Re: sudo
Bonjour,
On Sun, Sep 25, 2011 at 09:22:54PM +0200, Basile Starynkevitch wrote:
> On Sun, 25 Sep 2011 20:48:43 +0200
> Ken-Patrick Lehrmann <kp.lehrmann@gmail.com> wrote:
>
> > Le 25/09/2011 19:12, "Gaël - www.CoteObscur.net" a écrit :
> > > Bonsoir.
> > > Je sèche un peu sur un aspect de la configuration de 'sudo' (sur une Lenny).
> > >
> > > L'utilisateur dont il est question a un path vers son dossier home
> > > relativement long, je me demandais s'il était possible, et de quelle
> > > manière, d'indiquer des chemins du genre :
> >
> > C'est possible en mettant « mike ALL=NOPASSWD:/home/mike/bin/mon-binaire »
> >
> > Mais, ça me semble une mauvaise idée. Autant faire « mike
> > ALL=NOPASSWD:ALL », étant donné que mike pourra de toute façon tout
> > lancer en tant que root, s'il peut remplacer mon-binaire par ce qu'il
> > veut (au pif, le binaire de son shell préféré, ou un wrapper vers ce
> > binaire).
>
> Si on tient absolument à limiter un utilisateur précis à quelques scripts précis à
> tourner sous root, on pourrait peut-être utiliser le paquet (et la commande) super. On
> peut aussi coder un wrapper en C qui soit setuid. Mais je n'en connais pas plus, n'ayant
> pas ce genre de besoins.
>
> Et à mon avis, si on se méfie de l'utilisateur à qui on donne accès à ce genre de choses,
> il faut faire *très* attention. En particulier parce que pas mal de commandes donnent la
> possibilité de lancer un shell, et une fois qu'on a lancé un shell sous root on peut tout
> faire.
>
Si on met mon-binaire par exemple dans /usr/local/bin, l'utilisateur ne peut pas le
modifier.
My two cents.
Cordialement.
--
Pierre Meurisse
Reply to:
- References:
- [no subject]
- From: "Gaël - www.CoteObscur.net" <gael@coteobscur.net>
- Re: sudo
- From: Ken-Patrick Lehrmann <kp.lehrmann@gmail.com>
- Re: sudo
- From: Basile Starynkevitch <basile@starynkevitch.net>