Debian-facile

Lupa

Membre

Distrib. : Debian Stretch 4.9.110-3+deb9u6 / Buster

Noyau : 4.9.0-8-amd64 (Stretch) Buster : 5.4.0-0.bpo.2-amd

(G)UI : xfce

Inscription : 28-06-2017

Restriction de privilèges à travers sudoers ?

Bonsoir à tous

Soit un user toto, membre du group sudo.
root veut le protéger de certains logiciels (GParted, par exemple).
Il veut forcer toto à utiliser le psw root, et non pas le sien, à lui, toto : c'est ambigu, et donc potentiellement dangereux.

J'ai modifié ainsi le fichier sudoers (avec visudo, bien sûr) :

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults  env_reset
Defaults  mail_badpass
Defaults  secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root  ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
toto ALL=NOPASSWD: /usr/bin/gparted-pkexec

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

 

Mais... ça ne marche pas. toto peut encore appeler GParted avec son psw à lui.
Faut-il y aller avec un fichier spécifique, dans /etc/sudoers.d ?

Traduction de /etc/sudoers.d/README :

Cela fera que sudo lira et analysera tous les fichiers dans /etc/sudoers.d
répertoire qui ne se termine pas par '~' ou contient un '.' personnage (caractère).

Notez qu'il doit y avoir au moins un fichier dans le répertoire sudoers.d (ceci one will do),
et tous les fichiers de ce répertoire doivent être en mode 0440 (donc, groupe et others en lecture seulement).

Notez également que, parce que le contenu sudoers peut varier considérablement, aucune tentative
fait pour ajouter cette directive aux fichiers sudoers existants lors de la mise à niveau.

N'hésitez pas pour ajouter la directive ci-dessus à la fin de votre fichier / etc / sudoers pour l'activer
cette fonctionnalité pour les installations existantes si vous le souhaitez!

Enfin, veuillez noter que l'utilisation de la commande visudo est recommandée
pour mettre à jour le contenu sudoers, car il protège contre de nombreux modes de défaillance.
 

Comment faire ?
Merci

Dernière modification par Lupa (01-08-2018 21:22:21)

Beta-Pictoris

Membre

Lieu : Angers

Distrib. : Buster

Inscription : 11-08-2015

Re : Restriction de privilèges à travers sudoers ?

Tu lances bien la commande comme ceci ?

sudo gparted

Sudo ne fait jamais appel au mot de passe root à ma connaissance.

Par contre, policykit peut ouvrir une fenêtre d'authentification qui peut nécessiter les identifiants root.

Dernière modification par Beta-Pictoris (01-08-2018 21:34:09)

Kristen

Membre

Lieu : Finistère

Distrib. : debian 12 bookworm

Noyau : Linux 6.1.0-26-amd64

(G)UI : Gnome

Inscription : 19-02-2009

Re : Restriction de privilèges à travers sudoers ?

Tu mets

Defaults rootpw

et comme ça sudo est utilisé avec le mot de passe root.
Par contre, c'est valable pour tout le monde.

---

- Tour : 4 × Intel® Core™ i5-4570 CPU @ 3.20GHz × 4 - RAM 12 Go - Carte graphique GeForce GTX 750 Ti NV117 - Écran 24" et 23" hdmi
- Lenovo IdeaPad 3 15ALC6 - 15.6" - Ryzen 5 5500U - 16 Go RAM - 128 Go SSD + 1 To HDD
- Lenovo Ideapad  S130-14IGM
- ASUS F751L X751LA : 4 × Intel® Core™ i3-4030U CPU @ 1.90GHz - 8 Go de RAM - SSD 128 Go

Lupa

Membre

Distrib. : Debian Stretch 4.9.110-3+deb9u6 / Buster

Noyau : 4.9.0-8-amd64 (Stretch) Buster : 5.4.0-0.bpo.2-amd

(G)UI : xfce

Inscription : 28-06-2017

Re : Restriction de privilèges à travers sudoers ?

@Beta-Pictoris : oui, avec la commande sudo. Mais regarde ci-dessous : je me suis mal exprimé.

@Krsiten : Le mot de passe root, même si le compte root n'est pas déverouillé, ce qui est le cas par défaut en Xv=fce ?
Donc, si je pige bien : tous les membres du groupe sudo devront saisir le mot de passe root ?

Personnellement, je voudrais empêcher l'appel, via le menu (n'importe que menu, d'ailleurs), de Gparted par un membre de sudo s'il ne saisit QUE son mot de passe à lui. Donc, là, il sait qu'il ordonne une tâche d'administration à risque, puisqu'il doit saisir le mot de passe root, et pas juste le sien.
C'est irréalisable ?

@Beta-Pictoris : tu as raison ! J'aurais dû tester le truc à travers un menu, pas dans un terminal !

Dernière modification par Lupa (01-08-2018 21:53:20)

Kristen

Membre

Lieu : Finistère

Distrib. : debian 12 bookworm

Noyau : Linux 6.1.0-26-amd64

(G)UI : Gnome

Inscription : 19-02-2009

Re : Restriction de privilèges à travers sudoers ?

Donc, si je pige bien : tous les membres du groupe sudo devront saisir le mot de passe root ?

Oui c'est ça.

---

- Tour : 4 × Intel® Core™ i5-4570 CPU @ 3.20GHz × 4 - RAM 12 Go - Carte graphique GeForce GTX 750 Ti NV117 - Écran 24" et 23" hdmi
- Lenovo IdeaPad 3 15ALC6 - 15.6" - Ryzen 5 5500U - 16 Go RAM - 128 Go SSD + 1 To HDD
- Lenovo Ideapad  S130-14IGM
- ASUS F751L X751LA : 4 × Intel® Core™ i3-4030U CPU @ 1.90GHz - 8 Go de RAM - SSD 128 Go

smolski

quasi...modo

Lieu : AIN

Distrib. : backports (buster) 10

Noyau : Linux 4.19.0-8-amd64

(G)UI : gnome

Inscription : 21-10-2008

Re : Restriction de privilèges à travers sudoers ?

Un petit tuto facile pour mettre tout ça à plat :
https://debian-facile.org/doc:systeme:sudo

---

saque eud dun (patois chtimi : fonce dedans)

Lupa

Membre

Distrib. : Debian Stretch 4.9.110-3+deb9u6 / Buster

Noyau : 4.9.0-8-amd64 (Stretch) Buster : 5.4.0-0.bpo.2-amd

(G)UI : xfce

Inscription : 28-06-2017

Re : Restriction de privilèges à travers sudoers ?

Bonjour
Merci pour les indications et le tuto.
Précisément, dans le tuto, root restreint des privilèges portant sur des commandes saisies dans le terminal.
Ca ne marche pas pour les lancements de programmes via le menu ?

Beta-Pictoris

Membre

Lieu : Angers

Distrib. : Buster

Inscription : 11-08-2015

Re : Restriction de privilèges à travers sudoers ?

Les applications peuvent, elles mêmes, demander à changer de privilèges lors qu'elles font appel à policykit.

C'est le cas de beaucoup d'applications graphiques.

A noter, un démon systemd, nommé polkitd, tourne sur les machines où policikit est activé.

Un lien: https://doc.ubuntu-fr.org/policykit

Il n'y a pas, encore, de tuto facile pour ça ?

Dernière modification par Beta-Pictoris (02-08-2018 11:28:26)

smolski

quasi...modo

Lieu : AIN

Distrib. : backports (buster) 10

Noyau : Linux 4.19.0-8-amd64

(G)UI : gnome

Inscription : 21-10-2008

Re : Restriction de privilèges à travers sudoers ?

Ca ne marche pas pour les lancements de programmes via le menu ?

Je suppose en graphique ?
Tu peux lancer tous tes programmes graphiques via le terminal, donc on doit pouvoir le faire avec sudo

---

saque eud dun (patois chtimi : fonce dedans)

Lupa

Membre

Distrib. : Debian Stretch 4.9.110-3+deb9u6 / Buster

Noyau : 4.9.0-8-amd64 (Stretch) Buster : 5.4.0-0.bpo.2-amd

(G)UI : xfce

Inscription : 28-06-2017

Re : Restriction de privilèges à travers sudoers ?

Bonsoir à tous

On y arrive peyt-être. Je m'étais mal exprimé.
root a un mot de passe. L'user a le sien.

Je cherche à régler ceci :
- un user est dans le groupe sudo
- il appelle malencontreusement un programme à risque, via le menu.
- l'OS lui demande un mot de passe.
- si'il saisit le sien, échec d'authentification : il fallait le mot de passe root.

Du coup, même s'il a le mot de passe root, n'ayant saisi que son mot de passe d'user, il ne pourra pas lancer tel ou tel prog. Sauf à l'appeler depuis le terminal, en sudo, mais pas à travers le menu.

@Beta-Pictoris : je vais regarder ce policykit

Dernière modification par Lupa (02-08-2018 18:12:33)

Lupa

Membre

Distrib. : Debian Stretch 4.9.110-3+deb9u6 / Buster

Noyau : 4.9.0-8-amd64 (Stretch) Buster : 5.4.0-0.bpo.2-amd

(G)UI : xfce

Inscription : 28-06-2017

Re : Restriction de privilèges à travers sudoers ?

Bonjour à tous

J'ai fini par dénicher AppArmor :
https://fr.wikipedia.org/wiki/AppArmor
Et, dans les cahiers de l'administrateur Debian : https://debian-handbook.info/browse/fr- … armor.html

Ca se rapproche de ce que je souhaite.