La modification du mot de passe d'un utilisateur changera-t-elle également le mot de passe sudo?

20

Je suis le seul utilisateur de mon système Linux Mint et j'ai remarqué que le mot de passe que j'ai choisi pour me connecter est le même que celui attribué sudo.

Ma question est donc la suivante: la modification de mon mot de passe de connexion modifiera-t-elle également le sudomot de passe?

Sinon, comment puis-je changer le sudomot de passe?

sudo password Carl Rojas
la source
5
Ce n'est pas le mot de passe sudo, c'est votre mot de passe.
user253751

Réponses:

44

Par défaut, sudodemande le mot de passe utilisateur . Ainsi, la modification du mot de passe utilisateur (qui est également utilisé pour la connexion) affectera également les appels sudo.

Cependant, vous pouvez définir /etc/sudoersl' rootpwindicateur pour votre utilisateur , auquel cas il demanderait le mot de passe root à la place.

L'extrait pertinent de la page de manuel sudoers (5) est:

Authentication and logging
 The sudoers security policy requires that most users authenticate them‐
 selves before they can use sudo.  A password is not required if the
 invoking user is root, if the target user is the same as the invoking
 user, or if the policy has disabled authentication for the user or com‐
 mand.  Unlike su(1), when sudoers requires authentication, it validates
 the invoking user's credentials, not the target user's (or root's) cre‐
 dentials.  This can be changed via the rootpw, targetpw and runaspw
 flags, described later.

De même, le mot-clé pour ne pas demander de mot de passe pour sudo est NOPASSWD .

Si vous souhaitez définir le mot de passe root, vous pouvez utiliser sudo passwd

Notez que lors de la modification des autorisations sudo, il est recommandé de garder une console racine ouverte (par exemple sudo -s) jusqu'à ce qu'il soit vérifié dans un autre terminal que cela fonctionne, et que vous ne vous êtes pas verrouillé vous-même.

Ange
la source
1
Et vous pouvez spécifier qu'un utilisateur (ou un groupe d'utilisateurs) peut utiliser sudo sans être invité à saisir son mot de passe.
Baard Kopperud
9
Vous devez également mentionner comment définir le rootmot de passe. La configuration sudopour exiger le rootmot de passe sans d'abord le définir rootpeut être problématique.
kasperd
4
Bien que cela soit vrai, il est généralement considéré comme une mauvaise idée d'avoir un "mot de passe root" connu des administrateurs. Considérez combien de dommages pourraient être causés par un administrateur qui l'a changé et puis est parti. Les meilleures pratiques exigent généralement que les administrateurs soient membres d'un groupe (tel que «roue») dans /etc/sudoerslequel ils peuvent passer à la racine en utilisant leur propre mot de passe, plutôt qu'un mot de passe partagé.
Monty Harder
1
@MontyHarder c'est le même mal que le même administrateur voyou pourrait faire en supprimant tout le monde du groupe de roues ou en changeant le contenu de / etc / sudoers Le principal avantage n'est pas d'éviter les mauvais administrateurs (vous leur donnez root!) Mais d'éviter les connexions directes en tant que root (gardant ainsi un journal des actions).
Ángel
@kasperd, BaardKopperud: ajouté
Ángel
22

Il n'y a pas de sudomot de passe à lui tout seul. Un utilisateur peut appartenir au sudogroupe et exécuter la sudocommande, mais chaque utilisateur n'a qu'un seul mot de passe. Quand il change, il change pour l'utilisateur pas n'importe quelle application en particulier.

Une autre idée fausse similaire est que le mot de passe root est le même que celui utilisé pour sudoing. Non, root est un utilisateur unique et possède un mot de passe privé, qui n'a rien à voir avec un autre mot de passe.

Tomasz
la source
8
Voilà comment sudoest généralement configuré par défaut. Mais cette configuration peut être modifiée.
kasperd
1
Ou en wheelgroupe
l0b0
3

Oui, sudoutilise la même "base de données de mots de passe" (généralement/etc/shadow pour un petit système) que la connexion.

icare
la source
1
Sur des systèmes sains, certainement. Mais comme sudo peut avoir une pam.d/configuration séparée , il peut exister des systèmes pas si sains qui font des choses comme "se connecter avec kerberos / ldap auth, mais sudo avec une base de données de mots de passe locale". (Oui, cela ne s'appliquera pas à la Monnaie mono-utilisateur de l'OP.)
Ulrich Schwarz