Je souhaiterais emp=C3=AAcher les utilisateurs ayant acc=C3=A8s =C3=A0 la c=
ommande sudo
d'=C3=A9diter le fichier /etc/sudoers.
J'ai bien ins=C3=A9r=C3=A9 la ligne dans mon fichier:
nom_Utilisateur ALL=3D(ALL:ALL) ALL,!/usr/sbin/visudo
J'ai ensuite lanc=C3=A9 un:
#chown 700 /etc/sudoers
Mais l'utilisateur peut de son c=C3=B4t=C3=A9 =C3=A9diter le fichier et le =
modifier par:
$sudo vim /etc/sudoers
Bref, peut-=C3=AAtre que je me leurre. A partir du moment o=C3=B9 je donne =
acc=C3=A8s =C3=A0 la
commande sudo =C3=A0 des utilisateurs, je me tire une balle dans le pied po=
ur ce
qui est de la s=C3=A9curit=C3=A9 de ce fichier.
<div dir=3D"ltr"><div><div><div><div><div><div><div><div><div>Bonsoir la li=
ste.<br><br></div>Je souhaiterais emp=C3=AAcher les utilisateurs ayant acc=
=C3=A8s =C3=A0 la commande sudo d'=C3=A9diter le fichier /etc/sudoers.<=
br></div>J'ai bien ins=C3=A9r=C3=A9 la ligne dans mon fichier:<br></div=
>nom_Utilisateur ALL=3D(ALL:ALL) ALL,!/usr/sbin/visudo<br></div>J'ai en=
suite lanc=C3=A9 un:<br></div>#chown 700 /etc/sudoers<br></div>Mais l'u=
tilisateur peut de son c=C3=B4t=C3=A9 =C3=A9diter le fichier et le modifier=
par:<br></div>$sudo vim /etc/sudoers<br><br></div>Bref, peut-=C3=AAtre que=
je me leurre. A partir du moment o=C3=B9 je donne acc=C3=A8s =C3=A0 la com=
mande sudo =C3=A0 des utilisateurs, je me tire une balle dans le pied pour =
ce qui est de la s=C3=A9curit=C3=A9 de ce fichier.<br><br></div>Merci pour =
vos =C3=A9ventuelles id=C3=A9es<br><br clear=3D"all"><div><div><div><div><d=
iv><div><div><div><div><div><div><div><div><br>-- <br><div class=3D"gmail_s=
ignature" data-smartmail=3D"gmail_signature"><div dir=3D"ltr"><div><div dir=
=3D"ltr">Christophe MUSSEAU</div><div dir=3D"ltr">=C2=A0</div><div>(sous De=
bian GNU/Linux - <a href=3D"https://www.debian.org" target=3D"_blank">https=
://www.debian.org</a>)<br><br></div></div></div></div>
</div></div></div></div></div></div></div></div></div></div></div></div></d=
iv></div>
Pour ma part, tout est interdit. Je n'autorise que quelques commandes. Exemple pour l'utilisateur toto # /etc/sudoers.d/toto # # This file MUST be edited with the 'visudo -f ' command as root. # # See the man page for details on how to write a sudoers file. # # Host alias specification # Address range from which command can be used Host_Alias NOC = 192.168.1.0/255.255.255.0 Host_Alias LOC = machine.fqdn, machine,localhost # User alias specification User_Alias ADMIN_TEAM = root, toto # Cmnd alias specification # tail in /var/log directory only Cmnd_Alias TAIL = /usr/bin/tail /var/log/* # Debian tools for administration Cmnd_Alias DEBIAN_TOOLS = /usr/bin/aptitude, /usr/bin/apt-cache, /usr/bin/apt-file, /usr/bin/apt-get, /usr/bin/synaptic, /usr/bin/dpkg, /usr/bin/dpkg-reconfigure # stop running system Cmnd_Alias START_STOP = /sbin/halt, /sbin/reboot # managing network interface Cmnd_Alias NETWORK = /sbin/ifup, /sbin/ifdown, /etc/init.d/fwbuilder, /usr/bin/wireshark, /usr/bin/tshark, /sbin/iwlist, /sbin/iwconfig, /usr/sbin/wifi-radar, /usr/sbin/wpa_gui, /opt/wicd/gui.py # User privilege specification root ALL=(ALL:ALL) ALL ADMIN_TEAM NOC = NOPASSWD: DEBIAN_TOOLS, TAIL toto LOC = NOPASSWD: DEBIAN_TOOLS, TAIL, START_STOP,NETWORK -- Jack.R
Pour ma part, tout est interdit.
Je n'autorise que quelques commandes.
Exemple pour l'utilisateur toto
# /etc/sudoers.d/toto
#
# This file MUST be edited with the 'visudo -f ' command as root.
#
# See the man page for details on how to write a sudoers file.
#
# Host alias specification
# Address range from which command can be used
Host_Alias NOC = 192.168.1.0/255.255.255.0
Host_Alias LOC = machine.fqdn, machine,localhost
# User alias specification
User_Alias ADMIN_TEAM = root, toto
Pour ma part, tout est interdit. Je n'autorise que quelques commandes. Exemple pour l'utilisateur toto # /etc/sudoers.d/toto # # This file MUST be edited with the 'visudo -f ' command as root. # # See the man page for details on how to write a sudoers file. # # Host alias specification # Address range from which command can be used Host_Alias NOC = 192.168.1.0/255.255.255.0 Host_Alias LOC = machine.fqdn, machine,localhost # User alias specification User_Alias ADMIN_TEAM = root, toto # Cmnd alias specification # tail in /var/log directory only Cmnd_Alias TAIL = /usr/bin/tail /var/log/* # Debian tools for administration Cmnd_Alias DEBIAN_TOOLS = /usr/bin/aptitude, /usr/bin/apt-cache, /usr/bin/apt-file, /usr/bin/apt-get, /usr/bin/synaptic, /usr/bin/dpkg, /usr/bin/dpkg-reconfigure # stop running system Cmnd_Alias START_STOP = /sbin/halt, /sbin/reboot # managing network interface Cmnd_Alias NETWORK = /sbin/ifup, /sbin/ifdown, /etc/init.d/fwbuilder, /usr/bin/wireshark, /usr/bin/tshark, /sbin/iwlist, /sbin/iwconfig, /usr/sbin/wifi-radar, /usr/sbin/wpa_gui, /opt/wicd/gui.py # User privilege specification root ALL=(ALL:ALL) ALL ADMIN_TEAM NOC = NOPASSWD: DEBIAN_TOOLS, TAIL toto LOC = NOPASSWD: DEBIAN_TOOLS, TAIL, START_STOP,NETWORK -- Jack.R
Un sudoeur un peu futé peut donc créer un paquet au format Debian qui va modifier /etc/sudoers via ses « scripts du responsable » scripts de pré/post (dés)-installation, ou lancer toute autre commande de son gré :) Comme dit la page de manuel en anglais il est difficile d'empêcher un sudoeur déterminé de lancer la commande qu'il veut en tant qu'administrateur (« There is no easy way to prevent a user from gaining a root shell if that user is allowed to run arbitrary commands via sudo »). Amicalement, -- Charles, depuis l'aéroport de Naha, Okinawa, Japon :)
Le Mon, Dec 05, 2016 at 10:31:51PM +0100, Jack.R a écrit :
Un sudoeur un peu futé peut donc créer un paquet au format Debian qui va
modifier /etc/sudoers via ses « scripts du responsable » scripts de
pré/post (dés)-installation, ou lancer toute autre commande de son gré :)
Comme dit la page de manuel en anglais il est difficile d'empêcher un sudoeur
déterminé de lancer la commande qu'il veut en tant qu'administrateur (« There
is no easy way to prevent a user from gaining a root shell if that user is
allowed to run arbitrary commands via sudo »).
Amicalement,
--
Charles, depuis l'aéroport de Naha, Okinawa, Japon :)
Un sudoeur un peu futé peut donc créer un paquet au format Debian qui va modifier /etc/sudoers via ses « scripts du responsable » scripts de pré/post (dés)-installation, ou lancer toute autre commande de son gré :) Comme dit la page de manuel en anglais il est difficile d'empêcher un sudoeur déterminé de lancer la commande qu'il veut en tant qu'administrateur (« There is no easy way to prevent a user from gaining a root shell if that user is allowed to run arbitrary commands via sudo »). Amicalement, -- Charles, depuis l'aéroport de Naha, Okinawa, Japon :)
Un sudoeur un peu futé peut donc créer un paquet au format Debian qui va modifier /etc/sudoers via ses « scripts du responsable » scripts de pré/post (dés)-installation, ou lancer toute autre commande de son gré :) Comme dit la page de manuel en anglais il est difficile d'empêcher un sudoeur déterminé de lancer la commande qu'il veut en tant qu'administrateur (« There is no easy way to prevent a user from gaining a root shell if that user is allowed to run arbitrary commands via sudo »).
Eh oui. C'est bien pour cela que je ne configure jamais ce truc. C'est une fausse bonne idée puisque sudo permet l'exploitation d'une foultitude de failles qu'il a lui même ouvert. Il y a effectivement la faille apt/dpkg, mais il y a tout un tas de trucs bien plus sournois et difficilement prévisibles. Cordialement, JKB
Charles Plessy a écrit :
Le Mon, Dec 05, 2016 at 10:31:51PM +0100, Jack.R a écrit :
Un sudoeur un peu futé peut donc créer un paquet au format Debian qui va
modifier /etc/sudoers via ses « scripts du responsable » scripts de
pré/post (dés)-installation, ou lancer toute autre commande de son gré :)
Comme dit la page de manuel en anglais il est difficile d'empêcher un sudoeur
déterminé de lancer la commande qu'il veut en tant qu'administrateur (« There
is no easy way to prevent a user from gaining a root shell if that user is
allowed to run arbitrary commands via sudo »).
Eh oui. C'est bien pour cela que je ne configure jamais ce truc. C'est
une fausse bonne idée puisque sudo permet l'exploitation d'une
foultitude de failles qu'il a lui même ouvert. Il y a effectivement la
faille apt/dpkg, mais il y a tout un tas de trucs bien plus sournois et
difficilement prévisibles.
Un sudoeur un peu futé peut donc créer un paquet au format Debian qui va modifier /etc/sudoers via ses « scripts du responsable » scripts de pré/post (dés)-installation, ou lancer toute autre commande de son gré :) Comme dit la page de manuel en anglais il est difficile d'empêcher un sudoeur déterminé de lancer la commande qu'il veut en tant qu'administrateur (« There is no easy way to prevent a user from gaining a root shell if that user is allowed to run arbitrary commands via sudo »).
Eh oui. C'est bien pour cela que je ne configure jamais ce truc. C'est une fausse bonne idée puisque sudo permet l'exploitation d'une foultitude de failles qu'il a lui même ouvert. Il y a effectivement la faille apt/dpkg, mais il y a tout un tas de trucs bien plus sournois et difficilement prévisibles. Cordialement, JKB
On Wed, Dec 07, 2016 at 08:27:08PM +0100, François TOURDE wrote:
Le seul usage de sudoers que je fais, pour ma part, c'est la possibilité de passer en root depuis mon user normal sans être obligé de rentrer le mot de passe. Et ce, uniquement sur mon poste de travail.
C'est pas tout à fait pareil: un avantage de sudoers, c'est d'attribuer des droits qu'on peut révoquer par utilisateurs, alors que si tu donnes le mot de passe root, il faut changer le mot de passe et le redistribuer si tu veux retirer les droits à un utilisateur. Perso, c'est plutôt le contraire: je ne conçois pas un serveur partagé où on s'amuse à distribuer le mot de passe root. Y.
On Wed, Dec 07, 2016 at 08:27:08PM +0100, François TOURDE wrote:
Le seul usage de sudoers que je fais, pour ma part, c'est la possibilité
de passer en root depuis mon user normal sans être obligé de rentrer le
mot de passe. Et ce, uniquement sur mon poste de travail.
C'est pas tout à fait pareil: un avantage de sudoers, c'est
d'attribuer des droits qu'on peut révoquer par utilisateurs,
alors que si tu donnes le mot de passe root, il faut changer
le mot de passe et le redistribuer si tu veux retirer les
droits à un utilisateur.
Perso, c'est plutôt le contraire: je ne conçois pas un
serveur partagé où on s'amuse à distribuer le mot de passe
root.
On Wed, Dec 07, 2016 at 08:27:08PM +0100, François TOURDE wrote:
Le seul usage de sudoers que je fais, pour ma part, c'est la possibilité de passer en root depuis mon user normal sans être obligé de rentrer le mot de passe. Et ce, uniquement sur mon poste de travail.
C'est pas tout à fait pareil: un avantage de sudoers, c'est d'attribuer des droits qu'on peut révoquer par utilisateurs, alors que si tu donnes le mot de passe root, il faut changer le mot de passe et le redistribuer si tu veux retirer les droits à un utilisateur. Perso, c'est plutôt le contraire: je ne conçois pas un serveur partagé où on s'amuse à distribuer le mot de passe root. Y.