Je viens de découvrir que le sudo de debian (sur squeeze) est compilé SANS l'option --with-tty-tickets et configuré par défaut avec un timestamp de 15 minutues.
Cela signifie que si on fait un sudo sur un xterm par exemple, un script exécuté de manière quelconque comportant un sudo silencieux obtiendrait les droits (test fait) sans avoir à fournir de mot de passe. Avec l'option, seul un sudo fait dans la même «console» (même tty ou même fenêtre xterm) se voit dispensé de fournir ce mot de passe, un sudo dans une autre fenêtre se voit demandé le mot de passe. Cela veut dire qu'une utilisation à la Ubuntu de sudo rend la machine fragile et sensible à n'importe quel script exécuté sans faire attention comme sous windows. Pour résoudre ce problème il suffit de refaire les paquets sudo en activant cette option (cf http://forum.debian-fr.org/viewtopic.php?p=252230#p252230 ) J'ai fait des paquets pour squeeze si cela intéresse des gens (cf lien) Mais pourquoi diable cette option a-t-elle été supprimée de la configuration par défaut alors qu'elle me parait un élément basique de sécurité? François Boisson (qui n'utilise de toute façon pas sudo mais tout de même...) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers [email protected] En cas de soucis, contactez EN ANGLAIS [email protected]

