à quoi sert de désactiver le
compte root si c'est pour donner les pleins pouvoirs à
un autre compte, en le dispensant de saisir son mot de
passe lorsqu'il utilise la commande sudo ?<br class="">
echo "gestionnaire ALL=(ALL) NOPASSWD:ALL" >>
/etc/sudoers</p>
</div>
</div>
</div>
</blockquote>
<div><br class="">
</div>
<div>J’ai du louper des épisodes car je ne vois nulle part dans
les réponses faites une mention laissant entendre qu’il
fallait « disposer [l’utilisateur] de saisir son mot de
passe ». C’est, à mon sens, une très mauvaise pratique à
moins de limiter drastiquement les commandes laissées à cet
usage.</div>
<div><br class="">
</div>
</div>
</blockquote>
<p>Effectivement.<br>
Je n'ai pas la méthode pour créer un utilisateur root.<br>
J'ai des notes pour créer un sudoer dans le groupe sudo.<br>
Je ne sais par contre pas s'il est possible de créer un
utilisateur semblable à l'utilisateur root.<br>
On m'avait surement déjà répondu, cela n'est probablement pas
possible, ou, compliqué, puisque c'est root (0) qui administre le
système.</p>
<p><br>
</p>
<p>J'ai passé root en /sbin/nologin dans /etc/passwd ce qui empêche
l'utilisation de root, tout en permettant au système de
fonctionner, sudo crontab -e fonctionne normalement.<br>
<br>
Je ne sais toujours pas créer un utilisateur gestionnaire capable
de prendre le rôle de root, pour faire fonctionner l'ensemble des
services cron, sans passer par des manipulations complexes.<br>
<br>
Merci d'avoir répondu.<br>
</p>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Pierre Malard@21:1/5 to All on Mon Feb 19 07:50:01 2024

--Apple-Mail=_510A7668-5F9B-4F86-B468-181CEEC41C59
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=utf-8

Bonjour,

Franchement je ne comprends pas bien ces « modèles ». Soit avoir un login « super administrateur », root ou non, vous donne des bougons et, dans ce cas bloquez tout login direct acec un « x » dans le champ password du fichier /etc/shadow. Une mé
thode plus propre :
$ sudo usermod -L root
Cela ajoute un « ! » devant le mot de passe haché.

Cela n’empêche pas un login « root » avec SSH par échange de clé. Mais il faut avoir, au préalable, ajouter ces clés publiques sur le compte root ce qui est difficile sans une connexion sur le serveur.

Si vous ne voulez pas de connexion SSH directe possible, interdisez le dans un complément de ssh_config dans /etc/ssh/sshd_config.d/TOTO.conf avec :
PermitRootLogin No
DenyUsers root@*
Par exemple (même si la première ligne devrait suffire…)

Pour ce qui est du login, vous en avez besoin pour administrer. Ce n’est donc pas une discussion.

À partir de là le seul moyen d’accéder aux droits « root » est de passer par un utilisateur sudoer pour lancer un « sudo commande » sans bloquer le système pour autant.

Si vous vous méfiez des éventuels utilisateurs sudoer vous pouvez limiter les commandes possibles pour eux dans la configuration de sudoer. Allez faire un tour à la fin de https://www.malekal.com/exemples-sudoers-configurer-sudo-linux/

Le 18 févr. 2024 à 22:36, Bernard Bass <[email protected]> a écrit :

Bonsoir,

Puis-je savoir à quoi sert de désactiver le compte root si c'est pour donner les pleins pouvoirs à un autre compte, en le dispensant de saisir son mot de passe lorsqu'il utilise la commande sudo ?
echo "gestionnaire ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers

J’ai du louper des épisodes car je ne vois nulle part dans les réponses faites une mention laissant entendre qu’il fallait « disposer [l’utilisateur] de saisir son mot de passe ». C’est, à mon sens, une très mauvaise pratique à moins

de limiter drastiquement les commandes laissées à cet usage.

Effectivement.
Je n'ai pas la méthode pour créer un utilisateur root.
J'ai des notes pour créer un sudoer dans le groupe sudo.
Je ne sais par contre pas s'il est possible de créer un utilisateur semblable à l'utilisateur root.
On m'avait surement déjà répondu, cela n'est probablement pas possible, ou, compliqué, puisque c'est root (0) qui administre le système.

J'ai passé root en /sbin/nologin dans /etc/passwd ce qui empêche l'utilisation de root, tout en permettant au système de fonctionner, sudo crontab -e fonctionne normalement.

Je ne sais toujours pas créer un utilisateur gestionnaire capable de prendre le rôle de root, pour faire fonctionner l'ensemble des services cron, sans passer par des manipulations complexes.

Merci d'avoir répondu.

--
Pierre Malard

« La vérité ne triomphe jamais, mais ses ennemis finissent
toujours par mourir... »
Max Placnk (1858-1947)
|\ _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. ,\ ( `'-'
'---''(_/--' `-'\_) πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--

--Apple-Mail=_510A7668-5F9B-4F86-B468-181CEEC41C59
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;
charset=utf-8

<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Bonjour,<div class=""><br class=""></div><div class="">
Franchement je ne comprends pas bien ces « modèles ». Soit avoir un login « super administrateur », root ou non, vous donne des bougons et, dans ce cas bloquez tout login direct acec un « x » dans le champ password du
fichier /etc/shadow.  Une méthode plus propre :</div><blockquote style="margin: 0 0 0 40px; border: none; padding: 0px;" class=""><div class=""><font face="Courier New" class="">$ sudo usermod -L root</font></div></blockquote><div class="">Cela
ajoute un « ! » devant le mot de passe haché.</div><div class=""><br class=""></div><div class="">Cela n’empêche pas un login « root » avec SSH par échange de clé. Mais il faut avoir, au préalable, ajouter ces clés publiques
sur le compte root ce qui est difficile sans une connexion sur le serveur.</div><div class=""><br class=""></div><div class="">Si vous ne voulez pas de connexion SSH directe possible, interdisez le dans un complément de ssh_config dans /etc/ssh/sshd_
config.d/TOTO.conf avec :</div><blockquote style="margin: 0 0 0 40px; border: none; padding: 0px;" class=""><div class=""><font face="Courier New" class="">PermitRootLogin No</font></div><div class=""><font face="Courier New" class="">DenyUsers root@*</
font></div></blockquote><div class="">Par exemple (même si la première ligne devrait suffire…)</div><div class=""><br class=""></div><div class="">Pour ce qui est du login, vous en avez besoin pour administrer. Ce n’est donc pas une discussion.</

<div class=""><br class=""></div><div class="">À partir de là le seul moyen d’accéder aux droits « root » est de passer par un utilisateur sudoer pour lancer un « sudo commande » sans bloquer le système pour autant.</div>

<div class=""><br class=""></div><div class="">Si vous vous méfiez des éventuels utilisateurs sudoer vous pouvez limiter les commandes possibles pour eux dans la configuration de sudoer. Allez faire un tour à la fin de <a href="https://www.
malekal.com/exemples-sudoers-configurer-sudo-linux/" class="">https://www.malekal.com/exemples-sudoers-configurer-sudo-linux/</a></div><div class=""> <br class=""><div><br class=""><blockquote type="cite" class=""><div class="">Le 18 févr. 2024 à
22:36, Bernard Bass <<a href="mailto:[email protected]" class="">[email protected]</a>> a écrit :</div><br class="Apple-interchange-newline"><div class="">

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" class="">

<div text="#000000" bgcolor="#929292" class="">
Bonsoir,<br class="">
<blockquote type="cite" cite="mid:[email protected]" class="">
<div class="">
<blockquote type="cite" class="">
<div class="">
<div text="#000000" bgcolor="#929292" class="">
<div class="moz-text-html" lang="x-unicode"><p class="">Puis-je savoir à quoi sert de désactiver le
compte root si c'est pour donner les pleins pouvoirs à
un autre compte, en le dispensant de saisir son mot de
passe lorsqu'il utilise la commande sudo ?<br class="">
echo "gestionnaire ALL=(ALL) NOPASSWD:ALL" >>
/etc/sudoers</p>
</div>
</div>
</div>
</blockquote>
<div class=""><br class="">
</div>
<div class="">J’ai du louper des épisodes car je ne vois nulle part dans
les réponses faites une mention laissant entendre qu’il
fallait « disposer [l’utilisateur] de saisir son mot de
passe ». C’est, à mon sens, une très mauvaise pratique à
 moins de limiter drastiquement les commandes laissées à cet
usage.</div>
<div class=""><br class="">
</div>
</div>
</blockquote><p class="">Effectivement.<br class="">
Je n'ai pas la méthode pour créer un utilisateur root.<br class="">
J'ai des notes pour créer un sudoer dans le groupe sudo.<br class="">
Je ne sais par contre pas s'il est possible de créer un
utilisateur semblable à l'utilisateur root.<br class="">
On m'avait surement déjà répondu, cela n'est probablement pas
possible, ou, compliqué, puisque c'est root (0) qui administre le
système.</p><p class=""><br class="">
</p><p class="">J'ai passé root en /sbin/nologin dans /etc/passwd ce qui empêche
l'utilisation de root, tout en permettant au système de
fonctionner, sudo crontab -e fonctionne normalement.<br class="">
<br class="">
Je ne sais toujours pas créer un utilisateur gestionnaire capable
de prendre le rôle de root, pour faire fonctionner l'ensemble des
services cron, sans passer par des manipulations complexes.<br class="">
<br class="">
Merci d'avoir répondu.<br class="">
</p>
</div>

</div></blockquote></div><br class=""><div class="">
<div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-
wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space:
normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-
spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"
class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration:
none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -
webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space:
normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">-- </div><
div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class=""><div style="margin: 0px;" class="">Pierre Malard</div><div style="margin: 0px;" class=""><br class=""></div></div><div style="margin: 0px; font-family: Times;" class=
"">   « <i class="">La vérité ne triomphe jamais, mais ses ennemis finissent</i></div><div style="margin: 0px; font-family: Times;" class=""><i class="">    toujours par mourir.</i>.. »</div><div style="margin: 0px;
font-family: Times;" class="">                                                   Max Placnk (1858-1947)</div><div style="
margin: 0px; font-size: 10px; font-family: "Courier New";" class="">   |\      _,,,---,,_</div><div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">   /,`.-'`
'    -.  ;-;;,_</div><div style="margin: 0px; font-size: 10px; font-family: "Courier New";" class="">  |,4-  ) )-,_. ,\ (  `'-'</div><div style="margin: 0px; font-size: 10px; font-family: &
quot;Courier New";" class=""> '---''(_/--'  `-'\_)   πr</div><div style="margin: 0px; font-size: 9px; font-family: Monaco; min-height: 12px;" class=""><br class=""></div><div style="margin: 0px; font-size: 10px; font-family: &
quot;Courier New";" class="">perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  ) )-,_. ,\ (  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'</div><div style="
margin: 0px; font-family: "Courier New";" class=""><span style="font-size: 10px;" class="">- --> Ce message n’engage que son auteur <--</span></div></div></div></div></div></div></div>
</div>

<br class=""></div></body></html> --Apple-Mail=_510A7668-5F9B-4F86-B468-181CEEC41C59--

-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.2
Comment: GPGTools - http://gpgtools.org

iQIzBAEBCgAdFiEE0KHTJ+AWKhmI+acm/pSWHuad/BgFAmXS+YsACgkQ/pSWHuad /BjNig/9GSvDASqnNX8YIakisOgIsLpkpyHw8838XE06wdv5IIRSnPGaAwgjZ8la 54ulGoLD406CJKRmm8rnILYNZamt/DaIVVwRyao57JABismVBAFIygfgLigKgh8h G156LTV8+b36UZmsiYJuTWJyzSxqDRn8d+v8farVg6AqNA6ihFNc4otBWjOZ4jcX EAoDRDURuPRom3E3vL/guruOLxiiMFtGiG85+Lk6ZJkEDx4DiU1aG7RnJVo8cEi9 k0AwPKzgAfnkx231M8JOWBHFr8my8yRP7P2Qbo0MGCBzOU+KT8aNOjYUtnZhrHHF DBr8H6I9IzF7Wj+z+FNk4TAHheQRI8xijCHnmfbdpfVWxzbeWs2JL/JzFpKG27Na 59o2UEoYecOu+qBU/5XCyTuWlnAkv2sHnhgdbbms9ZLsKsZA2HSYWGfvPTBf01Rx fHwsingFDIwHutt6Dlm0Agb5LKG/3CUINaZpDMVhc4QmmnHOYMRFxXSE+3Q3CHCl 4gwzlSEUzk92ZymNnlaSkpoloJlisjXIn+nR7/If1e0l+BDkaotct6DxwjJrAMjF jz5ZZ7NSqXOJnE8Y2hX1Pj425n783kOBho4NEvaOyh75ASSHwRaGJ0aubqhZ1/9n Np25llXdf0nK5uRp7DmCVRgTZa4ATNu/08PXblXsrdqQsXUFfoY=
=VJ3x
-----END PGP SIGNATURE-----

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Bernard Bass@21:1/5 to All on Tue Feb 20 11:50:01 2024

This is a multi-part message in MIME format.
La question initiale : Comment remplacer l'utilisateur root pour
utiliser le service cron ?

Devrait plutôt être : *Comment lancer le service cron/crontab avec l'utilisateur gestionnaire (root) ?*

J'ai créé l'utilisateur gestionnaire de la sorte :

Créer un utilisateur gestionnaire pour remplacer les actions de
l'utilisateur root, pour lancer toutes les tâches cron.

Consulter les groupes de l'utilisateur root :
sudo bash
id
uid=0(root) gid=0(root) groupes=0(root)

groups
root

Créer l'utilisateur gestionnaire :
*sudo adduser gestionnaire*

Ajouter l'utilisateur gestionnaire au groupe des administrateurs système (root) à l'aide de la commande usermod :
# usermod -aG sudo gestionnaire
*sudo usermod -aG root gestionnaire*

Ajouter les droits root à l'utilisateur gestionnaire avec visudo :
*sudo visudo
root    ALL=(ALL:ALL) ALL
gestionnaire    ALL=(ALL:ALL) ALL
*
sudo bash
cat /etc/passwd | grep -i gestionnaire gestionnaire:x:1001:1001:,,,:/home/gestionnaire:/bin/bash

sudo bash
Donner à l'utilisateur gestionnaire les privilèges root sans qu'il n'ait
a utiliser sudo :
Changer l'ID de l'utilisateur gestionnaire avec l'option d'ID
utilisateur non unique :
*usermod -o -u 0 gestionnaire*

Utiliser su pour s'identifier avec l'utilisateur gestionnaire et devenir
root :
$ *su gestionnaire*
Mot de passe :
*root*@system:/home/utilisateur-courant#

cat /etc/passwd | grep -i gestionnaire gestionnaire:x:0:1001:,,,:/home/gestionnaire:/bin/bash

La ligne peut être réécrite de la façon suivante :
sudo nano /etc/passwd gestionnaire:x:0:1001:Gestionnaire:/home/gestionnaire:/bin/bash

Je n'ai pas trouvé comment relancer le service cron avec cet autre
utilisateur gestionnaire.

*La solution fonctionnelle pour désactiver root semble être la suivante :*

1)
sudo passwd root # Créer un mot de passe.
sudo passwd -d root # Supprimer le mot de passe.

2)
* Désactiver l'utilisateur root à partir du shell.
Le moyen le plus simple de désactiver la connexion de l'utilisateur
root est de changer son shell du répertoire /bin/bash à /sbin/nologin,
dans le fichier /etc/passwd.

sudo nano /etc/passwd
root:x:0:0:root:/root:/sbin/nologin

3)
sudo passwd -S root
root NP 02/18/2024 0 99999 7 -1 # L'utilisateur root utilise no password.

4)
su root
This account is currently not available.

5)
On ne peut donc pas accéder à root directement.
Le système cron avec la crontab -e root continue de fonctionner.
Le user root semble faire son travail sans erreur.

J'aurais préféré créer un utilisateur gestionnaire pour remplacer les actions de l'utilisateur root, capable de lancer toutes les tâches cron.
Si quelqu'un sait expliquer la méthode.
Merci.

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#929292">
La question initiale : Comment remplacer l'utilisateur root pour
utiliser le service cron ?<br>
<br>
Devrait plutôt être : <b>Comment lancer le service cron/crontab
avec l'utilisateur gestionnaire (root) ?</b><br>
<p>J'ai créé l'utilisateur gestionnaire de la sorte :<br>
</p>
<p>Créer un utilisateur gestionnaire pour remplacer les actions de
l'utilisateur root, pour lancer toutes les tâches cron.<br>
<br>
Consulter les groupes de l'utilisateur root :<br>
sudo bash<br>
id<br>
uid=0(root) gid=0(root) groupes=0(root)<br>
<br>
groups<br>
root<br>
<br>
Créer l'utilisateur gestionnaire :<br>
<b>sudo adduser gestionnaire</b><br>
<br>
Ajouter l'utilisateur gestionnaire au groupe des administrateurs
système (root) à l'aide de la commande usermod :<br>
# usermod -aG sudo gestionnaire<br>
<b>sudo usermod -aG root gestionnaire</b><br>
<br>
Ajouter les droits root à l'utilisateur gestionnaire avec visudo :<br>
<b>sudo visudo<br>
root    ALL=(ALL:ALL) ALL<br>
gestionnaire    ALL=(ALL:ALL) ALL<br>
</b><br>
sudo bash<br>
cat /etc/passwd | grep -i gestionnaire<br>
gestionnaire:x:1001:1001:,,,:/home/gestionnaire:/bin/bash<br>
<br>
sudo bash<br>
Donner à l'utilisateur gestionnaire les privilèges root sans qu'il
n'ait a utiliser sudo :<br>
Changer l'ID de l'utilisateur gestionnaire avec l'option d'ID
utilisateur non unique :<br>
<b>usermod -o -u 0 gestionnaire</b><br>
<br>
Utiliser su pour s'identifier avec l'utilisateur gestionnaire et
devenir root :<br>
$ <b>su gestionnaire</b><br>
Mot de passe :<br>
<b>root</b>@system:/home/utilisateur-courant#<br>
<br>
cat /etc/passwd | grep -i gestionnaire<br>
gestionnaire:x:0:1001:,,,:/home/gestionnaire:/bin/bash<br>
<br>
La ligne peut être réécrite de la façon suivante :<br>
sudo nano /etc/passwd<br>
gestionnaire:x:0:1001:Gestionnaire:/home/gestionnaire:/bin/bash<br>
</p>
<p><br>
</p>
<p>Je n'ai pas trouvé comment relancer le service cron avec cet
autre utilisateur gestionnaire.<br>
</p>
<div class="moz-cite-prefix"><br>
</div>
<blockquote type="cite"
cite="mid:[email protected]">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<b>La solution fonctionnelle pour désactiver root semble être la
suivante :</b><br>
<br>
<br>
1)<br>
sudo passwd root # Créer un mot de passe.<br>
sudo passwd -d root # Supprimer le mot de passe.<br>
<p><br>
</p>
2)<br>
* Désactiver l'utilisateur root à partir du shell.<br>
Le moyen le plus simple de désactiver la connexion de
l'utilisateur root est de changer son shell du répertoire
/bin/bash à /sbin/nologin, dans le fichier /etc/passwd.
<p>sudo nano /etc/passwd<br>
root:x:0:0:root:/root:/sbin/nologin</p>
<p><br>
</p>
<p>3)<br>
sudo passwd -S root<br>
root NP 02/18/2024 0 99999 7 -1 # L'utilisateur root utilise no
password.<br>
</p>
<p><br>
</p>
<p>4)<br>
su root<br>
This account is currently not available.<br>
</p>
<p><br>
</p>
<p>5)<br>
On ne peut donc pas accéder à root directement.<br>
Le système cron avec la crontab -e root continue de fonctionner.<br>
Le user root semble faire son travail sans erreur.<br>
<br>
<br>
<br>
J'aurais préféré créer un utilisateur gestionnaire pour
remplacer les actions de l'utilisateur root, capable de lancer
toutes les tâches cron.<br>
Si quelqu'un sait expliquer la méthode.<br>
Merci.<br>
</p>
</blockquote>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Bernard Bass@21:1/5 to All on Tue Feb 20 20:40:01 2024

This is a multi-part message in MIME format.
L'utilisateur gestionnaire est créé.

Identifier l'utilisateur qui fait tourner le service cron :
ps -Af | grep cron
root         890       1 0 20:21 ?        00:00:00 /usr/sbin/cron -f -P

sudo systemctl stop cron

cd /usr/sbin/
ls -la
-rwxr-xr-x 1 root root     51792 mars 23 2022 cron

sudo bash
*chown gestionnaire:gestionnaire cron*
cd /usr/sbin/
ls -la
-rwxr-xr-x 1 *root gestionnaire*   51792 mars 23 2022 cron

sudo systemctl restart cron

ps -Af | grep cron
*root*        5315       1 0 20:38 ?        00:00:00 /usr/sbin/cron -f -P

C'est toujours l'utilisateur *root* qui *fait tourner le service cron*.
L'ID de l'utilisateur gestionnaire avec l'option d'*ID utilisateur non
unique* est *0 (root)*.

Le 20/02/2024 à 12:26, Bernard Bass a écrit :

La question initiale : Comment remplacer l'utilisateur root pour
utiliser le service cron ?

Devrait plutôt être : *Comment lancer le service cron/crontab avec l'utilisateur gestionnaire (root) ?*

J'ai créé l'utilisateur gestionnaire de la sorte :

Créer un utilisateur gestionnaire pour remplacer les actions de l'utilisateur root, pour lancer toutes les tâches cron.

Consulter les groupes de l'utilisateur root :
sudo bash
id
uid=0(root) gid=0(root) groupes=0(root)

groups
root

Créer l'utilisateur gestionnaire :
*sudo adduser gestionnaire*

Ajouter l'utilisateur gestionnaire au groupe des administrateurs
système (root) à l'aide de la commande usermod :
# usermod -aG sudo gestionnaire
*sudo usermod -aG root gestionnaire*

Ajouter les droits root à l'utilisateur gestionnaire avec visudo :
*sudo visudo
root    ALL=(ALL:ALL) ALL
gestionnaire    ALL=(ALL:ALL) ALL
*
sudo bash
cat /etc/passwd | grep -i gestionnaire gestionnaire:x:1001:1001:,,,:/home/gestionnaire:/bin/bash

sudo bash
Donner à l'utilisateur gestionnaire les privilèges root sans qu'il
n'ait a utiliser sudo :
Changer l'ID de l'utilisateur gestionnaire avec l'option d'ID
utilisateur non unique :
*usermod -o -u 0 gestionnaire*

Utiliser su pour s'identifier avec l'utilisateur gestionnaire et
devenir root :
$ *su gestionnaire*
Mot de passe :
*root*@system:/home/utilisateur-courant#

cat /etc/passwd | grep -i gestionnaire gestionnaire:x:0:1001:,,,:/home/gestionnaire:/bin/bash

La ligne peut être réécrite de la façon suivante :
sudo nano /etc/passwd gestionnaire:x:0:1001:Gestionnaire:/home/gestionnaire:/bin/bash

Je n'ai pas trouvé comment relancer le service cron avec cet autre utilisateur gestionnaire.

*La solution fonctionnelle pour désactiver root semble être la
suivante :*

1)
sudo passwd root # Créer un mot de passe.
sudo passwd -d root # Supprimer le mot de passe.

2)
* Désactiver l'utilisateur root à partir du shell.
Le moyen le plus simple de désactiver la connexion de l'utilisateur
root est de changer son shell du répertoire /bin/bash à
/sbin/nologin, dans le fichier /etc/passwd.

sudo nano /etc/passwd
root:x:0:0:root:/root:/sbin/nologin

3)
sudo passwd -S root
root NP 02/18/2024 0 99999 7 -1 # L'utilisateur root utilise no password.

4)
su root
This account is currently not available.

5)
On ne peut donc pas accéder à root directement.
Le système cron avec la crontab -e root continue de fonctionner.
Le user root semble faire son travail sans erreur.

J'aurais préféré créer un utilisateur gestionnaire pour remplacer les
actions de l'utilisateur root, capable de lancer toutes les tâches cron.
Si quelqu'un sait expliquer la méthode.
Merci.

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#929292">
<p>L'utilisateur gestionnaire est créé.<br>
</p>
<p><br>
</p>
<p><br>
</p>
<p>Identifier l'utilisateur qui fait tourner le service cron :<br>
ps -Af | grep cron<br>
root         890       1 0 20:21 ?        00:00:00 /usr/sbin/cron
-f -P<br>
<br>
sudo systemctl stop cron<br>
<br>
cd /usr/sbin/<br>
ls -la<br>
-rwxr-xr-x 1 root root     51792 mars 23 2022 cron<br>
<br>
sudo bash<br>
<b>chown gestionnaire:gestionnaire cron</b><br>
cd /usr/sbin/<br>
ls -la<br>
-rwxr-xr-x 1 <b>root gestionnaire</b>   51792 mars 23 2022
cron<br>
<br>
sudo systemctl restart cron</p>
<p>ps -Af | grep cron<br>
<b>root</b>        5315       1 0 20:38 ?        00:00:00
/usr/sbin/cron -f -P</p>
<p><br>
</p>
<p>C'est toujours l'utilisateur <b>root</b> qui <b>fait tourner le
service cron</b>.<br>
L'ID de l'utilisateur gestionnaire avec l'option d'<b>ID
utilisateur non unique</b> est <b>0 (root)</b>.<br>
<br>
<br>
</p>
<p><br>
</p>
<div class="moz-cite-prefix">Le 20/02/2024 à 12:26, Bernard Bass a
écrit :<br>
</div>
<blockquote type="cite"
cite="mid:[email protected]">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
La question initiale : Comment remplacer l'utilisateur root pour
utiliser le service cron ?<br>
<br>
Devrait plutôt être : <b>Comment lancer le service cron/crontab
avec l'utilisateur gestionnaire (root) ?</b><br>
<p>J'ai créé l'utilisateur gestionnaire de la sorte :<br>
</p>
<p>Créer un utilisateur gestionnaire pour remplacer les actions de
l'utilisateur root, pour lancer toutes les tâches cron.<br>
<br>
Consulter les groupes de l'utilisateur root :<br>
sudo bash<br>
id<br>
uid=0(root) gid=0(root) groupes=0(root)<br>
<br>
groups<br>
root<br>
<br>
Créer l'utilisateur gestionnaire :<br>
<b>sudo adduser gestionnaire</b><br>
<br>
Ajouter l'utilisateur gestionnaire au groupe des administrateurs
système (root) à l'aide de la commande usermod :<br>
# usermod -aG sudo gestionnaire<br>
<b>sudo usermod -aG root gestionnaire</b><br>
<br>
Ajouter les droits root à l'utilisateur gestionnaire avec visudo
:<br>
<b>sudo visudo<br>
root    ALL=(ALL:ALL) ALL<br>
gestionnaire    ALL=(ALL:ALL) ALL<br>
</b><br>
sudo bash<br>
cat /etc/passwd | grep -i gestionnaire<br>
gestionnaire:x:1001:1001:,,,:/home/gestionnaire:/bin/bash<br>
<br>
sudo bash<br>
Donner à l'utilisateur gestionnaire les privilèges root sans
qu'il n'ait a utiliser sudo :<br>
Changer l'ID de l'utilisateur gestionnaire avec l'option d'ID
utilisateur non unique :<br>
<b>usermod -o -u 0 gestionnaire</b><br>
<br>
Utiliser su pour s'identifier avec l'utilisateur gestionnaire et
devenir root :<br>
$ <b>su gestionnaire</b><br>
Mot de passe :<br>
<b>root</b>@system:/home/utilisateur-courant#<br>
<br>
cat /etc/passwd | grep -i gestionnaire<br>
gestionnaire:x:0:1001:,,,:/home/gestionnaire:/bin/bash<br>
<br>
La ligne peut être réécrite de la façon suivante :<br>
sudo nano /etc/passwd<br>
gestionnaire:x:0:1001:Gestionnaire:/home/gestionnaire:/bin/bash<br>
</p>
<p><br>
</p>
<p>Je n'ai pas trouvé comment relancer le service cron avec cet
autre utilisateur gestionnaire.<br>
</p>
<div class="moz-cite-prefix"><br>
</div>
<blockquote type="cite"
cite="mid:[email protected]">
<meta http-equiv="Content-Type"
content="text/html; charset=UTF-8">
<b>La solution fonctionnelle pour désactiver root semble être la
suivante :</b><br>
<br>
<br>
1)<br>
sudo passwd root # Créer un mot de passe.<br>
sudo passwd -d root # Supprimer le mot de passe.<br>
<p><br>
</p>
2)<br>
* Désactiver l'utilisateur root à partir du shell.<br>
Le moyen le plus simple de désactiver la connexion de
l'utilisateur root est de changer son shell du répertoire
/bin/bash à /sbin/nologin, dans le fichier /etc/passwd.
<p>sudo nano /etc/passwd<br>
root:x:0:0:root:/root:/sbin/nologin</p>
<p><br>
</p>
<p>3)<br>
sudo passwd -S root<br>
root NP 02/18/2024 0 99999 7 -1 # L'utilisateur root utilise
no password.<br>
</p>
<p><br>
</p>
<p>4)<br>
su root<br>
This account is currently not available.<br>
</p>
<p><br>
</p>
<p>5)<br>
On ne peut donc pas accéder à root directement.<br>
Le système cron avec la crontab -e root continue de
fonctionner.<br>
Le user root semble faire son travail sans erreur.<br>
<br>
<br>
<br>
J'aurais préféré créer un utilisateur gestionnaire pour
remplacer les actions de l'utilisateur root, capable de lancer
toutes les tâches cron.<br>
Si quelqu'un sait expliquer la méthode.<br>
Merci.<br>
</p>
</blockquote>
</blockquote>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Who's Online
Recent Visitors
- Michal Wronka
  Sun Jun 7 19:26:28 2026
  from Wroclaw, Poland via SSH
- Centurion
  Sun Jun 7 16:59:51 2026
  from Berea, Ohio via Telnet
- Furryboy
  Sun Jun 7 13:40:29 2026
  from Romania, Galati via SSH
- Krenn
  Sun Jun 7 10:02:33 2026
  from Sydney, Nsw via Telnet
- Spearb0y
  Sun Jun 7 07:41:05 2026
  from Massachusetts via SSH
- Krenn
  Sun Jun 7 03:07:26 2026
  from Sydney, Nsw via Telnet
- Krenn
  Sun Jun 7 01:30:12 2026
  from Sydney, Nsw via Telnet
- Centurion
  Sat Jun 6 23:27:30 2026
  from Berea, Ohio via Telnet

System Info

Sysop:	Keyop
Location:	Huddersfield, West Yorkshire, UK
Users:	715
Nodes:	16 (2 / 14)
Uptime:	04:33:23
Calls:	12,099
Calls today:	7
Files:	15,003
Messages:	6,517,894

Re: Comment remplacer l'utilisateur root pour utiliser le service cron

Who's Online

Recent Visitors

System Info