Aller au contenu
Blog Marc JESTIN

Comment désactiver sudo dans Debian

·454 mots·3 mins
Informatique Et Technologies Numériques Tutoriels #Debian #Sudo #Su #Root #Sécurité #Durcissement
Sommaire

Bonjour,

Bonnes pratiques de sécurité
#

Une machine sécurisée est une machine dans laquelle n’importe qui ne peut pas faire n’importe quoi.

Une machine sécurisée est une machine dans laquelle il faut se connecter à un compte qui bénéficie de privilèges élevés pour effectuer des tâches d’administration.

Ce peut être le compte root lui-même ou d’autres comptes, mais ce ne devrait pas être n’importe quel compte utilisateur, même si c’est le propriétaire de la machine.

C’est le comportement par défaut de Debian, et, spoiler, ce n’est pas un hasard : dans Debian, si vous faites cette erreur-là, c’est de votre plein gré…

Précaution importante
#

Avant de désactiver ou désinstaller sudo, nous devons nous assurer que nous pouvons accéder au compte root

  • au travers de la commande
1

su -
  • ou directement via une connexion, directe ou indirecte, à la machine. 1

Désactiver sudo
#

La commande à utiliser avec les privilèges (et donc de préférence le compte) root pour modifier les paramètres de sudo est :

1

visudo

Elle permet d’aller modifier le fichier de configuration pour commenter les lignes suivantes pour :

  1. retirer les privilèges au groupe sudo ;
  2. ne plus charger le fichier des sudoers.
1
2
3
4
5

# Allow members of group sudo to execute any command
# %sudo ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "@include" directives:
# @includedir /etc/sudoers.d

Nous profitons de notre visite pour nous assurer que ce fichier ne contient pas de lignes qui accordent des privilèges sudo à d’autres comptes ou groupes que ceux que nous souhaitons.

Nous pouvons également supprimer le contenu du dossier /etc/sudoers.d (et surtout pas le fichier /etc/sudoers).

Désinstaller sudo
#

Par précaution, nous pouvons aller plus loin dans le durcissement de notre machine en retirant sudo.

Il suffit de désinstaller le paquet associé à sudo :

1

apt purge sudo

À propos des commandes de « substitution »
#

Pour mémoire,

  • su = Substitute user (exécuter en tant qu’un autre utilisateur) et
  • sudo = Substitute user do (exécuter en tant qu’un autre utilisateur)

sont très proches. La différence se situe dans le mot de passe qui est demandé :

  • su : celui du compte ciblé ;
  • sudo : celui du compte demandeur.

Le fait que le compte root soit associé à la commande lorsqu’on ne précise pas l’utilisateur de « substitution » ne doit pas nous faire oublier qu’elles ont des usages plus larges.

Pour cette raison, il est généralement préférable de laisser sudo, comme su, sur une machine.

Il nous arrive de les retirer, après audit, dans le cadre de durcissements exigeants.

Au plaisir,

Marc JESTIN
https://marcjestin.fr

  1. Attention, je ne recommande pas d’activer un accès direct au compte root via SSH ou d’autres protocoles équivalents. ↩︎