Retrouvez cet article dans : Linux Pratique Hors série 8

Root, c'est le nom que l'on donne au premier utilisateur (dans l'ordre d'installation du système) d'un système UNIX. Root signifie " racine " en anglais. Il existe d'ailleurs aussi sous Mac OS X, mais il n'est pas visible. Il est l'équivalent de " l'administrateur " dans les versions 2000/XP/2003/Vista de Microsoft Windows. Root est identifié par l'indice utilisateur 0 et appartient au groupe root, identifié par l'indice groupe 0. Il a tous les droits sur le système. On ne doit pas changer son nom, ni ses identifiants numériques sous peine de ne plus pouvoir accéder à son système. Il peut tout faire, et ce, sans exception. Il est omnipotent sur le système et inamovible. À vous, si vous l'utilisez,    d'être omniscient dans son usage, car il peut aussi tout détruire s'il est mal utilisé. Au final, il a plus de pouvoir que les administrateurs des systèmes graphiques concurrents, car il arrive sous certains de ces systèmes que l'administrateur ne puisse pas agir. Ici, il pourra toujours. Et c'est pour cela qui faut être TRÈS PRUDENT dans son usage... Aujourd'hui, avec des programmes comme sudo (voir plus loin), on n'a pas véritablement besoin, une fois une station installée de se connecter avec l'utilisateur root. D'ailleurs, des environnements de bureau graphiques, comme KDE ou GNOME, vous le refuseront s'ils sont bien configurés (par défaut sur Ubuntu/Kubuntu par exemple). Donc, si l'on est un utilisateur " basique ", on ne rencontrera jamais directement root. Il peut être utile pour accélérer des travaux de maintenance, mais en soit, il n'est pas nécessaire de l'activer dans la vie normale d'une station de travail ou même d'un serveur. Pour les distributions de type Ubuntu, un simple sudo <ma commande et ses options> sous le nom d'un utilisateur dûment autorisé (donc authentifié dans /etc/sudoers) revient au même ! De fait, sous certaines distributions Linux, on le désactive après l'installation en ne lui donnant pas de mot de passe défini par l'utilisateur (Ubuntu/Kubuntu par exemple). Cela complique la tâche de certains vieux habitués qui ont fait leurs armes avec des versions de Linux où l'usage du root était largement répandu. Pour information, on a même connu une version grand public au début des années 2000 qui loguait ses utilisateurs graphiques directement en root (Corel Linux). Autant dire que la sécurité n'était pas optimale, loin s'en faut ! Car root est dangereux du fait de son omnipotence. Et, depuis quelques années, la tendance est à limiter au strict nécessaire son usage. Comme je viens de vous le montrer, avec le programme sudo, on n’a en fait plus besoin de lui directement (cela ne signifie pas qu'on puisse l'effacer du système, surtout pas !). Cela protège en partie contre les erreurs... La première des bêtises est d'effacer des données importantes. On ne peut le faire qu'avec l'utilisateur qui les a créées. C'est parfois frustrant, mais c'est pratique pour éviter des gros désagréments. La deuxième est le formatage d'un disque ou la désinstallation d'un logiciel. Là encore, le fait de passer par une commande un peu plus longue que la normale, et potentiellement bloquée par le fait que votre utilisateur n'a pas tous les droits, vous donne le temps de réfléchir avant d'agir (puis de regretter le cas échéant...). Mais root est aussi dangereux si l'on peut prendre possession de lui à distance. C'est en cela que la distribution dont je parlais plus haut n'était pas sécurisée. Quiconque prend le contrôle du root ou d'un programme s'exécutant sous root, prend le contrôle de votre machine ! Le mot de passe de root doit donc être quelque chose de peu simple à trouver ou à casser le cas échéant. Et on doit utiliser ses pouvoirs avec une très grande économie. Ainsi, il est formellement déconseillé de faire fonctionner certains programmes sous les droits de root (par exemple, les programmes de P2P ou encore des programmes comme le serveur Apache ou des serveurs de FTP). On doit soit les lancer avec un utilisateur spécifique (par exemple, votre utilisateur pour les programmes de P2P), soit si root est indispensable (pour accéder à certaines ressources de la machine), on dispose alors de moyens de protection que l'on appelle des " cages " ou des " prisons " (le programme makejail par exemple). Le programme s'exécute avec les droits de root, mais il est limité dans son espace et, en cas d'attaque, l'attaquant n'a accès qu'aux limites de la cage, c'est-à-dire rien ou presque (le logiciel et ses données). Ce type de sécurisation se fait en fonction du logiciel, en lisant bien la documentation. C'est un peu de travail en plus à l'installation du logiciel, mais, en cas de piratage, c'est BEAUCOUP de tracas en moins !

Retrouvez cet article dans : Linux Pratique Hors série 8