Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 09/06/2015, à 08:21

miwaky

[RESOLU] enlever des permission avec Sudoer

Bonjour,
désolé d'avance si il y a un sujet similaire mais je n'arrive pas en trouver un.

Voila mon problème je cherche a enlever a un groupe d'utilisateur "clients" toutes leur commandes. (je veut leur permettre d'utiliser que la commande :

./

J'ai beau modifier mon fichier sudoer il y a toujours un problème.

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
# Host alias specification
# User alias specification
# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL

%clients ALL=(ALL) ,!ALL

# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.d

Et oui j'ai assigner mes utilisateurs au groupe clients :

root@serveur:~# groups client1
client1 : client1 clients
root@serveur:~# groups client2
client2 : client2 clients

merci d'avance.

Dernière modification par miwaky (Le 11/06/2015, à 14:40)

Hors ligne

#2 Le 09/06/2015, à 08:43

grandtoubab

Re : [RESOLU] enlever des permission avec Sudoer

Salut
Allow ça veut dire autoriser donc là tu cherches à autoriser le groupe clients
pour verifier la syntaxe

visudo -c

Es tu certain qu'on puisse interdire quelque chose avec sudoers, ça me semble être par défaut, si tu n'es pas dans sudoers tu n'as pas de droits
http://guide.andesi.org/html/ksudo.html

Dernière modification par grandtoubab (Le 09/06/2015, à 08:44)


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#3 Le 09/06/2015, à 08:52

miwaky

Re : [RESOLU] enlever des permission avec Sudoer

root@serveur:~# visudo -c
/etc/sudoers: parsed OK
/etc/sudoers.d/README: parsed OK
root@serveur:~#

j'obtient ça avec visudo -c quand j'enleve la ligne %clients sinon il y a erreur.
Je sait que c'est possible j'avais réussi a une époque avec seulement une personne.

Il y a possibilité avec les groupes mais j'ai beau essayer sa ne fonctionne pas.

Dernière modification par miwaky (Le 09/06/2015, à 09:26)

Hors ligne

#4 Le 09/06/2015, à 09:09

miwaky

Re : [RESOLU] enlever des permission avec Sudoer

et pour sudoer je veut virer tous les droit (cd ls mv etc..)
Ayant un serveur ssh je veut les empecher de faire quoi que ce soit.
A part lancer une application sur leur dossier.

Hors ligne

#5 Le 09/06/2015, à 11:36

Compte anonymisé

Re : [RESOLU] enlever des permission avec Sudoer

bonjour, il faut enlever les utilisateurs concernés des groupes sudo et adm pour leurs enlever les droits, ensuite leur octroyer les autorisations au cas par cas avec sudoers.

exemple, donner à un utilisateur le droit de mettre le système en veille:
nom_utilisateur ALL = NOPASSWD: /usr/sbin/pm-suspend

edit:

je veut virer tous les droit (cd ls mv etc..)

rien à voir avec sudoers mais les permissions définis aux répertoires et fichiers...

Dernière modification par Compte anonymisé (Le 09/06/2015, à 11:45)

#6 Le 09/06/2015, à 13:21

miwaky

Re : [RESOLU] enlever des permission avec Sudoer

Il n'y a pas un moyen plus rapide et simple. Mon réseaux contiendras beaucoup de compte et cela risque d'être assez énervant de devoir a chaque fois écrire un ligne pour chaque comptes.

On ne peut pas directement interdire le groupe a toutes les commandes ?

Dernière modification par miwaky (Le 09/06/2015, à 13:21)

Hors ligne

#7 Le 09/06/2015, à 13:44

grandtoubab

Re : [RESOLU] enlever des permission avec Sudoer

dans la fstab en utilisant guid et umask pour reserver les droits wrx

voir le man de la commande mount

Dernière modification par grandtoubab (Le 09/06/2015, à 13:45)


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#8 Le 09/06/2015, à 13:56

miwaky

Re : [RESOLU] enlever des permission avec Sudoer

Je ne comprends pas bien la doc. Si j'ai bien compris il permet de définir qui peut écrire sur le disque dur ?
Mais a ce moment là je ne peut pas choisir ce que le groupe ne peut pas utiliser comme commande.

Hors ligne

#9 Le 09/06/2015, à 14:27

tiramiseb

Re : [RESOLU] enlever des permission avec Sudoer

Salut,

miwaky a écrit :

je veut leur permettre d'utiliser que la commande :

./

Ceci n'est pas une commande.

Hors ligne

#10 Le 09/06/2015, à 14:29

tiramiseb

Re : [RESOLU] enlever des permission avec Sudoer

Mon réseaux contiendras beaucoup de compte et cela risque d'être assez énervant de devoir a chaque fois écrire un ligne pour chaque comptes.
On ne peut pas directement interdire le groupe a toutes les commandes ?

Avec sudo, on peut donner des droits à un groupe d'utilisateur, ensuite il te suffit d'ajouter l'utilisateur au groupe pour créer tes restrictions.

Hors ligne

#11 Le 09/06/2015, à 14:30

tiramiseb

Re : [RESOLU] enlever des permission avec Sudoer

je cherche a enlever a un groupe d'utilisateur "clients" toutes leur commandes
[...]
et pour sudoer je veut virer tous les droit (cd ls mv etc..)

Attention, sudo ne permet de limiter que l'usage de commandes au travers de sudo. Ça n'a absolument aucun impact pour des commandes utilisées directement par ailleurs.

Hors ligne

#12 Le 09/06/2015, à 14:31

miwaky

Re : [RESOLU] enlever des permission avec Sudoer

tiramiseb a écrit :

Ceci n'est pas une commande.

En faite si elle existe. on ma donner un fichier que je devais mettre dans le serveur et pouvoir le lancer en mode console. Pour le lancer en mode console j'ai du faire

./nom_de_l'application

Me demander pas pourquoi tongue.

Hors ligne

#13 Le 09/06/2015, à 14:33

miwaky

Re : [RESOLU] enlever des permission avec Sudoer

Le problème est que j'avais déjà réussi a bloquer toutes les commande d'un compte (sans "sudo" ou "sudo su" impossible de faire la moindre utilisation d'application. tongue)

Hors ligne

#14 Le 09/06/2015, à 14:33

tiramiseb

Re : [RESOLU] enlever des permission avec Sudoer

Ayant un serveur ssh je veut les empecher de faire quoi que ce soit.
A part lancer une application sur leur dossier.

Alors pourquoi ne pas plutôt configurer SSH avec une authentification par clé et ne permettant aux utilisateurs que d'exécuter cette commande et rien d'autre (option "command" du fichier "authorized_keys")... Ou encore forcer l'utilisation exclusive de cette application en question, avec l'option ForceCommand du serveur SSH (idéalement placée dans un bloc conditionnel "Match").

Hors ligne

#15 Le 09/06/2015, à 14:37

tiramiseb

Re : [RESOLU] enlever des permission avec Sudoer

on ma donner un fichier que je devais mettre dans le serveur et pouvoir le lancer en mode console. Pour le lancer en mode console j'ai du faire

./nom_de_l'application

Oui. Je le répète, "./" n'est pas une commande. Ni une formule magique.

Quand tu tapes uniquement le nom d'une commande, le système va chercher la commande dans son PATH et l'exécuter. Le PATH, c'est une liste de répertoires où chercher les commandes à exécuter (/usr/bin, /usr/sbin, /usr/local/bin, etc). Si ta commande n'est pas dans le PATH, alors il faut donner un chemin vers celle-ci. Soit un chemin absolu, soit un chemin relatif.

".", ça désigne le répertoire courant.
Donc "./nom_de_l'application", ça désigne « le fichier appelé "nom_de_l'application" qui est présent dans le répertoire courant ». Tu donnes alors un chemin relatif pour cette commande.

Le problème est que j'avais déjà réussi a bloquer toutes les commande d'un compte (sans "sudo" ou "sudo su" impossible de faire la moindre utilisation d'application.)

Euh, la seule chose que permet sudo c'est l'exécution de commandes en tant qu'un autre utilisateur (notamment en tant que root). Ça n'a aucun impact sur les commandes exécutées directement par l'utilisateur lui-même.

Hors ligne

#16 Le 09/06/2015, à 14:41

tiramiseb

Re : [RESOLU] enlever des permission avec Sudoer

Exemple pour SSH.

Si tu veux n'autoriser l'utilisateur "toto" qu'à exécuter le fichier "/home/toto/super_application" quand il se connecte en SSH et rien d'autre, tu mets ça à la fin du fichier /etc/ssh/sshd_config :

Match User toto
ForceCommand /home/toto/super_application

En fait, ça n'est même pas une question d'autorisation : SSH ignore alors ce qui est demandé par l'utilisateur et lance directement cette application et rien d'autre.

Dernière modification par tiramiseb (Le 09/06/2015, à 14:41)

Hors ligne

#17 Le 09/06/2015, à 14:46

miwaky

Re : [RESOLU] enlever des permission avec Sudoer

Non ce que je veut dire c'est que l'utilisateur client1 n'avais plus aucun droit même le shutdown ou le ls.
Il ne pouvait lancer que l'application. Il devait passer en root pour réussir a y accéder.

client1 ALL=(client1) ,!/etc

j'avais utiliser cette ligne dans sudoer pour réussir a bloquer les commandes.

Hors ligne

#18 Le 09/06/2015, à 14:47

miwaky

Re : [RESOLU] enlever des permission avec Sudoer

tiramiseb a écrit :

Exemple pour SSH.

Si tu veux n'autoriser l'utilisateur "toto" qu'à exécuter le fichier "/home/toto/super_application" quand il se connecte en SSH et rien d'autre, tu mets ça à la fin du fichier /etc/ssh/sshd_config :

Match User toto
ForceCommand /home/toto/super_application

En fait, ça n'est même pas une question d'autorisation : SSH ignore alors ce qui est demandé par l'utilisateur et lance directement cette application et rien d'autre.

Peut on faire de même avec un groupe ?

Hors ligne

#19 Le 09/06/2015, à 14:52

tiramiseb

Re : [RESOLU] enlever des permission avec Sudoer

Peut on faire de même avec un groupe ?

En gros, t'as même pas lu la doc ou la manpage ?

Nan parce que bon, la manpage de sshd_config dit clairement que dans "Match" on peut mettre "User", "Group", "Host" et "Address". Donc oui on peut faire ça avec un groupe. Mais ici on ne devrait pas être ta hotline perso remplaçant ton travail de recherche... wink

Non ce que je veut dire c'est que l'utilisateur client1 n'avais plus aucun droit même le shutdown ou le ls.

shutdown de toute façon il faut être root (par exemple en utilisant sudo si on n'est pas directement connecté en root).
ls par contre, sudo n'a aucun moyen de l'interdire. Si tu tapes "ls", ça n'appelle pas sudo, la configuration de sudo n'aura aucun impact.

Je reformule autrement : si l'utilisateur ne tape pas "sudo" avant sa commande, alors ton sudoers ne sert à rien.

Hors ligne

#20 Le 09/06/2015, à 14:59

miwaky

Re : [RESOLU] enlever des permission avec Sudoer

tiramiseb a écrit :

En gros, t'as même pas lu la doc ou la manpage ?

Nan parce que bon, la manpage de sshd_config dit clairement que dans "Match" on peut mettre "User", "Group", "Host" et "Address". Donc oui on peut faire ça avec un groupe. Mais ici on ne devrait pas être ta hotline perso remplaçant ton travail de recherche... wink

Désolé j'avais complètement zapper la manpage x)

Je teste ça et te dit quoi.

Hors ligne

#21 Le 09/06/2015, à 15:01

tiramiseb

Re : [RESOLU] enlever des permission avec Sudoer

Fais attention à ne pas couper la branche sur laquelle tu es assis : si ton utilisateur partie du groupe que tu vas restreindre, alors tu ne pourras plus te connecter en SSH pour faire autre chose wink

Hors ligne

#22 Le 09/06/2015, à 15:07

miwaky

Re : [RESOLU] enlever des permission avec Sudoer

Je pense que c'est ce que j'ai fait yikes
Je lance Client1 ou Client2, putty disparait automatiquement smile

Hors ligne

#23 Le 09/06/2015, à 15:14

tiramiseb

Re : [RESOLU] enlever des permission avec Sudoer

Je lance Client1 ou Client2, putty disparait automatiquement

C'est probablement qu'il a tenté de lancer la commande mais que celle-ci ne s'est pas correctement exécutée.

Dans la mesure où jusqu'ici tu ne nous as donné aucune vraie donnée technique et que tu caches tout ce que tu fais précisément, on ne peut pas te guider correctement.

Hors ligne

#24 Le 09/06/2015, à 15:16

MicP

Re : [RESOLU] enlever des permission avec Sudoer

Je ne connais pas de commande dont le nom serait :
./
mais je suis toujours prêt à découvrir quelque chose de nouveau pour moi avec très grand plaisir

=======

./nom_de_l'application

S'il n'y a pas d'espace entre le point et la barre oblique, ces deux caractères seront interprétés par le shell comme représentant le répertoire courant,
et, pour pouvoir être exécuté, le fichier nom_de_l'application devra avoir l'attribut exécutable.

=======

. /nom_de_l'application

Mais s'il y a un espace entre le point et la barre oblique, le point sera interprété comme la commande interne "source" du shell, et la barre oblique sera interprétée comme la racine du système de fichiers.
Le fichier nom_de_l'application n'aura pas besoin d'avoir l'attribut exécutable pour que les lignes de commandes qu'il contient soient exécutées.
Ces commandes seront exécutées dans le processus du shell en cours et les variables crées par l'exécution des lignes de ce fichier n'auront donc pas besoin d'être "export"ées.

(voir les appels aux scripts /lib/lsb/init_functions /etc/lsb_base_loggin.sh que vous pouvez trouver dans les scripts du répertoire /etc/init.d)

=======
Voir aussi :

man builtins

==========

Dernière modification par MicP (Le 09/06/2015, à 15:19)

Hors ligne

#25 Le 09/06/2015, à 15:18

grandtoubab

Re : [RESOLU] enlever des permission avec Sudoer

miwaky a écrit :

Non ce que je veut dire c'est que l'utilisateur client1 n'avais plus aucun droit même le shutdown ou le ls.
Il ne pouvait lancer que l'application. Il devait passer en root pour réussir a y accéder.

client1 ALL=(client1) ,!/etc

j'avais utiliser cette ligne dans sudoer pour réussir a bloquer les commandes.

Effectivement le point d'exclamation est utilise comme opérateur logique NOT
http://manpages.debian.org/cgi-bin/man. … &locale=en
An exclamation point ('!') can be used as a logical not operator in a
     list or alias as well as in front of a Cmnd.  This allows one to exclude
     certain values.  For the '!' operator to be effective, there must be
     something for it to exclude.  For example, to match all users except for
     root one would use:

         ALL,!root

Ne manquerait-il pas une étoile pour dire toutes les commandes dans /etc

client1 ALL=(client1) ,!/etc/*

Dernière modification par grandtoubab (Le 09/06/2015, à 15:21)


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne