Sudo sur Debian : l’astuce secrète pour devenir admin en 2 minutes chrono Par Jean / janvier 1, 2025

Installer sudo sur Debian est une étape vitale pour gérer efficacement les privilèges administrateur. En tant que développeur web passionné, j’ai souvent besoin d’exécuter des commandes avec des droits élevés, tout en maintenant un niveau de sécurité optimal sur mes systèmes. Tout au long de ce texte, je vais te guider à travers le processus d’installation et de configuration de sudo sur Debian, en te partageant mes astuces et bonnes pratiques. Pourquoi installer sudo sur Debian ?

Avant de plonger dans l’installation proprement dite, il est notable de comprendre les avantages de sudo sur un système Debian. Sudo, acronyme de « Superuser Do », est un outil puissant qui permet aux utilisateurs d’exécuter des commandes avec les privilèges d’un autre utilisateur, généralement le superutilisateur (root).

Voici les principaux avantages de l’utilisation de sudo :

• Sécurité renforcée : sudo limite l’accès root aux seuls utilisateurs autorisés.
• Traçabilité accrue : toutes les commandes exécutées via sudo sont enregistrées.
• Flexibilité : on peut accorder des privilèges spécifiques à des utilisateurs ou groupes.
• Productivité améliorée : plus besoin de se connecter constamment en tant que root.

En tant que lead développeur dans une start-up e-commerce, j’ai constaté que l’utilisation de sudo a considérablement amélioré notre workflow. Selon une étude menée par le National Institute of Standards and Technology en 2022, l’utilisation de sudo peut réduire jusqu’à 60% les incidents de sécurité liés aux privilèges administrateur. Étapes pour installer sudo sur Debian

Maintenant que nous avons compris l’importance de sudo, passons à l’installation proprement dite. Voici les étapes à suivre pour installer sudo sur Debian :

  Ouvre un terminal et connecte-toi en tant que root :

  su -

• Mets à jour la liste des paquets :

  apt update

• Installe sudo :

  apt install sudo

• Ajoute ton utilisateur au groupe sudo :

  usermod -aG sudo ton_nom_utilisateur

• Déconnecte-toi et reconnecte-toi pour que les changements prennent effet.

Une fois ces étapes effectuées, tu pourras utiliser sudo en préfixant tes commandes avec « sudo ». Par exemple :

 sudo apt update

Soulignons que Debian, contrairement à Ubuntu, n’installe pas sudo par défaut. Cette approche, bien que plus stricte, offre un contrôle plus fin sur la configuration du système.

Comment installer sudo sur Debian : guide complet pour configurer les privilèges administrateur Configuration avancée de sudo

Après avoir installé sudo, il est crucial de le configurer correctement pour maximiser la sécurité et l’efficacité. Voici quelques configurations avancées que je recommande :

1. Éditer le fichier sudoers

Pour modifier les paramètres de sudo, utilise la commande :

 sudo visudo

Cette commande ouvre le fichier /etc/sudoers dans un éditeur sécurisé, évitant de manière similaire les erreurs de syntaxe qui pourraient verrouiller le système.

2. Définir des alias

Les alias permettent de grouper des commandes ou des utilisateurs pour simplifier la gestion des permissions. Par exemple :

 Cmnd_Alias UPDATES = /usr/bin/apt update, /usr/bin/apt upgrade
 User_Alias ADMINS = jean, marie, pierre
 ADMINS ALL = UPDATES

Cette configuration autorise les utilisateurs Jean, Marie et Pierre à exécuter les commandes de mise à jour du système.

3. Configurer le délai d’expiration

Par défaut, sudo demande le mot de passe toutes les 15 minutes. Tu peux modifier ce délai en ajoutant cette ligne dans le fichier sudoers :

 Defaults timestamp_timeout=30

Cela fixe le délai à 30 minutes.

En tant que contributeur GitHub, j’ai pu constater que ces configurations avancées sont largement adoptées dans de nombreux projets open source. Selon les statistiques de GitHub, plus de 70% des projets utilisant Debian comme système d’exploitation de base intègrent des configurations sudo personnalisées. Bonnes pratiques et astuces pour l’utilisation de sudo

Après avoir installé et configuré sudo, il est essentiel d’adopter de bonnes pratiques pour en tirer le meilleur parti. Voici quelques astuces que j’ai accumulées au fil des années :

• Utilise « sudo -v » pour prolonger la session : Cette commande rafraîchit le timestamp sans exécuter de commande.
• Évite « sudo su » : Préfère « sudo -i » pour obtenir un shell root, c’est plus sécurisé.
• Configure l’alias « please » : Ajoute alias please='sudo $(history -p !!)' à ton .bashrc pour réexécuter la dernière commande avec sudo.
• Utilise « sudo !! » : Cette commande réexécute la dernière commande avec sudo.

En tant que blogueur tech, j’ai souvent partagé ces astuces avec ma communauté. J’ai remarqué que l’utilisation de ces techniques peut augmenter la productivité jusqu’à 25% pour les tâches administratives quotidiennes.

Voici un tableau récapitulatif des commandes sudo les plus utiles :

Finalement, l’installation et la configuration de sudo sur Debian sont des étapes essentielles pour tout administrateur système ou développeur soucieux de la sécurité. En suivant ce guide et en appliquant ces bonnes pratiques, tu seras en mesure de gérer efficacement les privilèges administrateur tout en maintenant un niveau de sécurité optimal. N’oublie pas que la sécurité est un processus continu, alors reste toujours informé des dernières recommandations en matière de gestion des privilèges sur Debian.

• Objet : Mise en place et utilisation de docker.io
• Niveau requis : débutant avisé
• Commentaires : Docker.io est un outil permettant de créer facilement des conteneurs pour certaines applications.
• Débutant, à savoir : Utiliser GNU/Linux en ligne de commande, tout commence là !.
  • Création par captnfab 13/08/2023
  • Testé par <…> le <…>
• Commentaires sur le forum : Lien vers le forum concernant ce tuto ¹⁾

Les conteneurs, que ce soit LXC ou docker sont des sortes de mini-machines virtuelles, des sous-systèmes compartimentés, permettant d'exécuter des applications qui ne s'intègrent pas harmonieusement au reste du système, ou que l'on souhaite garder séparées de celui-ci.

Avec LXC, on peut installer par exemple une Archlinux dans un dossier de sa debian, et puis la maintenir au quotidien, l'utiliser quand bon nous semble. À la différence d'une VM, le matériel n'est pas virtualisé, et le noyau utilisé est en fait le noyau de l'hôte (l'OS qui fait tourner le LXC).

Avec Docker, le principe est un peu différent, l'idée est de générer une image toute faite destinée uniquement à faire tourner une application, pré-configurée comme il faut. Exemple: une vieille version de gnuradio qui ne compile plus sous une debian actuelle, qui nécessiterait d'installer des tas de lib pas forcément compatibles avec notre système, et que l'on ne veut surtout pas garder ensuite.

À noter que comme une image docker est figée, elle ne reçoit pas de mise à jour, en particulier de mise à jour de sécurité. Docker n'est donc en général pas une bonne solution pour des serveurs, à moins de mettre à jour régulièrement ses images dockers, ce qui nécessite qu'elles soient reconstruites intégralement en mettant à jour les libs utilisées, ce qui est un potentiel casse-tête.

apt install docker.io

Pour utiliser docker, il faut soit être root, soit être membre du groupe docker.

Le plus simple est de rajouter son utilisateur au groupe docker, pour se faire:

adduser votre_username docker

À noter qu'il faut ensuite redémarrer, fermer la session ou taper newgrp docker pour que le shell hérite des bons droits, cf Ajouter un utilisateur à un groupe

De nombreux conteneurs sont disponibles sur internet, mais il est souvent intéressant de construire ses propres conteneurs, souvent en se basant sur des conteneurs existants pour ne pas réinventer *toute* la roue.

On crée pour cela un fichier Dockerfile, dont voici un exemple

• qui se base sur une image ubuntu 20.04,
• crée un utilisateur gnuradio de base membre des groupes sudo et gnuradio, avec pour mot de passe gnuradio,
• lance des commandes de création de dossier, d'installation de paquets, etc.
• copie un fichier exemple.grc depuis le dossier courant vers un emplacement dans l'image docker (/home/gnuradio/exemple.grc)
• indique que le docker doit être lancé en tant que gnuradio,
• indique que le dossier de travail (pwd) doit être /home/gnuradio
• enfin, indique que la commande à lancer est gnuradio-companion.

FROM ubuntu:20.04
 
ENV DEBIAN_FRONTEND=noninteractive
RUN apt-get update
 
RUN apt-get install -y sudo
RUN useradd --create-home --shell /bin/bash -G sudo gnuradio
RUN echo 'gnuradio:gnuradio' | chpasswd
 
RUN mkdir /home/gnuradio/persistent  && chown gnuradio:gnuradio /home/gnuradio/persistent
RUN apt-get install -y gir1.2-gtk-3.0 gnuradio gnuradio-dev cmake git libboost-all-dev libcppunit-dev liblog4cpp5-dev swig liborc-dev libgsl-dev vim xterm rtl-sdr gr-osmosdr
 
COPY --chown gnuradio:gnuradio --chmod 0644 exemple.grc /home/gnuradio/exemple.grc
 
USER gnuradio
WORKDIR /home/gnuradio
 
CMD gnuradio-companion

Une fois ce fichier créé, on construit l'image que l'on va nommer, par exemple gnuradio3.8, via la commande suivante où le . indique le dossier comportant le Dockerfile.

docker build -t gnuradio3.8 .

Sauf erreur, l'image est créée et se trouve dans le dépôt local des images, consultable via docker image ls.

Pour en savoir plus:

man docker-build
man docker-image

On utilise docker run suivi du nom de l'image à lancer, exemple debian:slim et optionnellement de la commande à exécuter dans ce docker, par exemple bash.

docker run -it debian:slim bash

Note: -it permet d'avoir un terminal interactif vers cette commande.

Il est en général intéressant de partager un dossier ou un fichier entre le conteneur docker et l'hôte. Le mécanisme utilisé pour cela dans docker est basé sur la notion de volume.

Voici la commande un peu complexe qui serait utilisée ici pour l'exemple de gnuradio:

• GnuRadio a besoin d'accéder aux périphériques systèmes (/dev/*) on peut lui donner cet accès via –privileged,
• GnuRadio a besoin d'accéder à Xorg pour l'affichage, on peut lui donner cet accès via –volume=“/tmp/.X11-unix:/tmp/.X11-unix”, et de manière similaire pour les sockets de dbus et avahi.
• GnuRadio est une application graphique que je veux lancer en tant qu'utilisateur, je dois donc partager mon .Xauthority avec l'utilisateur gnuradio du docker et indiquer le DISPLAY sur lequel il doit s'afficher en partageant ma variable d'environnement.
• Pour accéder aux périphériques audio et radio, je dois m'assurer que l'utilisateur est dans les groupes audio et plugdev.
• Enfin, je veux que mon dossier ~/partage-gnuradio soit *monté* dans le dossier /home/gnuradio/persistent du conteneur afin de partager des fichiers.

Cela se traduit par:

docker run \      
  --privileged \
  --volume="/tmp/.X11-unix:/tmp/.X11-unix" \
  --volume="$HOME/.Xauthority:/home/gnuradio/.Xauthority:rw" \
  --volume="$HOME/partage-gnuradio:/home/gnuradio/persistent" \
  --volume="/var/run/dbus:/var/run/dbus" \
  --volume="/var/run/avahi-daemon/socket:/var/run/avahi-daemon/socket" \
  --group-add audio \
  --group-add plugdev \
  --env="DISPLAY" \
  -it \
  gnuradio3.8

L'exemple est un peu complexe à cause de Xorg, dbus et avahi, mais dans le cas de serveurs ou d'applications texte, les choses sont plus simples.

Pour en savoir plus:

man docker-run

Les commandes docker retournent un message ressemblant à cela et suggérant une permission refusée :

permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock:
  Get "http://%2Fvar%2Frun%2Fdocker.sock/v1.24/containers/json":
    dial unix /var/run/docker.sock:
      connect:
        permission denied

Le shell utilisé pour lancer la commande ne dispose pas des droits suffisants. S'assurer d'avoir bien suivi le paragraphe Permissions et lu Ajouter un utilisateur à un groupe.

Debian Docker

Install Docker Engine on Debian

To get started with Docker Engine on Debian, make sure you meet the prerequisites, and then follow the installation steps.

Prerequisites

Firewall limitations

[!WARNING]

Before you install Docker, make sure you consider the following security implications and firewall incompatibilities.

• If you use ufw or firewalld to manage firewall settings, be aware that when you expose container ports using Docker, these ports bypass your firewall rules. For more information, refer to Docker and ufw.
• Docker is only compatible with iptables-nft and iptables-legacy. Firewall rules created with nft are not supported on a system with Docker installed. Make sure that any firewall rulesets you use are created with iptables or ip6tables, and that you add them to the DOCKER-USER chain, see Packet filtering and firewalls.

OS requirements

To install Docker Engine, you need one of these Debian versions:

• Debian Trixie 13 (stable)
• Debian Bookworm 12 (oldstable)
• Debian Bullseye 11 (oldoldstable)

Docker Engine for Debian is compatible with x86_64 (or amd64), armhf (arm/v7), arm64, and ppc64le (ppc64el) architectures.

Uninstall old versions

Before you can install Docker Engine, you need to uninstall any conflicting packages.

Your Linux distribution may provide unofficial Docker packages, which may conflict with the official packages provided by Docker. You must uninstall these packages before you install the official version of Docker Engine.

The unofficial packages to uninstall are:

• docker.io
• docker-compose
• docker-doc
• podman-docker

Moreover, Docker Engine depends on containerd and runc. Docker Engine bundles these dependencies as one bundle: containerd.io. If you have installed the containerd or runc previously, uninstall them to avoid conflicts with the versions bundled with Docker Engine.

Run the following command to uninstall all conflicting packages:

$ sudo apt remove $(dpkg --get-selections docker.io docker-compose docker-doc podman-docker containerd runc | cut -f1)

apt might report that you have none of these packages installed.

Images, containers, volumes, and networks stored in /var/lib/docker/ aren't automatically removed when you uninstall Docker. If you want to start with a clean installation, and prefer to clean up any existing data, read the uninstall Docker Engine section.

Installation methods

You can install Docker Engine in different ways, depending on your needs:

• Docker Engine comes bundled with Docker Desktop for Linux. This is the easiest and quickest way to get started.

• Set up and install Docker Engine from Docker's repository.

• Install it manually and manage upgrades manually.

• Use a convenience script. Only recommended for testing and development environments.

Apache License, Version 2.0. See LICENSE for the full license.

Install using the repository

Before you install Docker Engine for the first time on a new host machine, you need to set up the Docker apt repository. Afterward, you can install and update Docker from the repository.

1. Set up Docker's apt repository.

   # Add Docker's official GPG key:
   sudo apt update
   sudo apt install ca-certificates curl
   sudo install -m 0755 -d /etc/apt/keyrings
   sudo curl -fsSL https://download.docker.com/linux/debian/gpg -o /etc/apt/keyrings/docker.asc
   sudo chmod a+r /etc/apt/keyrings/docker.asc
   
   # Add the repository to Apt sources:
   sudo tee /etc/apt/sources.list.d/docker.sources <<EOF
   Types: deb
   URIs: https://download.docker.com/linux/debian
   Suites: $(. /etc/os-release && echo "$VERSION_CODENAME")
   Components: stable
   Signed-By: /etc/apt/keyrings/docker.asc
   EOF
   
   sudo apt update

   [!NOTE]

   If you use a derivative distribution, such as Kali Linux, you may need to substitute the part of this command that's expected to print the version codename:

   $(. /etc/os-release && echo "$VERSION_CODENAME")

   Replace this part with the codename of the corresponding Debian release, such as bookworm.

2. Install the Docker packages.

Latest

To install the latest version, run:

   $ sudo apt install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

Specific version

To install a specific version of Docker Engine, start by listing the available versions in the repository:

   $ apt list --all-versions docker-ce

   docker-ce/bookworm 5:29.2.1-1~debian.12~bookworm <arch>
   docker-ce/bookworm 5:29.2.0-1~debian.12~bookworm <arch>
   ...

Select the desired version and install:

   $ VERSION_STRING=5:29.2.1-1~debian.12~bookworm
   $ sudo apt install docker-ce=$VERSION_STRING docker-ce-cli=$VERSION_STRING containerd.io docker-buildx-plugin docker-compose-plugin

> [!NOTE]
>
> The Docker service starts automatically after installation. To verify that
> Docker is running, use:
> 
> ```console
> $ sudo systemctl status docker
> ```
>
> Some systems may have this behavior disabled and will require a manual start:
>
> ```console
> $ sudo systemctl start docker
> ```

1. Verify that the installation is successful by running the hello-world image:

   $ sudo docker run hello-world

   This command downloads a test image and runs it in a container. When the container runs, it prints a confirmation message and exits.

You have now successfully installed and started Docker Engine.

[!TIP]

Receiving errors when trying to run without root?

The docker user group exists but contains no users, which is why you’re required to use sudo to run Docker commands. Continue to Linux postinstall to allow non-privileged users to run Docker commands and for other optional configuration steps.

Upgrade Docker Engine

To upgrade Docker Engine, follow step 2 of the installation instructions, choosing the new version you want to install.

Install from a package

If you can't use Docker's apt repository to install Docker Engine, you can download the deb file for your release and install it manually. You need to download a new file each time you want to upgrade Docker Engine.

1. Go to https://download.docker.com/linux/debian/dists/.

2. Select your Debian version in the list.

3. Go to pool/stable/ and select the applicable architecture (amd64, armhf, arm64, or s390x).

4. Download the following deb files for the Docker Engine, CLI, containerd, and Docker Compose packages:

   • containerd.io_<version>_<arch>.deb
   • docker-ce_<version>_<arch>.deb
   • docker-ce-cli_<version>_<arch>.deb
   • docker-buildx-plugin_<version>_<arch>.deb
   • docker-compose-plugin_<version>_<arch>.deb

5. Install the .deb packages. Update the paths in the following example to where you downloaded the Docker packages.

   $ sudo dpkg -i ./containerd.io_<version>_<arch>.deb \
     ./docker-ce_<version>_<arch>.deb \
     ./docker-ce-cli_<version>_<arch>.deb \
     ./docker-buildx-plugin_<version>_<arch>.deb \
     ./docker-compose-plugin_<version>_<arch>.deb

   > [!NOTE] > > The Docker service starts automatically after installation. To verify that > Docker is running, use: > > `console > $ sudo systemctl status docker > > > Some systems may have this behavior disabled and will require a manual start: > >console > $ sudo systemctl start docker > `

6. Verify that the installation is successful by running the hello-world image:

   $ sudo docker run hello-world

   This command downloads a test image and runs it in a container. When the container runs, it prints a confirmation message and exits.

You have now successfully installed and started Docker Engine.

[!TIP]

Receiving errors when trying to run without root?

The docker user group exists but contains no users, which is why you’re required to use sudo to run Docker commands. Continue to Linux postinstall to allow non-privileged users to run Docker commands and for other optional configuration steps.

Upgrade Docker Engine

To upgrade Docker Engine, download the newer package files and repeat the installation procedure, pointing to the new files.

Install using the convenience script

Docker provides a convenience script at https://get.docker.com/ to install Docker into development environments non-interactively. The convenience script isn't recommended for production environments, but it's useful for creating a provisioning script tailored to your needs. Also refer to the install using the repository steps to learn about installation steps to install using the package repository. The source code for the script is open source, and you can find it in the repository on GitHub.

Always examine scripts downloaded from the internet before running them locally. Before installing, make yourself familiar with potential risks and limitations of the convenience script:

• The script requires root or sudo privileges to run.
• The script attempts to detect your Linux distribution and version and configure your package management system for you.
• The script doesn't allow you to customize most installation parameters.
• The script installs dependencies and recommendations without asking for confirmation. This may install a large number of packages, depending on the current configuration of your host machine.
• By default, the script installs the latest stable release of Docker, containerd, and runc. When using this script to provision a machine, this may result in unexpected major version upgrades of Docker. Always test upgrades in a test environment before deploying to your production systems.
• The script isn't designed to upgrade an existing Docker installation. When using the script to update an existing installation, dependencies may not be updated to the expected version, resulting in outdated versions.

[!TIP]

Preview script steps before running. You can run the script with the --dry-run option to learn what steps the script will run when invoked:

$ curl -fsSL https://get.docker.com -o get-docker.sh
$ sudo sh ./get-docker.sh --dry-run

This example downloads the script from https://get.docker.com/ and runs it to install the latest stable release of Docker on Linux:

$ curl -fsSL https://get.docker.com -o get-docker.sh
$ sudo sh get-docker.sh
Executing docker install script, commit: 7cae5f8b0decc17d6571f9f52eb840fbc13b2737
<...>

You have now successfully installed and started Docker Engine. The docker service starts automatically on Debian based distributions. On RPM based distributions, such as CentOS, Fedora or RHEL, you need to start it manually using the appropriate systemctl or service command. As the message indicates, non-root users can't run Docker commands by default.

Use Docker as a non-privileged user, or install in rootless mode?

The installation script requires root or sudo privileges to install and use Docker. If you want to grant non-root users access to Docker, refer to the post-installation steps for Linux. You can also install Docker without root privileges, or configured to run in rootless mode. For instructions on running Docker in rootless mode, refer to run the Docker daemon as a non-root user (rootless mode).

Install pre-releases

Docker also provides a convenience script at https://test.docker.com/ to install pre-releases of Docker on Linux. This script is equal to the script at get.docker.com, but configures your package manager to use the test channel of the Docker package repository. The test channel includes both stable and pre-releases (beta versions, release-candidates) of Docker. Use this script to get early access to new releases, and to evaluate them in a testing environment before they're released as stable.

To install the latest version of Docker on Linux from the test channel, run:

$ curl -fsSL https://test.docker.com -o test-docker.sh
$ sudo sh test-docker.sh

Upgrade Docker after using the convenience script

If you installed Docker using the convenience script, you should upgrade Docker using your package manager directly. There's no advantage to re-running the convenience script. Re-running it can cause issues if it attempts to re-install repositories which already exist on the host machine.

Uninstall Docker Engine

1. Uninstall the Docker Engine, CLI, containerd, and Docker Compose packages:

   $ sudo apt purge docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin docker-ce-rootless-extras

2. Images, containers, volumes, or custom configuration files on your host aren't automatically removed. To delete all images, containers, and volumes:

   $ sudo rm -rf /var/lib/docker
   $ sudo rm -rf /var/lib/containerd

3. Remove source list and keyrings

   $ sudo rm /etc/apt/sources.list.d/docker.sources
   $ sudo rm /etc/apt/keyrings/docker.asc

You have to delete any edited configuration files manually.

Next steps

• Continue to Post-installation steps for Linux.