Contenu | Rechercher | Menus

Annonce

L'équipe des administrateurs et modérateurs du forum vous invite à prendre connaissance des nouvelles règles.
En cas de besoin, vous pouvez intervenir dans cette discussion.

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 18/06/2018, à 14:20

tambakoly

Sudo (comment imposer son utilisation et bannir sudo -i ?)

Bonjour,

Je voudrais savoir si quelqu'un a deja reussi à imposer l'utilisation du mot clef sudo pour l'utilisateur qui a des droits sudo;
et lui interdire de pouvoir utiliser sudo -i  ou sudo -s. Car en sudo -i il a en permanence les privimeges root et ce que je veux éviter.
Merci d'avance.

Hors ligne

#2 Le 19/06/2018, à 08:36

nam1962

Re : Sudo (comment imposer son utilisation et bannir sudo -i ?)

Rien compris... C'est quoi "imposer le mot clef sudo" ? "en permanence des privilèges root" ????


Almanet doLys de l'open source : mon tuto pour optimiser / finaliser une install
Xubuntu devel - Manjaro unstable - OpenSUSE tumbleweed (GeckoLinux) -Debian Testing - Et vous ?
57 convertis  IRL (n'ont pas eu le choix...).
Un jeune site que j'aime bien, le top du T-shirt homme ...bio et éthique en plus : https://goudronblanc.com

Hors ligne

#3 Le 19/06/2018, à 11:07

erresse

Re : Sudo (comment imposer son utilisation et bannir sudo -i ?)

À mon avis, tambakoly veut juste empêcher que "sudo" puisse être utilisé avec une option "-i" ou "-s". En effet, si tu exécutes "sudo -i", tu restes avec les privilèges "root" en permanence jusqu'à ce que tu tapes "exit" pour mettre fin au sudo.
Il y a la possibilité de ne pas donner aux utilisateurs l'accès à "sudo", ça élimine toute tentative de permanence des privilèges !
À défaut, si l'accès à "sudo" est indispensable aux utilisateurs, pour en limiter la portée, tu peux créer un script appelé "sudo", qui remplacera la commande "sudo" du système, et dans lequel tu appelleras toi-même la commande "sudo" sans aucune option "-i" ou "-s" pour l'exécution d'une seule ligne de commande...


Plus de 50 ans d'informatique, ça en fait des lignes de commandes en console, mais on n'avait pas le choix...
Excellente raison pour, aujourd'hui qu'on le peut, utiliser au maximum les INTERFACES GRAPHIQUES !
Important : Une fois résolu, pensez à clore votre sujet en ajoutant [Résolu] devant le titre du 1er message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.

Hors ligne

#4 Le 19/06/2018, à 11:15

nam1962

Re : Sudo (comment imposer son utilisation et bannir sudo -i ?)

Ok, pigé ! Une sorte d'alias en fait (dans le script, rien n'empèche en plus de renseigner un log pour suivre les manips des utilisateurs.)

Dernière modification par nam1962 (Le 19/06/2018, à 11:59)


Almanet doLys de l'open source : mon tuto pour optimiser / finaliser une install
Xubuntu devel - Manjaro unstable - OpenSUSE tumbleweed (GeckoLinux) -Debian Testing - Et vous ?
57 convertis  IRL (n'ont pas eu le choix...).
Un jeune site que j'aime bien, le top du T-shirt homme ...bio et éthique en plus : https://goudronblanc.com

Hors ligne

#5 Le 19/06/2018, à 11:52

bruno

Re : Sudo (comment imposer son utilisation et bannir sudo -i ?)

Bonjour,

sudo -i cela peut être utile dans certains cas où on a besoin d'un shell root. Le bloquer ne me paraît pas être une bonne idée.

Il vaudrait mieux définir la variable TMOUT pour fermer automatiquement la session root au bout du temps spécifié.

Hors ligne

#6 Le 19/06/2018, à 13:44

tambakoly

Re : Sudo (comment imposer son utilisation et bannir sudo -i ?)

Merci pour vos reponses.
Au fait s'il y'a plusieurs admins, et qui ont tous droit à sudo, dès qu'un utilisateur fait sudo -i, et tapes des commandes, tout ce qu'on voit dans les logs, c'est root.
Donc on ne peut pas savoir lequel de nous à saisi ces commandes.
Mais en tapant sa commande précédé du mot clef sudo, là; les logs relèvent le nom de l'utilisateur qui a utilisé sudo.
Voila pourquoi je cherche un moins de bloquer sudo -i et sudo -s.

Hors ligne

#7 Le 19/06/2018, à 15:43

grandtoubab

Re : Sudo (comment imposer son utilisation et bannir sudo -i ?)

Salut
sudo -i c'est sudo et bannir un parametre ça va pas être facile

d'apres
https://www.sudo.ws/man/1.8.3/sudo.man.html
et
https://www.sudo.ws/man/1.8.3/sudoers.man.html


sudo -i est de plus un cas spécial

As a special case, if sudo's -i option (initial login) is specified, sudoers will initialize the environment regardless of the value of env_reset. The DISPLAY, PATH and TERM variables remain unchanged; HOME, MAIL, SHELL, USER, and LOGNAME are set based on the target user.

peut etre journaliser tout en indiquant dans /etc/sudoers

Defaults log_input

ce qui créé une arborescence sudo-io dans /var/log


pour voir toutes les options en cours, dans une fenêtre terminal root
sudo -V

Dernière modification par grandtoubab (Le 19/06/2018, à 16:21)


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 10 Buster Gnome/Xorg, Gnome/Wayland, Weston/Wayland
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#8 Le 19/06/2018, à 18:34

tambakoly

Re : Sudo (comment imposer son utilisation et bannir sudo -i ?)

Finalement, apres moult recherches, voilà la solution qui marche pour mon problème:
- Enumérer dans le fichier sudoers, la liste des commandes que chacun des admin a droit, en les séparant par des virgules, avec les chemins absolus. Exemple : /bin/cd, /bin/gunzip, /bin/rmdir, /bin/ls, /bin/dir
- Ne pas ajouter à la liste les shell disponibles ( /bin/sh, /bin/bash) pour cet utilisateur.

En procédant ainsi l'admin qui a les droits sudo est obligé de saisir le mot clef sudo devant les commandes auxquels il a droit.
Et lorsque qu'il éssaie sudo -i ou sudo -s, le termine lui indique q'uil n'a pas ce droit. Ainsi dans les logs on voit clairement le nom de l'utilisateur qui a usé de sudo.

Merci à tous pour les pistes.

Hors ligne