Actualités

Sécuriser visudo
clockEcrit par Poil | clock2008-04-10 16:00:37

Un petit mémo pour moi, une petite aide pour les débutants
Lancer l'éditeur visudo (ne jamais éditer à la main /etc/sudoers!)

# sudoers file.
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the sudoers man page for the details on how to write a sudoers file.
#

# Host alias specification

# User alias specification
## On définit l'alias de l'utilisateur poil
User_Alias POIL = poil
## On défini l'alias du groupe admin
User_Alias ADMIN = %admin

# Cmnd alias specification
## On défini l'alias des commandes interdites (qui demande le mot de passe root afin de s'éxécuter)
Cmnd_Alias ADMCMD = /usr/bin/passwd, /usr/sbin/visudo, /usr/bin/cat /etc/sudoers

# Defaults specification
## Le fichier de log
Defaults logfile=/var/log/sudo.log
## Pas de mail en cas de deny sudo
Defaults mail_no_host
## Par défaut on demande le mot de passe root pour les commandes définies en PASSWD
Defaults rootpw
## On change le prompt de demande de mot de passe
Defaults passprompt="Root password:"


# User privilege specification
## root a tous les droits.
root    ALL=(ALL) ALL
## Les gens appartenant au groupe "admin" ont accès
## à toutes les commandes sauf aux commande définies dans l'alias ADMCMD
ADMIN ALL=(ALL) NOPASSWD: ALL, PASSWD: ADMCMD
## L'utilisateur Poil a accès à toutes les commandes
POIL ALL=(ALL) NOPASSWD: ALL

Ce qui veut dire qu'un utilisateur du groupe ADMIN peut faire sudo su - poil; Il faut donc penser à l'interdire.

Pour plus d'info vous pouvez consulter ce fichier d'exemple très complet : http://www.gratisoft.us/sudo/sample.sudoers

Commentaires

Aucun commentaire
Développé par Poil - Graphismes de DarkDaV - Icônes sous licence Creative Commons (famfam, nuovo ...)
Durée de génération : 1.3167049884796 secondes