Le Mon, Dec 05, 2016 at 10:31:51PM +0100, Jack.R a écrit :
Je n'autorise que quelques commandes.
...
# Debian tools for administration
Cmnd_Alias DEBIAN_TOOLS = /usr/bin/aptitude, \
/usr/bin/apt-cache, \
/usr/bin/apt-file, \
/usr/bin/apt-get, \
/usr/bin/synaptic, \
/usr/bin/dpkg, \
Un sudoeur un peu futé peut donc créer un paquet au format Debian qui va
modifier /etc/sudoers via ses « scripts du responsable » scripts de
pré/post (dés)-installation, ou lancer toute autre commande de son gré :)
Comme dit la page de manuel en anglais il est difficile d'empêcher un sudoeur
déterminé de lancer la commande qu'il veut en tant qu'administrateur (« There
is no easy way to prevent a user from gaining a root shell if that user is
allowed to run arbitrary commands via sudo »).