Doc Sudo

Utilisation de base
Quels droit sudo j’ai par défaut ?
Accès root
Accès en lecture à des fichiers
Accès en écriture à des fichiers
Accès avec un autre utilisateur

sudo est un programme permettant d’accorder des droits à certains utilisateurs pour lancer des commandes en tant que root ou un utilisateur différent.

Vous avez la possibilité de vous connecter en SSH à votre serveur dédié (directement ou via un VPN ou un bastion). Si ce n’est pas le cas, merci de nous ouvrir un ticket.

Utilisation de base

Une fois connecté en SSH, vous pouvez lister les droits sudo que vous avez ainsi :

$ sudo -l

User may run the following commands:

    (root) /usr/sbin/tcpdump

Dans cette exemple, vous avez le droit de lancer la commande tcpdump que vous pourrez lancer ainsi :

$ sudo tcpdump

[sudo] password:

En entrant votre mot de passe utilisateur, la commande sera alors lancée en tant que root.

Quels droit sudo j’ai par défaut ?

Par défaut, nous n’accordons aucun droit sudo.

Si vous avez besoin de jouer régulièrement une commande en root, merci de nous ouvrir un ticket en expliquant la raison.

Notez qu’il est possible que l’on vous refuse l’accès si l’on considère que la demande empiète sur nos responsabilités à propos de votre serveur dédié.

Accès root

Sauf exception, nous n’accordons jamais un accès root (ou droits sudo sur toutes les commandes, notamment la commande su qui permet un accès root).

La raison est simple : cela empiète nos responsabilités à propos de votre serveur dédié, et en cas de problème nous devons être sûr que nous sommes les seuls à pouvoir être root.

Dans certains cas exceptionnels nous pouvons vous accorder un accès root si vous signez une décharge de responsabilité : si un problème se produit causé par vous, nous n’avons plus d’engagement de réactivité et de rétablissement, et nos interventions seront alors facturés à un tarif majoré. De plus, il n’est plus possible de revenir en arrière : si vous avez eu un accès root nous ne pourrons plus avoir confiance dans l’intégrité du système.

Accès en lecture à des fichiers

Si vous avez besoin d’accéder en lecture à des fichiers accessibles uniquement par root, nous n’utiliserons pas sudo et nous vous ferons une copie (éventuellement via une tâche planifiée) accessible à l’utilisateur de votre choix.

Ceci est bien sûr réservé à des fichiers pas trop sensibles, par exemple cela peut être un fichier de configuration d’Apache ou Nginx.

Accès en écriture à des fichiers

Si vous avez besoin d’accéder en écriture à des fichiers accessibles uniquement par root, nous vous donnerons accès via la commande spéciale sudoedit qui permet uniquement l’édition du fichier indiqué et empêche d’autres actions (exécution d’un shell, ouverture d’autres fichiers…) souvent possible avec des éditeurs comme vi ou less par exemple.

Voici un exemple d’utilisation :

$ sudoedit /etc/timezone

[sudo] password:

Note : évidemment il est possible que l’on vous refuse l’accès si l’on considère que la demande empiète sur nos responsabilités à propos de votre serveur dédié.

Accès avec un autre utilisateur

sudo permet aussi d’accorder des droits pour lancer des commandes en tant qu’un utilisateur différent (pas forcément root).

En général, nous préférons éviter cela et nous allons vous imposer d’utiliser SSH pour vous connecter avec un utilisateur différent.

Néanmoins dans certains cas particuliers, nous pourrons vous accorder ce droit utilisable ainsi :

$ sudo -u foo script.sh

$ sudo -u foo -i