comment gerer le droit de faire un su autre-utilisateur non root

ladsy · Le 02/01/2011, à 19:02

Bonjour,

La question est un peu dans le titre.
Sur le site, on a bien http://doc.ubuntu-fr.org/su ... sur le net il y a plein de doc ... mais tout est décrit dans le cas principal ou on veut passer des commandes ou entrer dans un shell root.

En plus de root, j'ai 4 utilisateurs sur mon PC :
- distant - utilisateur paramétré avec droits au minimum
- tata - utilisateur lambda
- toto - administrateur
- tutu - administrateur

Depuis le net, je ne peux me connecter qu'avec le compte "distant" en SSH2.
"distant" est un login de rebond.
Pour faire quoique ce soit, il faut que je me reconnecte en un autre utilisateur.

J'aimerais ne permettre à "distant" de faire un su que sur l'utilisateur "su - tutu".

Il ne faut pas que "distant" puisse faire "su - toto" car hélas ... toto a un mot de passe faible (mdp = toto) pour une raison d'utilisatrice humaine réellement peu experte en informatique et ne voulant limiter sa connaissance de l'informatique à pas plus que "3 clics pour avoir internet et lire un DVD". ... en plus pour avoir la paix je dois laisser toto administrateur pour ne pas me casser la tête à distance à affecter des droits sur les périphériques.
C'est un peu pareil sur "tata" : distant ne doit pas faire "su - tata", tata peut faire "su - tutu" et "su - toto"
toto et tutu ont les droits de dieu et sont les seuls à faire "sudo su".

Mon problème reviendrait à créer une sorte de sudoers ... pour l'utilisateur toto qui exclue distant de son droit à su sur lui ... mais autorise distant à faire su sur toto.

Merci pour vos idées ...

rq : je veux pas non plus risquer de créer une commande "su" à la main. La machine est administrée à distance et je ne peux pas me permettre de faire 200 km pour modifier un "su.sh" qui aurait été modifié par une mise à jour de sécurité

Je sais, je demande la lune

Guardiane91 · Le 02/01/2011, à 19:13

dans administration -> utilisateur et autre

ladsy · Le 02/01/2011, à 21:07

Bonjour,

Peux-tu préciser ce que tu as en tête stp ?

Menu d'Ubuntu / Système / Administration / Utilisateurs et groupe ?
Soit l'application : users-admin ?

Je vois vraiment pas où gérer les droits de faire un "su" entre utilisateurs ?
Je ne parle pas de "Gérer le groupe" : sudo ...
Je ne vois pas non plus comment gérer l'affectation d'un droit à "suer" sur un autre utilisateur dans les "privilèges utilisateurs" (ce qui de mon point de vue s'apparente à une autre façon d'affecter un user à un groupe).

A mon avis, il faudrait plutôt un fichier de conf à modifier dans /etc/qq_chose_comme_sudoers

Il n'existerait pas un moyen de faire un /etc/su/su_config ? C'était de cette façon via /etc/ssh/ssh_config que j'avais paramétré distant à être le seul à se connecter en ssh.

Dernière modification par ladsy (Le 02/01/2011, à 21:08)

Guardiane91 · Le 03/01/2011, à 19:14

a oups dsl. je pensais que tu cherchais a crée un utilisateur avec différent grade.

mais tu veut faire de la commande à distance ? (si oui, je ne serais pas t'aider car j'ai pas encore étudier ce sujet. mais je reste sur le sujet au cas ou je trouve un truc ^^)

ladsy · Le 06/01/2011, à 21:16

Bonjour,

Oui, je veux en effet prendre commande à distance d'un PC.

Ce serait un moyen supplémentaire de sécuriser la machine distante.
Ainsi, celui qui se connecterait malgré tout à la machine ne pourrait pas rebondir sur l'utilisateur dont le "login=mot de passe" comme c'est le cas en ce moment ....

Quoique .... il faudra déjà forcer une connexion SSH2 avec clé assymétrique RSA 1024 bits .... .... mais dans mes logs, il y a des pignoufs qui attaquent directement en SSH et avec l'utilisateur root le port que j'avais renommé 9090.

Guardiane91 · Le 06/01/2011, à 21:46

je n'est pas toute les connaissances pour t'aider, mais je reste ici pour voir ou sa avance (toujours utiles à savoir)

je regarderais si sa ne bouge pas le sujet. mais la j'ai pas mal de test a faire sur un autre sujet

Mpok · Le 07/01/2011, à 00:13

ladsy a écrit :

Je sais, je demande la lune

C'est clair !
Mais je poste (uniquement ?) dans l'espoir d'avoir la réponse (j'adore ce genre de question…).

J'ai quand même une idée à proposer.
=> il suffit (peut-être) de faire un chgrp sur /bin/su pour n'autoriser que certains groupes à l'utiliser.
Ça ne résoud pas complètement le pbm tel que posé, mais ça permet déjà d'autoriser certains users à faire "su" et les autres non.

Maintenant, si tu veux réellement pouvoir contrôler le 'paramètre' de su, j'ai peur que tu ne sois obligé de reprogrammer cette fonction.

ladsy · Le 09/01/2011, à 17:34

> il suffit (peut-être) de faire un chgrp sur /bin/su
Ben non, si je retire "distant" du droit à faire "su", il ne peut plus faire "su - tutu" et donc je ne peux pas administrer à distance ... En l'état, c'est tout ou rien.

Quoique, quoique ... pourquoi avec ubuntu, un utilisateur non administrateur peut faire "su" sur tous les users, sauf root .... il doit bien y avoir un moyen d'imposer un su sur 1 seul user.

> j'ai peur que tu ne sois obligé de reprogrammer cette fonction
Il est loin le temps ou je me prenais pour Néo
Tiens, au fait, France 4 ce soir repasse Matrix Reloaded.

AlexandreP · Le 10/01/2011, à 05:26

ladsy a écrit :

Quoique, quoique ... pourquoi avec ubuntu, un utilisateur non administrateur peut faire "su" sur tous les users, sauf root .... il doit bien y avoir un moyen d'imposer un su sur 1 seul user.

On peut faire su root dans Ubuntu... à condition d'assigner un mot de passe au compte root. Si tu regardes le champ de mot de passe du compte root, dans le fichier /etc/shadow, tu remarques qu'il contient un caractère illégal (! ou *), ce qui empêche de s'y connecter directement avec un mot de passe. Pour s'y connecter directement (ouvrir une session directement avec le compte root, sans passer par sudo), le mot de passe doit être redéfini.

Cela dit, ça ne répond pas à ta question.

Dernière modification par AlexandreP (Le 10/01/2011, à 05:27)

ladsy · Le 10/01/2011, à 22:51

non ....

mais j'ai appris un truc. merci.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 02/01/2011, à 19:02

comment gerer le droit de faire un su autre-utilisateur non root

#2 Le 02/01/2011, à 19:13

Re : comment gerer le droit de faire un su autre-utilisateur non root

#3 Le 02/01/2011, à 21:07

Re : comment gerer le droit de faire un su autre-utilisateur non root

#4 Le 03/01/2011, à 19:14

Re : comment gerer le droit de faire un su autre-utilisateur non root

#5 Le 06/01/2011, à 21:16

Re : comment gerer le droit de faire un su autre-utilisateur non root

#6 Le 06/01/2011, à 21:46

Re : comment gerer le droit de faire un su autre-utilisateur non root

#7 Le 07/01/2011, à 00:13

Re : comment gerer le droit de faire un su autre-utilisateur non root

#8 Le 09/01/2011, à 17:34

Re : comment gerer le droit de faire un su autre-utilisateur non root

#9 Le 10/01/2011, à 05:26

Re : comment gerer le droit de faire un su autre-utilisateur non root

#10 Le 10/01/2011, à 22:51

Re : comment gerer le droit de faire un su autre-utilisateur non root

Pied de page des forums