Bonsoir la liste.
Je souhaiterais empêcher les utilisateurs ayant accès à la commande
sudo d'éditer le fichier /etc/sudoers.
J'ai bien inséré la ligne dans mon fichier:
nom_Utilisateur ALL=(ALL:ALL) ALL,!/usr/sbin/visudo
J'ai ensuite lancé un:
#chown 700 /etc/sudoers
Mais l'utilisateur peut de son côté éditer le fichier et l e modifier
par: $sudo vim /etc/sudoers
Bref, peut-être que je me leurre. A partir du moment où je donne
accès à la commande sudo à des utilisateurs, je me tire un e balle
dans le pied pour ce qui est de la sécurité de ce fichier.
Merci pour vos éventuelles idées
Bonsoir la liste.
Je souhaiterais empêcher les utilisateurs ayant accès à la commande
sudo d'éditer le fichier /etc/sudoers.
J'ai bien inséré la ligne dans mon fichier:
nom_Utilisateur ALL=(ALL:ALL) ALL,!/usr/sbin/visudo
J'ai ensuite lancé un:
#chown 700 /etc/sudoers
Mais l'utilisateur peut de son côté éditer le fichier et l e modifier
par: $sudo vim /etc/sudoers
Bref, peut-être que je me leurre. A partir du moment où je donne
accès à la commande sudo à des utilisateurs, je me tire un e balle
dans le pied pour ce qui est de la sécurité de ce fichier.
Merci pour vos éventuelles idées
Bonsoir la liste.
Je souhaiterais empêcher les utilisateurs ayant accès à la commande
sudo d'éditer le fichier /etc/sudoers.
J'ai bien inséré la ligne dans mon fichier:
nom_Utilisateur ALL=(ALL:ALL) ALL,!/usr/sbin/visudo
J'ai ensuite lancé un:
#chown 700 /etc/sudoers
Mais l'utilisateur peut de son côté éditer le fichier et l e modifier
par: $sudo vim /etc/sudoers
Bref, peut-être que je me leurre. A partir du moment où je donne
accès à la commande sudo à des utilisateurs, je me tire un e balle
dans le pied pour ce qui est de la sécurité de ce fichier.
Merci pour vos éventuelles idées
Bonsoir la liste.
Je souhaiterais empêcher les utilisateurs ayant accès à la commande sudo
d'éditer le fichier /etc/sudoers.
J'ai bien inséré la ligne dans mon fichier:
nom_Utilisateur ALL=(ALL:ALL) ALL,!/usr/sbin/visudo
J'ai ensuite lancé un:
#chown 700 /etc/sudoers
Mais l'utilisateur peut de son côté éditer le fichier et l e modifier par:
$sudo vim /etc/sudoers
Bref, peut-être que je me leurre. A partir du moment où je donn e accès Ã
la commande sudo à des utilisateurs, je me tire une balle dans le pi ed pour
ce qui est de la sécurité de ce fichier.
Merci pour vos éventuelles idées
--
Christophe MUSSEAU
(sous Debian GNU/Linux - https://www.debian.org)
Bonsoir la liste.
Je souhaiterais empêcher les utilisateurs ayant accès à la commande sudo
d'éditer le fichier /etc/sudoers.
J'ai bien inséré la ligne dans mon fichier:
nom_Utilisateur ALL=(ALL:ALL) ALL,!/usr/sbin/visudo
J'ai ensuite lancé un:
#chown 700 /etc/sudoers
Mais l'utilisateur peut de son côté éditer le fichier et l e modifier par:
$sudo vim /etc/sudoers
Bref, peut-être que je me leurre. A partir du moment où je donn e accès Ã
la commande sudo à des utilisateurs, je me tire une balle dans le pi ed pour
ce qui est de la sécurité de ce fichier.
Merci pour vos éventuelles idées
--
Christophe MUSSEAU
(sous Debian GNU/Linux - https://www.debian.org)
Bonsoir la liste.
Je souhaiterais empêcher les utilisateurs ayant accès à la commande sudo
d'éditer le fichier /etc/sudoers.
J'ai bien inséré la ligne dans mon fichier:
nom_Utilisateur ALL=(ALL:ALL) ALL,!/usr/sbin/visudo
J'ai ensuite lancé un:
#chown 700 /etc/sudoers
Mais l'utilisateur peut de son côté éditer le fichier et l e modifier par:
$sudo vim /etc/sudoers
Bref, peut-être que je me leurre. A partir du moment où je donn e accès Ã
la commande sudo à des utilisateurs, je me tire une balle dans le pi ed pour
ce qui est de la sécurité de ce fichier.
Merci pour vos éventuelles idées
--
Christophe MUSSEAU
(sous Debian GNU/Linux - https://www.debian.org)
Je n'autorise que quelques commandes.
# Debian tools for administration
Cmnd_Alias DEBIAN_TOOLS = /usr/bin/aptitude,
/usr/bin/apt-cache,
/usr/bin/apt-file,
/usr/bin/apt-get,
/usr/bin/synaptic,
/usr/bin/dpkg,
Je n'autorise que quelques commandes.
# Debian tools for administration
Cmnd_Alias DEBIAN_TOOLS = /usr/bin/aptitude,
/usr/bin/apt-cache,
/usr/bin/apt-file,
/usr/bin/apt-get,
/usr/bin/synaptic,
/usr/bin/dpkg,
Je n'autorise que quelques commandes.
# Debian tools for administration
Cmnd_Alias DEBIAN_TOOLS = /usr/bin/aptitude,
/usr/bin/apt-cache,
/usr/bin/apt-file,
/usr/bin/apt-get,
/usr/bin/synaptic,
/usr/bin/dpkg,
Cmnd_Alias NETWORK = /sbin/ifup,
/sbin/ifdown,
/usr/bin/wireshark,
/usr/bin/tshark,
Cmnd_Alias NETWORK = /sbin/ifup,
/sbin/ifdown,
/usr/bin/wireshark,
/usr/bin/tshark,
Cmnd_Alias NETWORK = /sbin/ifup,
/sbin/ifdown,
/usr/bin/wireshark,
/usr/bin/tshark,
Le Mon, Dec 05, 2016 at 10:31:51PM +0100, Jack.R a écrit :Je n'autorise que quelques commandes.
...# Debian tools for administration
Cmnd_Alias DEBIAN_TOOLS = /usr/bin/aptitude,
/usr/bin/apt-cache,
/usr/bin/apt-file,
/usr/bin/apt-get,
/usr/bin/synaptic,
/usr/bin/dpkg,
Un sudoeur un peu futé peut donc créer un paquet au format Debian qui va
modifier /etc/sudoers via ses « scripts du responsable » scripts de
pré/post (dés)-installation, ou lancer toute autre commande de son gré :)
Comme dit la page de manuel en anglais il est difficile d'empêcher un sudoeur
déterminé de lancer la commande qu'il veut en tant qu'administrateur (« There
is no easy way to prevent a user from gaining a root shell if that user is
allowed to run arbitrary commands via sudo »).
Le Mon, Dec 05, 2016 at 10:31:51PM +0100, Jack.R a écrit :
Je n'autorise que quelques commandes.
...
# Debian tools for administration
Cmnd_Alias DEBIAN_TOOLS = /usr/bin/aptitude,
/usr/bin/apt-cache,
/usr/bin/apt-file,
/usr/bin/apt-get,
/usr/bin/synaptic,
/usr/bin/dpkg,
Un sudoeur un peu futé peut donc créer un paquet au format Debian qui va
modifier /etc/sudoers via ses « scripts du responsable » scripts de
pré/post (dés)-installation, ou lancer toute autre commande de son gré :)
Comme dit la page de manuel en anglais il est difficile d'empêcher un sudoeur
déterminé de lancer la commande qu'il veut en tant qu'administrateur (« There
is no easy way to prevent a user from gaining a root shell if that user is
allowed to run arbitrary commands via sudo »).
Le Mon, Dec 05, 2016 at 10:31:51PM +0100, Jack.R a écrit :Je n'autorise que quelques commandes.
...# Debian tools for administration
Cmnd_Alias DEBIAN_TOOLS = /usr/bin/aptitude,
/usr/bin/apt-cache,
/usr/bin/apt-file,
/usr/bin/apt-get,
/usr/bin/synaptic,
/usr/bin/dpkg,
Un sudoeur un peu futé peut donc créer un paquet au format Debian qui va
modifier /etc/sudoers via ses « scripts du responsable » scripts de
pré/post (dés)-installation, ou lancer toute autre commande de son gré :)
Comme dit la page de manuel en anglais il est difficile d'empêcher un sudoeur
déterminé de lancer la commande qu'il veut en tant qu'administrateur (« There
is no easy way to prevent a user from gaining a root shell if that user is
allowed to run arbitrary commands via sudo »).
Un sudoeur un peu futé peut donc créer un paquet au format Debi an qui va
modifier /etc/sudoers via ses « scripts du responsable » script s de
pré/post (dés)-installation, ou lancer toute autre commande de son gré :)
Comme dit la page de manuel en anglais il est difficile d'empêcher u n
sudoeur
déterminé de lancer la commande qu'il veut en tant qu'administr ateur («
There
is no easy way to prevent a user from gaining a root shell if that user i s
allowed to run arbitrary commands via sudo »).
Un sudoeur un peu futé peut donc créer un paquet au format Debi an qui va
modifier /etc/sudoers via ses « scripts du responsable » script s de
pré/post (dés)-installation, ou lancer toute autre commande de son gré :)
Comme dit la page de manuel en anglais il est difficile d'empêcher u n
sudoeur
déterminé de lancer la commande qu'il veut en tant qu'administr ateur («
There
is no easy way to prevent a user from gaining a root shell if that user i s
allowed to run arbitrary commands via sudo »).
Un sudoeur un peu futé peut donc créer un paquet au format Debi an qui va
modifier /etc/sudoers via ses « scripts du responsable » script s de
pré/post (dés)-installation, ou lancer toute autre commande de son gré :)
Comme dit la page de manuel en anglais il est difficile d'empêcher u n
sudoeur
déterminé de lancer la commande qu'il veut en tant qu'administr ateur («
There
is no easy way to prevent a user from gaining a root shell if that user i s
allowed to run arbitrary commands via sudo »).
⦠5 décembre 2016 22:31 +0100, "Jack.R"  :/usr/bin/wireshark,
/usr/bin/tshark,
Préférable de les lancer en non root et de configurer dumpcap p our
être exécuté par l'utilisateur (dpkg-reconfigure wireshark -common).
⦠5 décembre 2016 22:31 +0100, "Jack.R" <jack.r@free.fr>  :
> /usr/bin/wireshark,
> /usr/bin/tshark,
Préférable de les lancer en non root et de configurer dumpcap p our
être exécuté par l'utilisateur (dpkg-reconfigure wireshark -common).
⦠5 décembre 2016 22:31 +0100, "Jack.R"  :/usr/bin/wireshark,
/usr/bin/tshark,
Préférable de les lancer en non root et de configurer dumpcap p our
être exécuté par l'utilisateur (dpkg-reconfigure wireshark -common).
Le Mon, Dec 05, 2016 at 10:31:51PM +0100, Jack.R a écrit :Je n'autorise que quelques commandes....# Debian tools for administration
Cmnd_Alias DEBIAN_TOOLS = /usr/bin/aptitude,
/usr/bin/apt-cache,
/usr/bin/apt-file,
/usr/bin/apt-get,
/usr/bin/synaptic,
/usr/bin/dpkg,
Un sudoeur un peu futé peut donc créer un paquet au format Debi an qui
va modifier /etc/sudoers via ses « scripts du responsable » scripts de
pré/post (dés)-installation, ou lancer toute autre commande de son
gré :)
Comme dit la page de manuel en anglais il est difficile d'empêcher un
sudoeur déterminé de lancer la commande qu'il veut en tant
qu'administrateur (« There is no easy way to prevent a user from
gaining a root shell if that user is allowed to run arbitrary
commands via sudo »).
Amicalement,
Le Mon, Dec 05, 2016 at 10:31:51PM +0100, Jack.R a écrit :
>
> Je n'autorise que quelques commandes.
...
> # Debian tools for administration
> Cmnd_Alias DEBIAN_TOOLS = /usr/bin/aptitude,
> /usr/bin/apt-cache,
> /usr/bin/apt-file,
> /usr/bin/apt-get,
> /usr/bin/synaptic,
> /usr/bin/dpkg,
Un sudoeur un peu futé peut donc créer un paquet au format Debi an qui
va modifier /etc/sudoers via ses « scripts du responsable » scripts de
pré/post (dés)-installation, ou lancer toute autre commande de son
gré :)
Comme dit la page de manuel en anglais il est difficile d'empêcher un
sudoeur déterminé de lancer la commande qu'il veut en tant
qu'administrateur (« There is no easy way to prevent a user from
gaining a root shell if that user is allowed to run arbitrary
commands via sudo »).
Amicalement,
Le Mon, Dec 05, 2016 at 10:31:51PM +0100, Jack.R a écrit :Je n'autorise que quelques commandes....# Debian tools for administration
Cmnd_Alias DEBIAN_TOOLS = /usr/bin/aptitude,
/usr/bin/apt-cache,
/usr/bin/apt-file,
/usr/bin/apt-get,
/usr/bin/synaptic,
/usr/bin/dpkg,
Un sudoeur un peu futé peut donc créer un paquet au format Debi an qui
va modifier /etc/sudoers via ses « scripts du responsable » scripts de
pré/post (dés)-installation, ou lancer toute autre commande de son
gré :)
Comme dit la page de manuel en anglais il est difficile d'empêcher un
sudoeur déterminé de lancer la commande qu'il veut en tant
qu'administrateur (« There is no easy way to prevent a user from
gaining a root shell if that user is allowed to run arbitrary
commands via sudo »).
Amicalement,
Le sudoeur en question doit faire partie du groupe ADMIN_TEAM
(administration distante) ou être loggé en tant que toto
(administration locale).
Il s'agit donc de personnes dites de confiance dans la mesure où on
leur a délégué une part d'administration de la machine.
Si elles ne sont pas de confiance, il n'y a aucune raison de donner des
droits sudo.
Le sudoeur en question doit faire partie du groupe ADMIN_TEAM
(administration distante) ou être loggé en tant que toto
(administration locale).
Il s'agit donc de personnes dites de confiance dans la mesure où on
leur a délégué une part d'administration de la machine.
Si elles ne sont pas de confiance, il n'y a aucune raison de donner des
droits sudo.
Le sudoeur en question doit faire partie du groupe ADMIN_TEAM
(administration distante) ou être loggé en tant que toto
(administration locale).
Il s'agit donc de personnes dites de confiance dans la mesure où on
leur a délégué une part d'administration de la machine.
Si elles ne sont pas de confiance, il n'y a aucune raison de donner des
droits sudo.
Le seul usage de sudoers que je fais, pour ma part, c'est la possibilité
de passer en root depuis mon user normal sans être obligé de rentrer le
mot de passe. Et ce, uniquement sur mon poste de travail.
Le seul usage de sudoers que je fais, pour ma part, c'est la possibilité
de passer en root depuis mon user normal sans être obligé de rentrer le
mot de passe. Et ce, uniquement sur mon poste de travail.
Le seul usage de sudoers que je fais, pour ma part, c'est la possibilité
de passer en root depuis mon user normal sans être obligé de rentrer le
mot de passe. Et ce, uniquement sur mon poste de travail.