Re: [HS]/etc/sudoers
Le Tue, 6 Dec 2016 16:38:29 +0900,
Charles Plessy <plessy@debian.org> a écrit :
> Le Mon, Dec 05, 2016 at 10:31:51PM +0100, Jack.R a écrit :
> >
> > Je n'autorise que quelques commandes.
> ...
> > # Debian tools for administration
> > Cmnd_Alias DEBIAN_TOOLS = /usr/bin/aptitude, \
> > /usr/bin/apt-cache, \
> > /usr/bin/apt-file, \
> > /usr/bin/apt-get, \
> > /usr/bin/synaptic, \
> > /usr/bin/dpkg, \
>
> Un sudoeur un peu futé peut donc créer un paquet au format Debian qui
> va modifier /etc/sudoers via ses « scripts du responsable » scripts de
> pré/post (dés)-installation, ou lancer toute autre commande de son
> gré :)
>
> Comme dit la page de manuel en anglais il est difficile d'empêcher un
> sudoeur déterminé de lancer la commande qu'il veut en tant
> qu'administrateur (« There is no easy way to prevent a user from
> gaining a root shell if that user is allowed to run arbitrary
> commands via sudo »).
>
> Amicalement,
>
Le sudoeur en question doit faire partie du groupe ADMIN_TEAM
(administration distante) ou être loggé en tant que toto
(administration locale).
Il s'agit donc de personnes dites de confiance dans la mesure où on
leur a délégué une part d'administration de la machine.
Si elles ne sont pas de confiance, il n'y a aucune raison de donner des
droits sudo.
--
Jack.R
Reply to: