#1 Le 04/09/2020, à 10:18
- GammaDraconis
Empécher un utilisateur sudoer de pouvoir éditer /etc/fstab ?
Bonjour,
Imaginons un utilisateur "toto" qui est volontairement sudoers car il a besoin de pouvoir faire des taches d'administrations (donc dans le groupe sudo et peux faire des apt install etc...).
J'aimerai qu'exceptionnellement, cet utilisateur sudo ne puisse pas modifier le fichier /etc/fstab (uniquement ce fichier).
Quel règle à mettre dans le fichier de configuration sudo cad /etc/sudoers ?
(et si possible, qu'il ne puisse pas modifier non plus, /etc/sudoers)
merci d'avance;
cordialement;
Discussion sur mon script de post-install pour Ubuntu 20.04LTS : https://forum.ubuntu-fr.org/viewtopic.php?id=2026344
Lien direct script : https://github.com/simbd/Ubuntu_20.04LTS_PostInstall
Démo vidéo (peertube) : https://video.ploud.fr/videos/watch/fb7 … 0d252ed2db
Hors ligne
#2 Le 04/09/2020, à 10:51
- bruno
Re : Empécher un utilisateur sudoer de pouvoir éditer /etc/fstab ?
Bonjour,
Tu ne peux pas faire cela ainsi.
Si un utilisateur est membre du groupe sudo il est autorisé à tout faire par la configuration sudoers d'ubuntu :
%sudo ALL=(ALL:ALL) ALL
Si tu cherches à ajouter des restrictions sur un utilisateur membre de sudo, il pourra très facilement les contourner puisqu'il peut devenir root.
Il faudrait créer un groupe ou un utilisateur spécifique (non membre de sudo) auquel tu autorises uniquement certaines commandes. Par exemple pour autoriser apt :
toto ALL=(ALL:ALL) /usr/bin/apt
--
Modération : pas de rapport avec les « truc et astuces », sujet déplacé dans la section « sécurité ».
Dernière modification par bruno (Le 04/09/2020, à 10:53)
#3 Le 07/09/2020, à 07:59
- GammaDraconis
Re : Empécher un utilisateur sudoer de pouvoir éditer /etc/fstab ?
Ok merci pour l'info.
Discussion sur mon script de post-install pour Ubuntu 20.04LTS : https://forum.ubuntu-fr.org/viewtopic.php?id=2026344
Lien direct script : https://github.com/simbd/Ubuntu_20.04LTS_PostInstall
Démo vidéo (peertube) : https://video.ploud.fr/videos/watch/fb7 … 0d252ed2db
Hors ligne
#4 Le 15/12/2020, à 23:15
- LeoMajor
Re : Empécher un utilisateur sudoer de pouvoir éditer /etc/fstab ?
bonjour,
Cela n'empêche pas sudo mais rend les manipulations un peu plus contraignantes
sudo chattr +i /etc/fstab (#ni modifier, ni supprimer)
l'utilsateur lambda ne fera pas le rapprochement avec lsattr
à l'envers:
lsattr /etc/fstab
sudo chattr -i /etc/fstab
sudo nano /etc/fstab
Hors ligne