Re: [HS]/etc/sudoers

To: debian-user-french@lists.debian.org
Subject: Re: [HS]/etc/sudoers
From: Charles Plessy <plessy@debian.org>
Date: Tue, 6 Dec 2016 16:38:29 +0900
Message-id: <[🔎] 20161206073829.GC28779@falafel.plessy.net>
Mail-followup-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 20161205223151.53cc75e1@traveller.ajs.home>
References: <[🔎] CABxKYgfV1U8JAgaLWB=6v_TFPUMFkxzf7ajLZXRaSGWimFfAvA@mail.gmail.com> <[🔎] 20161205223151.53cc75e1@traveller.ajs.home>

Le Mon, Dec 05, 2016 at 10:31:51PM +0100, Jack.R a écrit :
> 
> Je n'autorise que quelques commandes.
... 
> # Debian tools for administration
> Cmnd_Alias	DEBIAN_TOOLS = 	/usr/bin/aptitude, \
> 				/usr/bin/apt-cache, \
> 				/usr/bin/apt-file, \
> 				/usr/bin/apt-get, \
> 				/usr/bin/synaptic, \
> 				/usr/bin/dpkg, \

Un sudoeur un peu futé peut donc créer un paquet au format Debian qui va
modifier /etc/sudoers via ses « scripts du responsable » scripts de
pré/post (dés)-installation, ou lancer toute autre commande de son gré :)

Comme dit la page de manuel en anglais il est difficile d'empêcher un sudoeur
déterminé de lancer la commande qu'il veut en tant qu'administrateur (« There
is no easy way to prevent a user from gaining a root shell if that user is
allowed to run arbitrary commands via sudo »).

Amicalement,

-- 
Charles, depuis l'aéroport de Naha, Okinawa, Japon :)

Reply to:

Follow-Ups:
- Re: [HS]/etc/sudoers
  - From: BERTRAND Joël <joel.bertrand@systella.fr>
- Re: [HS]/etc/sudoers
  - From: "Jack.R" <jack.r@free.fr>

References:
- [HS]/etc/sudoers
  - From: Christophe Musseau <christo.2so@gmail.com>
- Re: [HS]/etc/sudoers
  - From: "Jack.R" <jack.r@free.fr>

Prev by Date: Re: [HS]/etc/sudoers
Next by Date: Autonomie après un suspend
Previous by thread: Re: [HS]/etc/sudoers
Next by thread: Re: [HS]/etc/sudoers
Index(es):
- Date
- Thread