Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.

#1 Le 12/06/2013, à 10:52

solarinside

Faire des niveaux d'admin (sudoers/visudo)

Bonjour à tous,

J'aurais besoin de renseignements à propos du fichier sudoers.

J'utilise Ubuntu 12.04.

Mon problème est le suivant. J'ai pour ambition de créer 3 groupes différents.

Admin : Existe déjà dans le sudoers. Je l'ai ajouté dans les groupes, et j'ai mis dans ce groupe mon Admin qui peut se connecter en root (le premier créé lors de l'installation).

Admin 1 : Ce groupe contient ceux qui ont les mêmes droits que celui du group Admin. SAUF changer le mot de passe de celui qui est en Admin

Admin 2 : Ce groupe contient ceux qui ont juste des droits d'installation. Il ne peuvent pas se connecter en root. Ceux des groups Admin et Admin 1 peuvent changer son mot de passe.

Le problème qui se pose, c'est comment faire? J'ai réfléchi à ajouter cela dans le groupe sudoers pour le groupe Admin 1 :

%Admin 1 ALL = (root) PASSWD: /chemin du fichier qui lance les privilèges de changement de mot de passe/

Si dans les groupes, je place mon utilisateur que je veux mettre dans le groupe Admin 1, dans le groupe SUDO il obtient tous les droits, même celui de changer le mot de passe de l'Admin. Mais ce n'est pas ce que je veux, je veux qu'il puisse tout faire, sauf changer CE mot de passe précisément.

Auriez-vous une astuce?

Merci d'avance

Hors ligne

#2 Le 12/06/2013, à 12:26

Bigcake

Re : Faire des niveaux d'admin (sudoers/visudo)

Bonjour,

Aouch, a tu réèlement créé tes groupes avec un espace ? 'admin 1' 'admin 2'
Personnelement, j'aurais pas osé tellement ça peut poser des problèmes, m'enfin j'avoue n'avoir jamais essayé....

En imaginant que tu n'ai pas mis d'espace, pour admin2
Tu peux ajouter dans  /etc/sudoers :

%admin2	ALL = /usr/bin/dpkg, /usr/bin/apt-get, /usr/bin/aptitude

Ne sachant pas ce que tu privilégie, j'ai mis les 3 (apt-get,aptitude,dpkg), les gens appartenant à ce groupe ne pourront utiliser sudo que pour lancer ces 3 commandes

Pour admin1, il faut déja l'empêcher de se connecter en root avec 'sudo su' ou 'sudo -s'

Dernière modification par Bigcake (Le 12/06/2013, à 12:34)


"Les gens" ne sont pas con, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
HADOPI/LOPPSI/ACTA/CETA ou comment détruire le net
Radio+musique libre= www.oxyradio.net

Hors ligne

#3 Le 12/06/2013, à 12:31

solarinside

Re : Faire des niveaux d'admin (sudoers/visudo)

Bonjour,

Merci de ta réponse rapide.

Merci pour la commande sur le groupe admin2. Pas d'inquiétude, je ne le les ai pas encore créé, j'ai utilisé ces noms pour exemple smile.

Pour admin1, comment l'empêcher de se connecter en sudo su ou sudo -s, sachant que si tel est le cas, je ne suis plus administrateur:/

Hors ligne

#4 Le 12/06/2013, à 12:38

Bigcake

Re : Faire des niveaux d'admin (sudoers/visudo)

Pour admin1, c'est bcp plus compliqué, je ne suis pas sur que ce soit possible (je suis en train de chercher, car c'est intéressant comme problèmatique)
En attendant, on peut rendre ça plus compliqué, donc on rend 'su' interdit avec sudo, ainsi que tout les shell existant pour -s :

%admin1   ALL = !/bin/su, !/bin/sh, .....

je te laisse mettre la liste de tout les shell installable tongue, je suis en train de regarder si y a pas un moins compliqué pour empècher le 'sudo -s'

Dernière modification par Bigcake (Le 12/06/2013, à 12:40)


"Les gens" ne sont pas con, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
HADOPI/LOPPSI/ACTA/CETA ou comment détruire le net
Radio+musique libre= www.oxyradio.net

Hors ligne

#5 Le 12/06/2013, à 12:40

solarinside

Re : Faire des niveaux d'admin (sudoers/visudo)

Merci pour ta réponse rapide ainsi que pour la commande.

Le soucis, c'est que malgré le fait de faire un deny sur le su, j'aurais toujours les droits du sudo, donc implicitement le droit de modifier les mots de passe hmm

Hors ligne

#6 Le 12/06/2013, à 12:47

Bigcake

Re : Faire des niveaux d'admin (sudoers/visudo)

c'est une première étape, s'il peut passer root, il peut tous faire, donc la 1ère étape c'est de l'empêcher de devenir root après on l'empèche de changer le mot de passe root :

%admin1   ALL = !/usr/bin/passwd

ps: grumpf, tu réponds plus vite que je ne modifie mes postes big_smile


"Les gens" ne sont pas con, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
HADOPI/LOPPSI/ACTA/CETA ou comment détruire le net
Radio+musique libre= www.oxyradio.net

Hors ligne

#7 Le 12/06/2013, à 12:48

Bigcake

Re : Faire des niveaux d'admin (sudoers/visudo)

Bon le souci, c'est que le mot de passe est modifiable si la personne a accès physiquement a la machine, a l'aide d'un CD ou USB live ou en sortant le disque du PC

Dernière modification par Bigcake (Le 12/06/2013, à 12:49)


"Les gens" ne sont pas con, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
HADOPI/LOPPSI/ACTA/CETA ou comment détruire le net
Radio+musique libre= www.oxyradio.net

Hors ligne

#8 Le 12/06/2013, à 12:52

solarinside

Re : Faire des niveaux d'admin (sudoers/visudo)

Faut dire que je suis au taquet, ce problème me pose véritablement...problème.

Cette commande :

%admin1   ALL = !/usr/bin/passwd

Ne risque t'elle pas de m'empêcher d'accéder au répertoire pour me loguer en tant qu'admin1 ou bien le ! signifie juste que je n'ai pas de droit d'écriture (mais x+r). Mais je ne peux dans ce cas, plus changer aucun mot de passe, même ceux du groupe inférieur admin2?

NOn?

Hors ligne

#9 Le 12/06/2013, à 12:52

solarinside

Re : Faire des niveaux d'admin (sudoers/visudo)

Le système sera directement installé, donc pas de USB/CD live smile

Hors ligne

#10 Le 12/06/2013, à 12:55

Bigcake

Re : Faire des niveaux d'admin (sudoers/visudo)

Ca lui interdit juste d'utiliser la commande passwd avec la comande sudo, donc effectivement, tu ne pourra pas changer le mdp du groupe inferieur

Sinon autre idée, tu peux tout interdire à admin1 et faire une liste blanche au fur et a mesure de ce qu'il a le droit d'utiliser, comme admin2 en fait sauf que la liste sera bcp plus grande

Mais ça ne règle pas encore le pb du changement de mot de passe....


"Les gens" ne sont pas con, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
HADOPI/LOPPSI/ACTA/CETA ou comment détruire le net
Radio+musique libre= www.oxyradio.net

Hors ligne

#11 Le 12/06/2013, à 12:58

solarinside

Re : Faire des niveaux d'admin (sudoers/visudo)

Eventuellement, connaitrais tu la commande liée à users-admin qui active ou désactive le bouton "modifier" du mot de passe du root?
Mais peut être que j'en demande trop à Ubuntu...

Hors ligne

#12 Le 12/06/2013, à 13:00

Bigcake

Re : Faire des niveaux d'admin (sudoers/visudo)

solarinside a écrit :

Le système sera directement installé, donc pas de USB/CD live smile

Heu..... s'il y a des ports USB ou un lecteur CDROM, et que le PC est autorise le boot dessus, le mot de passe root est modifiable
Pour empècher ça, il faut mettre un mot de passe au BIOS et interdire le boot sur USB ou CDROM

Après pour emêcher la personne de sortir le disque dur ou faire un reset du BIOS, il faut mettre un cadenas sur la tour :]

Dernière modification par Bigcake (Le 12/06/2013, à 14:15)


"Les gens" ne sont pas con, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
HADOPI/LOPPSI/ACTA/CETA ou comment détruire le net
Radio+musique libre= www.oxyradio.net

Hors ligne

#13 Le 12/06/2013, à 13:33

solarinside

Re : Faire des niveaux d'admin (sudoers/visudo)

Mais comment le mot de passe root est-il modifiable? Tu veux dire qu'il le serait pas un admin1?
Avec un live CD, se logguer sur une session de la version installée est possible?

Hors ligne

#14 Le 12/06/2013, à 14:18

Bigcake

Re : Faire des niveaux d'admin (sudoers/visudo)

Tiens un petit article qui me parait assez complet sur le sujet : http://linux.leunen.com/?p=193


"Les gens" ne sont pas con, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
HADOPI/LOPPSI/ACTA/CETA ou comment détruire le net
Radio+musique libre= www.oxyradio.net

Hors ligne

#15 Le 12/06/2013, à 14:50

Bigcake

Re : Faire des niveaux d'admin (sudoers/visudo)

De toute façon, ...... je voit pas l’intérêt de faire un groupe qui peut tout faire sauf changer le mdp root, parce que même si on arrive a interdire le changement de mot de passe root ou de 'Admin', l'admin1 pourra modifier la configuration qui l'empêche de le changer....
Je ne pense pas que ce soit réalisable, s'il veut vraiment, il pourra, tu n'a plus qu'a avoir confiance en l'admin1 pour qu'il ne change pas le mdp root ou le mdp des 'Admin'

Pour en faire un minimum, tu peux interdire passwd avec sudo et faire un script remplaçant passwd qui vérifiera si l'utilisateur du mot de passe qui sera changé n'est pas root ou 'Admin', mais ça restera contournable

Dernière modification par Bigcake (Le 12/06/2013, à 22:31)


"Les gens" ne sont pas con, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
HADOPI/LOPPSI/ACTA/CETA ou comment détruire le net
Radio+musique libre= www.oxyradio.net

Hors ligne

Haut de page ↑