Re: sudo
On Sun, 25 Sep 2011 20:48:43 +0200
Ken-Patrick Lehrmann <kp.lehrmann@gmail.com> wrote:
> Le 25/09/2011 19:12, "Gaël - www.CoteObscur.net" a écrit :
> > Bonsoir.
> > Je sèche un peu sur un aspect de la configuration de 'sudo' (sur une Lenny).
> >
> > L'utilisateur dont il est question a un path vers son dossier home
> > relativement long, je me demandais s'il était possible, et de quelle
> > manière, d'indiquer des chemins du genre :
>
> C'est possible en mettant « mike ALL=NOPASSWD:/home/mike/bin/mon-binaire »
>
> Mais, ça me semble une mauvaise idée. Autant faire « mike
> ALL=NOPASSWD:ALL », étant donné que mike pourra de toute façon tout
> lancer en tant que root, s'il peut remplacer mon-binaire par ce qu'il
> veut (au pif, le binaire de son shell préféré, ou un wrapper vers ce
> binaire).
Si on tient absolument à limiter un utilisateur précis à quelques scripts précis à
tourner sous root, on pourrait peut-être utiliser le paquet (et la commande) super. On
peut aussi coder un wrapper en C qui soit setuid. Mais je n'en connais pas plus, n'ayant
pas ce genre de besoins.
Et à mon avis, si on se méfie de l'utilisateur à qui on donne accès à ce genre de choses,
il faut faire *très* attention. En particulier parce que pas mal de commandes donnent la
possibilité de lancer un shell, et une fois qu'on a lancé un shell sous root on peut tout
faire.
Cordialement.
--
Basile STARYNKEVITCH http://starynkevitch.net/Basile/
email: basile<at>starynkevitch<dot>net mobile: +33 6 8501 2359
8, rue de la Faiencerie, 92340 Bourg La Reine, France
*** opinions {are only mine, sont seulement les miennes} ***
Reply to:
- Follow-Ups:
- Re: sudo
- From: Pierre Meurisse <pierre.meurisse@laposte.net>
- References:
- [no subject]
- From: "Gaël - www.CoteObscur.net" <gael@coteobscur.net>
- Re: sudo
- From: Ken-Patrick Lehrmann <kp.lehrmann@gmail.com>