Pages : 1
#1 Le 23/11/2012, à 15:22
- sabnac
question sudoers
Bonjour,
Petite question sur le fichier sudoers,
J'ai un utilisateur pour qui je souhaite lui donner tous les droits sauf le droit de faire un sudo su ou un passwd.
J'ai donc mis une ligne dans le fichier comme suit:
remy ALL=PASSWD:ALL,!/bin/su, !/usr/bin/passwd
Ce qui fonctionne très bien
sudo su
Sorry, user remy is not allowed to execute '/bin/su' as root on xu-remy.
Le problème c'est que rien ne l'empêche d'utiliser son éditeur de texte préféré et de faire un:
vi /etc/sudoers
Comment peut-on empêcher un utilisateur de modifier le sudoers en sudo?Je voudrais qu'il ne soit accessible que par
Merci d'avance.
Hors ligne
#2 Le 23/11/2012, à 16:07
- PengouinPdt
Re : question sudoers
(...)
Le problème c'est que rien ne l'empêche d'utiliser son éditeur de texte préféré et de faire un:vi /etc/sudoers
Comment peut-on empêcher un utilisateur de modifier le sudoers en sudo?Je voudrais qu'il ne soit accessible que par
Merci d'avance.
Vi, - sans mauvais jeu de mots - il peut tenter d'éditer ... mais il aura dans 'vi' le message d'erreur suivant :
"/etc/sudoers" [Permission Denied]
En effet, il faut avoir les droits d'administration pour l'éditer ...
Hors ligne
#3 Le 23/11/2012, à 16:15
- nesthib
Re : question sudoers
Je crains que ce que tu cherches à faire soit impossible. Réfléchis deux secondes, si je n'ai pas accès à vi il me suffit d'utiliser un autre moyen pour modifier le fichier. Si les permissions sont changées il me suffit de les restaurer. Si modification du fichier et des permissions sont interdits, il me suffit d'installer un programme/script qui apporte ces droits de façon détournée, ou de le créer sur place. Bref, ça n'est pas un modèle de sécurité valide que d'autoriser « tout sauf… », il y a trop de « sauf… » à prendre en compte. Réfléchis aux permissions que tu as besoin d'accorder et donne le minimum, c'est une meilleure idée.
GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces : applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn
Hors ligne
#4 Le 23/11/2012, à 17:12
- tiramiseb
Re : question sudoers
Je rejoins l'avis de nesthib.
Avec sudo, il ne faut pas autoriser "tout sauf", il faut autoriser au cas par cas.
Il n'y a même pas "trop de sauf" : il y en a une infinité. Il suffit à l'utilisateur de faire un script qui modifie le sudoers, de le mettre sur un site web quelconque, de faire un wget puis de l'exécuter (et il ne sera pas interdit vu que ce script, inconnu, ne sera pas dans les "sauf".
Le gars peut aussi faire un cat << EOF > /etc/sudoers, pareil...
Enfin voilà quoi, "tout sauf" ce n'est pas faisable.
D'ailleurs, avec "ALL,!/bin/su, !/usr/bin/passwd", ça autorise "sudo -s" et "sudo -i", non ? Une raison de plus pour dire que c'est mort.
Vi, - sans mauvais jeu de mots - il peut tenter d'éditer ... mais il aura dans 'vi' le message d'erreur suivant :
"/etc/sudoers" [Permission Denied]
Bah non, s'il fait sudo vi /etc/sudoers, il n'y aura pas de problème de permission...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#5 Le 23/11/2012, à 17:24
- sabnac
Re : question sudoers
Merci pour vos réponse, j'ai fait une erreur dans mon post, je voulais mettre sudo vi ...
Juste une dernière petite question. Je ne comprend pas la différence entre un sudo su et un su root.
Merci encore.
Hors ligne
#6 Le 23/11/2012, à 17:30
- tiramiseb
Re : question sudoers
"sudo" est un logiciel qui permet à un utilisateur de faire des actions "en tant que root" mais sans connaitre le mot de passe de root.
"su" est une commande qui permet de "changer d'utilisateur", mais il faut connaître le mot de passe de l'utilisateur en question, ou alors il faut être root.
"su root" (équivalent à "su" tout court) permet donc de "changer d'utilisateur et devenir root", mais il faut connaitre le mot de passe de root ou alors être déjà root
"sudo su" permet à un utilisateur de "changer d'utilisateur et devenir root tout en étant déjà considéré comme root et en n'ayant donc pas besoin du mot de passe de root"
Tu peux plutot utiliser "sudo -i" ou "sudo -s" pour faire ça.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
Pages : 1