Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 23/11/2012, à 14:22

sabnac

question sudoers

Bonjour,

Petite question sur le fichier sudoers,

J'ai un utilisateur pour qui je souhaite lui donner tous les droits sauf le droit de faire un sudo su ou un passwd.

J'ai donc mis une ligne dans le fichier comme suit:

remy    ALL=PASSWD:ALL,!/bin/su, !/usr/bin/passwd 

Ce qui fonctionne très bien

 sudo su
Sorry, user remy is not allowed to execute '/bin/su' as root on xu-remy.

Le problème c'est que rien ne l'empêche d'utiliser son éditeur de texte préféré et de faire un:

vi /etc/sudoers

Comment peut-on empêcher un utilisateur de modifier le sudoers en sudo?Je voudrais qu'il ne soit accessible que par

Merci d'avance.

Hors ligne

#2 Le 23/11/2012, à 15:07

PengouinPdt

Re : question sudoers

sabnac a écrit :

(...)
Le problème c'est que rien ne l'empêche d'utiliser son éditeur de texte préféré et de faire un:

vi /etc/sudoers

Comment peut-on empêcher un utilisateur de modifier le sudoers en sudo?Je voudrais qu'il ne soit accessible que par

Merci d'avance.

Vi, - sans mauvais jeu de mots - il peut tenter d'éditer ... mais il aura dans 'vi' le message d'erreur suivant :

"/etc/sudoers" [Permission Denied]

En effet, il faut avoir les droits d'administration pour l'éditer ...


Ego ~
YUP.py :: Yet Uploader Pixxie.py :: script python : post d'images sur forum !

Hors ligne

#3 Le 23/11/2012, à 15:15

nesthib

Re : question sudoers

Je crains que ce que tu cherches à faire soit impossible. Réfléchis deux secondes, si je n'ai pas accès à vi il me suffit d'utiliser un autre moyen pour modifier le fichier. Si les permissions sont changées il me suffit de les restaurer. Si modification du fichier et des permissions sont interdits, il me suffit d'installer un programme/script qui apporte ces droits de façon détournée, ou de le créer sur place. Bref, ça n'est pas un modèle de sécurité valide que d'autoriser « tout sauf… », il y a trop de « sauf… » à prendre en compte. Réfléchis aux permissions que tu as besoin d'accorder et donne le minimum, c'est une meilleure idée.


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#4 Le 23/11/2012, à 16:12

tiramiseb

Re : question sudoers

Je rejoins l'avis de nesthib.

Avec sudo, il ne faut pas autoriser "tout sauf", il faut autoriser au cas par cas.

Il n'y a même pas "trop de sauf" : il y en a une infinité. Il suffit à l'utilisateur de faire un script qui modifie le sudoers, de le mettre sur un site web quelconque, de faire un wget puis de l'exécuter (et il ne sera pas interdit vu que ce script, inconnu, ne sera pas dans les "sauf".
Le gars peut aussi faire un cat << EOF > /etc/sudoers, pareil...

Enfin voilà quoi, "tout sauf" ce n'est pas faisable.

D'ailleurs, avec "ALL,!/bin/su, !/usr/bin/passwd", ça autorise "sudo -s" et "sudo -i", non ? Une raison de plus pour dire que c'est mort.


PengouinPdt a écrit :

Vi, - sans mauvais jeu de mots - il peut tenter d'éditer ... mais il aura dans 'vi' le message d'erreur suivant :

"/etc/sudoers" [Permission Denied]

Bah non, s'il fait sudo vi /etc/sudoers, il n'y aura pas de problème de permission...

Hors ligne

#5 Le 23/11/2012, à 16:24

sabnac

Re : question sudoers

Merci pour vos réponse, j'ai fait une erreur dans mon post, je voulais mettre sudo vi ...


Juste une dernière petite question. Je ne comprend pas la différence entre un sudo su et un su root.

Merci encore.

Hors ligne

#6 Le 23/11/2012, à 16:30

tiramiseb

Re : question sudoers

"sudo" est un logiciel qui permet à un utilisateur de faire des actions "en tant que root" mais sans connaitre le mot de passe de root.
"su" est une commande qui permet de "changer d'utilisateur", mais il faut connaître le mot de passe de l'utilisateur en question, ou alors il faut être root.

"su root" (équivalent à "su" tout court) permet donc de "changer d'utilisateur et devenir root", mais il faut connaitre le mot de passe de root ou alors être déjà root
"sudo su" permet à un utilisateur de "changer d'utilisateur et devenir root tout en étant déjà considéré comme root et en n'ayant donc pas besoin du mot de passe de root"
Tu peux plutot utiliser "sudo -i" ou "sudo -s" pour faire ça.

Hors ligne