Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.

Attention, une faille de sécurité dans bash a récemment été rapportée, il est recommandé de mettre à jour son système (plus de détails) *** mise à jour 12/10/2014 ***

#1 Le 23/11/2012, à 14:22

sabnac

question sudoers

Bonjour,

Petite question sur le fichier sudoers,

J'ai un utilisateur pour qui je souhaite lui donner tous les droits sauf le droit de faire un sudo su ou un passwd.

J'ai donc mis une ligne dans le fichier comme suit:

remy    ALL=PASSWD:ALL,!/bin/su, !/usr/bin/passwd 

Ce qui fonctionne très bien

 sudo su
Sorry, user remy is not allowed to execute '/bin/su' as root on xu-remy.

Le problème c'est que rien ne l'empêche d'utiliser son éditeur de texte préféré et de faire un:

vi /etc/sudoers

Comment peut-on empêcher un utilisateur de modifier le sudoers en sudo?Je voudrais qu'il ne soit accessible que par

Merci d'avance.

Hors ligne

#2 Le 23/11/2012, à 15:07

PengouinPdt

Re : question sudoers

sabnac a écrit :

(...)
Le problème c'est que rien ne l'empêche d'utiliser son éditeur de texte préféré et de faire un:

vi /etc/sudoers

Comment peut-on empêcher un utilisateur de modifier le sudoers en sudo?Je voudrais qu'il ne soit accessible que par

Merci d'avance.

Vi, - sans mauvais jeu de mots - il peut tenter d'éditer ... mais il aura dans 'vi' le message d'erreur suivant :

"/etc/sudoers" [Permission Denied]

En effet, il faut avoir les droits d'administration pour l'éditer ...

Hors ligne

#3 Le 23/11/2012, à 15:15

nesthib

Re : question sudoers

Je crains que ce que tu cherches à faire soit impossible. Réfléchis deux secondes, si je n'ai pas accès à vi il me suffit d'utiliser un autre moyen pour modifier le fichier. Si les permissions sont changées il me suffit de les restaurer. Si modification du fichier et des permissions sont interdits, il me suffit d'installer un programme/script qui apporte ces droits de façon détournée, ou de le créer sur place. Bref, ça n'est pas un modèle de sécurité valide que d'autoriser « tout sauf… », il y a trop de « sauf… » à prendre en compte. Réfléchis aux permissions que tu as besoin d'accorder et donne le minimum, c'est une meilleure idée.


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

En ligne

#4 Le 23/11/2012, à 16:12

tiramiseb

Re : question sudoers

Je rejoins l'avis de nesthib.

Avec sudo, il ne faut pas autoriser "tout sauf", il faut autoriser au cas par cas.

Il n'y a même pas "trop de sauf" : il y en a une infinité. Il suffit à l'utilisateur de faire un script qui modifie le sudoers, de le mettre sur un site web quelconque, de faire un wget puis de l'exécuter (et il ne sera pas interdit vu que ce script, inconnu, ne sera pas dans les "sauf".
Le gars peut aussi faire un cat << EOF > /etc/sudoers, pareil...

Enfin voilà quoi, "tout sauf" ce n'est pas faisable.

D'ailleurs, avec "ALL,!/bin/su, !/usr/bin/passwd", ça autorise "sudo -s" et "sudo -i", non ? Une raison de plus pour dire que c'est mort.


PengouinPdt a écrit :

Vi, - sans mauvais jeu de mots - il peut tenter d'éditer ... mais il aura dans 'vi' le message d'erreur suivant :

"/etc/sudoers" [Permission Denied]

Bah non, s'il fait sudo vi /etc/sudoers, il n'y aura pas de problème de permission...


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#5 Le 23/11/2012, à 16:24

sabnac

Re : question sudoers

Merci pour vos réponse, j'ai fait une erreur dans mon post, je voulais mettre sudo vi ...


Juste une dernière petite question. Je ne comprend pas la différence entre un sudo su et un su root.

Merci encore.

Hors ligne

#6 Le 23/11/2012, à 16:30

tiramiseb

Re : question sudoers

"sudo" est un logiciel qui permet à un utilisateur de faire des actions "en tant que root" mais sans connaitre le mot de passe de root.
"su" est une commande qui permet de "changer d'utilisateur", mais il faut connaître le mot de passe de l'utilisateur en question, ou alors il faut être root.

"su root" (équivalent à "su" tout court) permet donc de "changer d'utilisateur et devenir root", mais il faut connaitre le mot de passe de root ou alors être déjà root
"sudo su" permet à un utilisateur de "changer d'utilisateur et devenir root tout en étant déjà considéré comme root et en n'ayant donc pas besoin du mot de passe de root"
Tu peux plutot utiliser "sudo -i" ou "sudo -s" pour faire ça.


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

Haut de page ↑