Bonsoir.
Je sèche un peu sur un aspect de la configuration de 'sudo' (sur une Lenny).
L'utilisateur dont il est question a un path vers son dossier home
relativement long, je me demandais s'il était possible, et de quelle
manière, d'indiquer des chemins du genre :
mike ALL=NOPASSWD:~/bin/mon-binaire
Avec cette syntaxe par exemple, visudo m'indique très clairement un défaut
dans la syntaxe. Une idée pour résoudre ça, ou je mets tous les chemins
absolus des binaires ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/8c76c5af0c06620b61ebfd80c086f260.squirrel@webmail.internetcom.tm.fr
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Ken-Patrick Lehrmann
Le 25/09/2011 19:12, "Gaël - www.CoteObscur.net" a écrit :
Bonsoir. Je sèche un peu sur un aspect de la configuration de 'sudo' (sur une Lenny).
L'utilisateur dont il est question a un path vers son dossier home relativement long, je me demandais s'il était possible, et de quelle manière, d'indiquer des chemins du genre : mike ALL=NOPASSWD:~/bin/mon-binaire
C'est possible en mettant « mike ALL=NOPASSWD:/home/mike/bin/mon-binaire »
Mais, ça me semble une mauvaise idée. Autant faire « mike ALL=NOPASSWD:ALL », étant donné que mike pourra de toute façon tout lancer en tant que root, s'il peut remplacer mon-binaire par ce qu'il veut (au pif, le binaire de son shell préféré, ou un wrapper vers ce binaire).
++ Ken-Patrick
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 25/09/2011 19:12, "Gaël - www.CoteObscur.net" a écrit :
Bonsoir.
Je sèche un peu sur un aspect de la configuration de 'sudo' (sur une Lenny).
L'utilisateur dont il est question a un path vers son dossier home
relativement long, je me demandais s'il était possible, et de quelle
manière, d'indiquer des chemins du genre :
mike ALL=NOPASSWD:~/bin/mon-binaire
C'est possible en mettant « mike ALL=NOPASSWD:/home/mike/bin/mon-binaire »
Mais, ça me semble une mauvaise idée. Autant faire « mike
ALL=NOPASSWD:ALL », étant donné que mike pourra de toute façon tout
lancer en tant que root, s'il peut remplacer mon-binaire par ce qu'il
veut (au pif, le binaire de son shell préféré, ou un wrapper vers ce
binaire).
++
Ken-Patrick
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4E7F778B.4010501@gmail.com
Le 25/09/2011 19:12, "Gaël - www.CoteObscur.net" a écrit :
Bonsoir. Je sèche un peu sur un aspect de la configuration de 'sudo' (sur une Lenny).
L'utilisateur dont il est question a un path vers son dossier home relativement long, je me demandais s'il était possible, et de quelle manière, d'indiquer des chemins du genre : mike ALL=NOPASSWD:~/bin/mon-binaire
C'est possible en mettant « mike ALL=NOPASSWD:/home/mike/bin/mon-binaire »
Mais, ça me semble une mauvaise idée. Autant faire « mike ALL=NOPASSWD:ALL », étant donné que mike pourra de toute façon tout lancer en tant que root, s'il peut remplacer mon-binaire par ce qu'il veut (au pif, le binaire de son shell préféré, ou un wrapper vers ce binaire).
++ Ken-Patrick
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Basile Starynkevitch
On Sun, 25 Sep 2011 20:48:43 +0200 Ken-Patrick Lehrmann wrote:
Le 25/09/2011 19:12, "Gaël - www.CoteObscur.net" a écrit : > Bonsoir. > Je sèche un peu sur un aspect de la configuration de 'sudo' (sur une Lenny). > > L'utilisateur dont il est question a un path vers son dossier home > relativement long, je me demandais s'il était possible, et de quelle > manière, d'indiquer des chemins du genre :
C'est possible en mettant « mike ALL=NOPASSWD:/home/mike/bin/mon-bina ire »
Mais, ça me semble une mauvaise idée. Autant faire « mike ALL=NOPASSWD:ALL », étant donné que mike pourra de toute façon tout lancer en tant que root, s'il peut remplacer mon-binaire par ce qu'il veut (au pif, le binaire de son shell préféré, ou un wrapper vers ce binaire).
Si on tient absolument à limiter un utilisateur précis à quelques scr ipts précis à tourner sous root, on pourrait peut-être utiliser le paquet (et la comman de) super. On peut aussi coder un wrapper en C qui soit setuid. Mais je n'en connais pas plus, n'ayant pas ce genre de besoins.
Et à mon avis, si on se méfie de l'utilisateur à qui on donne accès à ce genre de choses, il faut faire *très* attention. En particulier parce que pas mal de comma ndes donnent la possibilité de lancer un shell, et une fois qu'on a lancé un shell sous root on peut tout faire.
Cordialement.
-- Basile STARYNKEVITCH http://starynkevitch.net/Basile/ email: basile<at>starynkevitch<dot>net mobile: +33 6 8501 2359 8, rue de la Faiencerie, 92340 Bourg La Reine, France *** opinions {are only mine, sont seulement les miennes} ***
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 25/09/2011 19:12, "Gaël - www.CoteObscur.net" a écrit :
> Bonsoir.
> Je sèche un peu sur un aspect de la configuration de 'sudo' (sur une Lenny).
>
> L'utilisateur dont il est question a un path vers son dossier home
> relativement long, je me demandais s'il était possible, et de quelle
> manière, d'indiquer des chemins du genre :
C'est possible en mettant « mike ALL=NOPASSWD:/home/mike/bin/mon-bina ire »
Mais, ça me semble une mauvaise idée. Autant faire « mike
ALL=NOPASSWD:ALL », étant donné que mike pourra de toute façon tout
lancer en tant que root, s'il peut remplacer mon-binaire par ce qu'il
veut (au pif, le binaire de son shell préféré, ou un wrapper vers ce
binaire).
Si on tient absolument à limiter un utilisateur précis à quelques scr ipts précis à
tourner sous root, on pourrait peut-être utiliser le paquet (et la comman de) super. On
peut aussi coder un wrapper en C qui soit setuid. Mais je n'en connais pas plus, n'ayant
pas ce genre de besoins.
Et à mon avis, si on se méfie de l'utilisateur à qui on donne accès à ce genre de choses,
il faut faire *très* attention. En particulier parce que pas mal de comma ndes donnent la
possibilité de lancer un shell, et une fois qu'on a lancé un shell sous root on peut tout
faire.
Cordialement.
--
Basile STARYNKEVITCH http://starynkevitch.net/Basile/
email: basile<at>starynkevitch<dot>net mobile: +33 6 8501 2359
8, rue de la Faiencerie, 92340 Bourg La Reine, France
*** opinions {are only mine, sont seulement les miennes} ***
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110925212254.483dd85b8d12cce428fbae2a@starynkevitch.net
On Sun, 25 Sep 2011 20:48:43 +0200 Ken-Patrick Lehrmann wrote:
Le 25/09/2011 19:12, "Gaël - www.CoteObscur.net" a écrit : > Bonsoir. > Je sèche un peu sur un aspect de la configuration de 'sudo' (sur une Lenny). > > L'utilisateur dont il est question a un path vers son dossier home > relativement long, je me demandais s'il était possible, et de quelle > manière, d'indiquer des chemins du genre :
C'est possible en mettant « mike ALL=NOPASSWD:/home/mike/bin/mon-bina ire »
Mais, ça me semble une mauvaise idée. Autant faire « mike ALL=NOPASSWD:ALL », étant donné que mike pourra de toute façon tout lancer en tant que root, s'il peut remplacer mon-binaire par ce qu'il veut (au pif, le binaire de son shell préféré, ou un wrapper vers ce binaire).
Si on tient absolument à limiter un utilisateur précis à quelques scr ipts précis à tourner sous root, on pourrait peut-être utiliser le paquet (et la comman de) super. On peut aussi coder un wrapper en C qui soit setuid. Mais je n'en connais pas plus, n'ayant pas ce genre de besoins.
Et à mon avis, si on se méfie de l'utilisateur à qui on donne accès à ce genre de choses, il faut faire *très* attention. En particulier parce que pas mal de comma ndes donnent la possibilité de lancer un shell, et une fois qu'on a lancé un shell sous root on peut tout faire.
Cordialement.
-- Basile STARYNKEVITCH http://starynkevitch.net/Basile/ email: basile<at>starynkevitch<dot>net mobile: +33 6 8501 2359 8, rue de la Faiencerie, 92340 Bourg La Reine, France *** opinions {are only mine, sont seulement les miennes} ***
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Aéris
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Le 25/09/2011 20:00, "Gaël - www.CoteObscur.net" a écrit :
Bonsoir. Je sèche un peu sur un aspect de la configuration de 'sudo' (sur une Lenny).
L'utilisateur dont il est question a un path vers son dossier home relativement long, je me demandais s'il était possible, et de quelle manière, d'indiquer des chemins du genre : mike ALL=NOPASSWD:~/bin/mon-binaire
Avec cette syntaxe par exemple, visudo m'indique très clairement un défaut dans la syntaxe. Une idée pour résoudre ça, ou je mets tous les chemins absolus des binaires ?
$HOME ne passe pas mieux ?
- -- Aeris -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/4e7f79c5$0$32187$
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Le 25/09/2011 20:00, "Gaël - www.CoteObscur.net" a écrit :
Bonsoir.
Je sèche un peu sur un aspect de la configuration de 'sudo' (sur une Lenny).
L'utilisateur dont il est question a un path vers son dossier home
relativement long, je me demandais s'il était possible, et de quelle
manière, d'indiquer des chemins du genre :
mike ALL=NOPASSWD:~/bin/mon-binaire
Avec cette syntaxe par exemple, visudo m'indique très clairement un défaut
dans la syntaxe. Une idée pour résoudre ça, ou je mets tous les chemins
absolus des binaires ?
$HOME ne passe pas mieux ?
- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4e7f79c5$0$32187$426a74cc@news.free.fr
Le 25/09/2011 20:00, "Gaël - www.CoteObscur.net" a écrit :
Bonsoir. Je sèche un peu sur un aspect de la configuration de 'sudo' (sur une Lenny).
L'utilisateur dont il est question a un path vers son dossier home relativement long, je me demandais s'il était possible, et de quelle manière, d'indiquer des chemins du genre : mike ALL=NOPASSWD:~/bin/mon-binaire
Avec cette syntaxe par exemple, visudo m'indique très clairement un défaut dans la syntaxe. Une idée pour résoudre ça, ou je mets tous les chemins absolus des binaires ?
$HOME ne passe pas mieux ?
- -- Aeris -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/4e7f79c5$0$32187$
Gaël - www.CoteObscur.net
Merci de l'idée (déjà testée malheureusement) mais non, pas mieux, comme avec le tilde, visudo check la syntaxe à la fin de l'édition du fichier, et indique une erreur.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/4e7f79c5$0$32187$
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Merci de l'idée (déjà testée malheureusement) mais non, pas mieux, comme
avec le tilde, visudo check la syntaxe à la fin de l'édition du fichier,
et indique une erreur.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4e7f79c5$0$32187$426a74cc@news.free.fr
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/470b4a78c3e1f770f05cce5e933f8179.squirrel@webmail.internetcom.tm.fr
Merci de l'idée (déjà testée malheureusement) mais non, pas mieux, comme avec le tilde, visudo check la syntaxe à la fin de l'édition du fichier, et indique une erreur.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/4e7f79c5$0$32187$
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Pierre Meurisse
Bonjour,
On Sun, Sep 25, 2011 at 09:22:54PM +0200, Basile Starynkevitch wrote:
On Sun, 25 Sep 2011 20:48:43 +0200 Ken-Patrick Lehrmann wrote:
> Le 25/09/2011 19:12, "Gaël - www.CoteObscur.net" a écrit : > > Bonsoir. > > Je sèche un peu sur un aspect de la configuration de 'sudo' (sur une Lenny). > > > > L'utilisateur dont il est question a un path vers son dossier home > > relativement long, je me demandais s'il était possible, et de quelle > > manière, d'indiquer des chemins du genre : > > C'est possible en mettant « mike ALL=NOPASSWD:/home/mike/bin/mon-binaire » > > Mais, ça me semble une mauvaise idée. Autant faire « mike > ALL=NOPASSWD:ALL », étant donné que mike pourra de toute façon tout > lancer en tant que root, s'il peut remplacer mon-binaire par ce qu'il > veut (au pif, le binaire de son shell préféré, ou un wrapper vers ce > binaire).
Si on tient absolument à limiter un utilisateur précis à quelques scripts précis à tourner sous root, on pourrait peut-être utiliser le paquet (et la commande) super. On peut aussi coder un wrapper en C qui soit setuid. Mais je n'en connais pas plus, n'ayant pas ce genre de besoins.
Et à mon avis, si on se méfie de l'utilisateur à qui on donne accès à ce genre de choses, il faut faire *très* attention. En particulier parce que pas mal de commandes donnent la possibilité de lancer un shell, et une fois qu'on a lancé un shell sous root on peut tout faire.
Si on met mon-binaire par exemple dans /usr/local/bin, l'utilisateur ne peut pas le modifier. My two cents.
Cordialement.
-- Pierre Meurisse
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Bonjour,
On Sun, Sep 25, 2011 at 09:22:54PM +0200, Basile Starynkevitch wrote:
> Le 25/09/2011 19:12, "Gaël - www.CoteObscur.net" a écrit :
> > Bonsoir.
> > Je sèche un peu sur un aspect de la configuration de 'sudo' (sur une Lenny).
> >
> > L'utilisateur dont il est question a un path vers son dossier home
> > relativement long, je me demandais s'il était possible, et de quelle
> > manière, d'indiquer des chemins du genre :
>
> C'est possible en mettant « mike ALL=NOPASSWD:/home/mike/bin/mon-binaire »
>
> Mais, ça me semble une mauvaise idée. Autant faire « mike
> ALL=NOPASSWD:ALL », étant donné que mike pourra de toute façon tout
> lancer en tant que root, s'il peut remplacer mon-binaire par ce qu'il
> veut (au pif, le binaire de son shell préféré, ou un wrapper vers ce
> binaire).
Si on tient absolument à limiter un utilisateur précis à quelques scripts précis à
tourner sous root, on pourrait peut-être utiliser le paquet (et la commande) super. On
peut aussi coder un wrapper en C qui soit setuid. Mais je n'en connais pas plus, n'ayant
pas ce genre de besoins.
Et à mon avis, si on se méfie de l'utilisateur à qui on donne accès à ce genre de choses,
il faut faire *très* attention. En particulier parce que pas mal de commandes donnent la
possibilité de lancer un shell, et une fois qu'on a lancé un shell sous root on peut tout
faire.
Si on met mon-binaire par exemple dans /usr/local/bin, l'utilisateur ne peut pas le
modifier.
My two cents.
Cordialement.
--
Pierre Meurisse
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110926014208.GA7311@asusid.bureau.maison
On Sun, Sep 25, 2011 at 09:22:54PM +0200, Basile Starynkevitch wrote:
On Sun, 25 Sep 2011 20:48:43 +0200 Ken-Patrick Lehrmann wrote:
> Le 25/09/2011 19:12, "Gaël - www.CoteObscur.net" a écrit : > > Bonsoir. > > Je sèche un peu sur un aspect de la configuration de 'sudo' (sur une Lenny). > > > > L'utilisateur dont il est question a un path vers son dossier home > > relativement long, je me demandais s'il était possible, et de quelle > > manière, d'indiquer des chemins du genre : > > C'est possible en mettant « mike ALL=NOPASSWD:/home/mike/bin/mon-binaire » > > Mais, ça me semble une mauvaise idée. Autant faire « mike > ALL=NOPASSWD:ALL », étant donné que mike pourra de toute façon tout > lancer en tant que root, s'il peut remplacer mon-binaire par ce qu'il > veut (au pif, le binaire de son shell préféré, ou un wrapper vers ce > binaire).
Si on tient absolument à limiter un utilisateur précis à quelques scripts précis à tourner sous root, on pourrait peut-être utiliser le paquet (et la commande) super. On peut aussi coder un wrapper en C qui soit setuid. Mais je n'en connais pas plus, n'ayant pas ce genre de besoins.
Et à mon avis, si on se méfie de l'utilisateur à qui on donne accès à ce genre de choses, il faut faire *très* attention. En particulier parce que pas mal de commandes donnent la possibilité de lancer un shell, et une fois qu'on a lancé un shell sous root on peut tout faire.
Si on met mon-binaire par exemple dans /usr/local/bin, l'utilisateur ne peut pas le modifier. My two cents.
Cordialement.
-- Pierre Meurisse
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
