Le compte Superuser est désactivé par défaut dans OS X (Mavericks). Mais si vous exécutez sudo -l vous apprendrez que l'utilisateur admin peut exécuter toutes les commandes du superutilisateur. Alors quel est l'intérêt de désactiver le super utilisateur ? Quelles sont les différences réelles entre le super utilisateur et l'utilisateur admin ?
Réponse
Trop de publicités?
Mais si vous exécutez sudo -l, vous verrez que l'utilisateur admin peut exécuter toutes les commandes du superutilisateur. Alors quel est l'intérêt de désactiver le superutilisateur ?
Tout utilisateur qui peut élever ses privilèges à Root peut exécuter toutes les commandes du superutilisateur, et tout membre du groupe admin sous OS X peut élever ses privilèges à Root en utilisant sudo. En général, sans escalade vers les privilèges de Root, un utilisateur ne peut pas exécuter les commandes réservées à Root, donc vous pouvez lire plus dans sudo -l qu'il n'y paraît.
Il n'y a qu'un seul compte Root, un seul superutilisateur. L'intérêt de cette désactivation est que personne ne peut accéder au compte Root, ils ne peuvent obtenir les privilèges Root qu'en utilisant sudo. Sudo offre quelques avantages : toutes les tentatives d'authentification avec sudo sont enregistrées, et toutes les commandes exécutées à l'aide de sudo sont enregistrées ; sudo peut être limité par les permissions des utilisateurs à l'aide du fichier /private/etc/sudoers ; sudo peut être exécuté à l'aide du mot de passe d'un utilisateur administrateur, de sorte qu'il n'a pas besoin de connaître le mot de passe du compte racine ; sudo finira aussi par expirer, et demandera à nouveau une authentification.
J'ai trouvé un article très intéressant ici sur les avantages de sudo et comment le comparer à l'utilisation de su ou à la connexion en tant que Root. L'article concerne Ubuntu, mais les informations de base restent les mêmes pour OS X et toute autre version BSD ou UNIX.
