salut ,
après avoir lu ici même que l'utilitaire doas pouvait remplacer la commande sudo je me suis donc renseigné sur ses avantages éventuels . Comme je n'ai aucun problème avec sudo j'ai regardé l'aspect sécurité , le seul qui pourrait me pousser à changer pour doas . Pour étayer sa thèse un utilisateur de Arch Linux https://blog.geraldwu.com/posts/why-and ... hould-too/ se base sur le fait que dans les publications du dictionnaire CVE les failles concernant directement ou indirectement sudo sont bien plus nombreuses que celles concernant doas :
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=sudo vs https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=doas
La différence entre les deux listes est impressionnante . Mais quand je vois la date de "2019" pour la liste doas , j'ai un doute . Il n'y aurait donc aucune faille de reportée depuis 4 ans ? Ou bien est-ce le tout petit nombre d'utilisateurs de doas qui est en cause? Ou bien ...? Bizarre.
question : cette unique comparaison est-elle une bonne indication de la supériorité de doas sur sudo?
doas vs sudo
-
dezix
- Membre hyper actif
- Messages : 3546
- Inscription : 04 juin 2016, 14:50
- Status : Hors-ligne
Ce qui m' a fait choisir doas :
Pour les bugs et la sécurité on peut lire dans certaines documentations (postfix) qu'un bug risque d'être introduit toutes les 1000 lignes de code (à la louche).
la différence des tailles explique mécaniquement et statistiquement...
D'autre part un code minimaliste éprouvé n'a plus trop de raison d'évoluer s'il répond à son programme,
donc une fois les bugs initiaux résolus , il n'y en a plus de nouveaux introduits... on ne change pas une bonne recette.
Enfin ce programme vient de la famille des OS BSD réputés pour être fiables et sérieux.
- Je n'utilisais pas sudo et ne savais pas le configurer.
- La configuration - doas.conf - est très simple => peu de risque d'erreur.
- doas suffit amplement pour mon usage.
Pour les bugs et la sécurité on peut lire dans certaines documentations (postfix) qu'un bug risque d'être introduit toutes les 1000 lignes de code (à la louche).
Code : Tout sélectionner
$ asw doas | grep Size:
Installed-Size: 14,3 kB
Download-Size: 3 716 B
$ asw sudo | grep Size:
Installed-Size: 6 199 kB
Download-Size: 1 889 kB
D'autre part un code minimaliste éprouvé n'a plus trop de raison d'évoluer s'il répond à son programme,
donc une fois les bugs initiaux résolus , il n'y en a plus de nouveaux introduits... on ne change pas une bonne recette.
Enfin ce programme vient de la famille des OS BSD réputés pour être fiables et sérieux.
**Simple Utilisateur** -- Debian stable - XFCE
-
tony
- Membre
- Messages : 184
- Inscription : 10 juil. 2023, 00:54
- Status : Hors-ligne
la sécurité n'a donc pas été un paramètre principal du choix .Ce qui m' a fait choisir doas :
Je n'utilisais pas sudo et ne savais pas le configurer.
La configuration - doas.conf - est très simple => peu de risque d'erreur.
doas suffit amplement pour mon usage.
Il y a bien une page sur Debian Wiki qui indique sommairement que
même si cette introduction n'est pas d'un enthousiasme délirant à propos de doas elle a bien l'air de lier "amélioration de la sécurité" et "diminution importante du nombre de lignes de code"; ce qui semble logique.Doas is intended as a minimalist replacement for the more popular sudo, providing "95% of the features of sudo with a fraction of the codebase", potentially improving security.
Doas se veut un remplaçant minimaliste du plus populaire sudo, offrant "95 % des fonctionnalités de sudo avec une fraction de la base de code", améliorant potentiellement la sécurité.
Ceci dit quand j'examine les chiffres que tu donnes je me dis que si 14 kB de doas font 95% du boulot des 6.2 MB de sudo je trouve surprenant que Debian ne le propose pas par défaut . Les 5% restants seraient-ils si importants ?
Je vais le tester sur mon ssd autonome qui comporte Debian 12 et me renseigner plus avant.
Merci pour les précisions apportées .
Debian 11 / Xfce
-
dezix
- Membre hyper actif
- Messages : 3546
- Inscription : 04 juin 2016, 14:50
- Status : Hors-ligne
Tout est relatif, l'influence de l'histoire et des habitudes n'est pas négligeable,
sous linux tout le monde (même celui qui n'y connaît rien) a eu vent de sudo.
Je ne connais pas le monde de BSD,
mais peut-être que la popularité sudo/doas y est inverse.
Je ne suis qu'un modeste utilisateur sans grandes prétentions,
donc entre 2 solutions j'essaie de choisir la plus simple et la moins difficile à maîtriser (plus ou moins).
Chose certaine avec la "sécurité" : si on ne maîtrise pas la config, c'est jouer à la roulette russe.
À mon petit niveau, la sécurité c'est la simplicité avec des mots de passe forts (longs et aléatoires).
... et le reste c'est du blabla.
sous linux tout le monde (même celui qui n'y connaît rien) a eu vent de sudo.
Je ne connais pas le monde de BSD,
mais peut-être que la popularité sudo/doas y est inverse.
Je ne suis qu'un modeste utilisateur sans grandes prétentions,
donc entre 2 solutions j'essaie de choisir la plus simple et la moins difficile à maîtriser (plus ou moins).
Chose certaine avec la "sécurité" : si on ne maîtrise pas la config, c'est jouer à la roulette russe.
À mon petit niveau, la sécurité c'est la simplicité avec des mots de passe forts (longs et aléatoires).
... et le reste c'est du blabla.
**Simple Utilisateur** -- Debian stable - XFCE
-
tony
- Membre
- Messages : 184
- Inscription : 10 juil. 2023, 00:54
- Status : Hors-ligne
bonjour,
- la simplicité, au moins apparente, de ma configuration de sudo doit donc être due au fait que je n'ai qu'un seul utilisateur physique par appareil et que je n'ai pas une utilisation pointue de cette commande car elle se résume à ceci: obtenir les droits de root quand l'utilisateur en a besoin. Je n'imagine pas, je dirais presque benoîtement, d'autre utilisation.
- je commence donc à tester la commande doas et même si le wiki utilise un conditionnel sur l'aspect sécuritaire, je passerai à doas si l'essai est positif; autant essayer d'améliorer sa résistance si on peut
- dernière chose, je vois que tu utilises une commande que je n'ai jamais vue et qui semble inconnue de mon canard préféré : asw [doas] . Ce asw serait-il un alias?
Debian 11 / Xfce
-
dezix
- Membre hyper actif
- Messages : 3546
- Inscription : 04 juin 2016, 14:50
- Status : Hors-ligne
Pour un système mono-utilisateur, l'usage de sudo/doas est d'une utilité très limitée.
Comme déjà écrit, mis à part des permissions et applications correctement configurées pour ne pas introduire de grosses faiblesses,
la sécurité du système repose essentiellement sur la force des mots de passe, le niveau de sécurité final étant grosso-modo celui du MdP le plus faible.
Donc dans le contexte mono-utilisateur j'utilise le même MdP pour root et pour moi.
J'utilise doas par économie (flemme) avec nopass as root puisque même MdP
et pour encore plus de flemme alias suroot='doas su -'
Donc les opérations de maintenance => suroot et basta!
Avec une telle config, il faut avoir un contrôle physique permanent sur la machine non-verrouillée (c'est mon cas).
Pour ton questionnement "argumentaire sécurité" => à mon humble niveau : simplicité = sécurité (valable à tous points de vues).
si doas était une passoire, je pense qu'il ne serait simplement pas dans le dépôt.
Oui un alias asw <=> apt show
Comme déjà écrit, mis à part des permissions et applications correctement configurées pour ne pas introduire de grosses faiblesses,
la sécurité du système repose essentiellement sur la force des mots de passe, le niveau de sécurité final étant grosso-modo celui du MdP le plus faible.
Donc dans le contexte mono-utilisateur j'utilise le même MdP pour root et pour moi.
J'utilise doas par économie (flemme) avec nopass as root puisque même MdP
et pour encore plus de flemme alias suroot='doas su -'
Donc les opérations de maintenance => suroot et basta!
Avec une telle config, il faut avoir un contrôle physique permanent sur la machine non-verrouillée (c'est mon cas).
Pour ton questionnement "argumentaire sécurité" => à mon humble niveau : simplicité = sécurité (valable à tous points de vues).
si doas était une passoire, je pense qu'il ne serait simplement pas dans le dépôt.
Oui un alias asw <=> apt show
**Simple Utilisateur** -- Debian stable - XFCE
-
tony
- Membre
- Messages : 184
- Inscription : 10 juil. 2023, 00:54
- Status : Hors-ligne
pourquoi utiliser doas ci-dessus ? perso je ne faisais pas sudo su - mais simplement su -. Pour le reste je vais y réfléchir . Ce qui est sûr c'est que pour ma prochaine install je ne vais pas m'embêter avec les sudoers et autres curiosités du genre.et pour encore plus de flemme alias suroot='doas su -'
ps1: je pense avoir compris = cette commande très spéciale est à utiliser en conjonction avec les autres définies précédemment et dispense éventuellement de l'utilisation du mdp pour passer en root. Là par contre je préfère rester avec mon mdp et le simple su -
ps2: il me reste un problème à régler = permit persist user fonctionne avec Debian12 mais pas avec Debian11. Je vais bien finir par trouver le pourquoi. Enfin j'espère.
ps3: il s'agit d'un bogue de la version 6.8.1.2 corrigé dans la 6.1.8.3 toujours non disponible depuis ....mai 2022 . Dispo dans Ubuntu mais avec libc6 >= 2.34
Debian 11 / Xfce
-
dezix
- Membre hyper actif
- Messages : 3546
- Inscription : 04 juin 2016, 14:50
- Status : Hors-ligne
parce que j'ai indiqué nopass dans la config,
et que dans ce contexte d'utilisation,
je considère que la fourniture du MdP 1 fois à l'ouverture de ma session est une mesure suffisante.
Après à chacun d'évaluer au cas par cas le niveau de sécurisation requis et les moyens d'y parvenir.
**Simple Utilisateur** -- Debian stable - XFCE
-
Anon001
- Membre
- Messages : 95
- Inscription : 15 nov. 2023, 13:39
- Localisation : Dans un futur désert!
- Status : Hors-ligne
Bonjour,
Pour ma part je vois dans doas une gestion plus saine/simple (voir plus sécuritaire) des privilèges root.
Doas définit pour le compte user(je suis seul à utiliser ce pc) juste certaines commandes nécessitant les privilèges root comme la mise en place de certain service, l'update/upgrade du système.
Pour le reste je passe par su -.
C'est plus clair pour moi. Je prends les bons réflexes (venant d'ubuntu, j'ai toujours fait sudo). Je retrouve plus facilement les commandes liées à l'administration (mon ~/.bashrc déborde)
Il y a un aussi un comportement de sudo qui m'embête c'est qu'on peut passer plusieurs commandes root à sa suite sans mdp (j'imagine que cela se paramètre)
Pour ma part je vois dans doas une gestion plus saine/simple (voir plus sécuritaire) des privilèges root.
Doas définit pour le compte user(je suis seul à utiliser ce pc) juste certaines commandes nécessitant les privilèges root comme la mise en place de certain service, l'update/upgrade du système.
Pour le reste je passe par su -.
C'est plus clair pour moi. Je prends les bons réflexes (venant d'ubuntu, j'ai toujours fait sudo). Je retrouve plus facilement les commandes liées à l'administration (mon ~/.bashrc déborde)
Il y a un aussi un comportement de sudo qui m'embête c'est qu'on peut passer plusieurs commandes root à sa suite sans mdp (j'imagine que cela se paramètre)
"Il est plus facile d'imaginer la fin du Monde que la fin du capitalisme "
Acheter plus pour jeter plus!
Acheter plus pour jeter plus!
-
lol
- Site Admin
- Messages : 4974
- Inscription : 04 avr. 2016, 12:11
- Localisation : Madagascar
- Status : Hors-ligne
Salut,
Pas besoin de sudo, root fait très bien le job, au moment ou on en a besoin.
Surtout si on est seul seul la machine...
Si on partage les accès alors oui sudo est nécessaire.
Bien paramétré il fait aussi très bien son travail.
Je ne vois pas l'intérêt de DOAS franchement.
Pas besoin de sudo, root fait très bien le job, au moment ou on en a besoin.
Surtout si on est seul seul la machine...
Si on partage les accès alors oui sudo est nécessaire.
Bien paramétré il fait aussi très bien son travail.
Je ne vois pas l'intérêt de DOAS franchement.
Règles d'usage du forum. Signalez si vous avez posté votre question sur un autre forum. Explications ici
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
-
tony
- Membre
- Messages : 184
- Inscription : 10 juil. 2023, 00:54
- Status : Hors-ligne
idem , j'ai commencé par Ubuntu et me suis habitué à sudo sans même me poser la question de savoir si j'en avais besoin ou pas . Il faut dire que lorsqu'on débute sous Linux on a des questions bien plus importantes à régler pour faire en sorte que le pc fonctionne avec un nouveau S.E. et qu'on ne mette pas trop le souk dans le biniou. Et puis on trouve des alias qui vont bien et finalement tout ronronne et on s'habitue. J'ai repris ça lorsque je suis passé à Debian tellement c'était bien huilé. Et puis avec cette affaire de doas je m'aperçois que, seul utilisateur physique de mon portable, finalement je pourrais très bien me passer et de sudo et de doas, et je crois que si j'arrive à me déshabituer des alias-réflexes c'est ce vers quoi je me dirige.(venant d'ubuntu, j'ai toujours fait sudo)
ps:
je pense que je vais être encore plus presque aussi flemmard@dezix et pour encore plus de flemme alias suroot='doas su -'
- même mdp pourroot et user depuis déjà pas mal de temps
- alias r='su -'
Je viens d'adapter mes alias pour user et root uniquement. Mieux vaut tard que jamais.
Debian 11 / Xfce
-
piratebab
- Site Admin
- Messages : 4962
- Inscription : 24 avr. 2016, 18:41
- Localisation : sud ouest
- Status : En ligne
l'utilisation intensive de sudo pour des distributions type ubuntu seme la confusion dans l'esprit de nombreux utilisateurs linuxiens. Utilisé de façon intensive, on perd la notion de séparation des privilèges qui est la base de la sécurité des systèmes unix/linux.
Un bon su - avec le prompt qui change, et on comprends bien qu'on est devenu un utilisateur tout puissant et dangereux sur son système, on fait attention , et on tape un exit avec un soupir de soulagement .
.
Un bon su - avec le prompt qui change, et on comprends bien qu'on est devenu un utilisateur tout puissant et dangereux sur son système, on fait attention , et on tape un exit avec un soupir de soulagement .
.