Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 01-08-2018 22:21:05

Lupa
Membre
Distrib. : Debian Stretch 4.9.110-3+deb9u6 (2018-10-08)
Noyau : 4.9.0-8-amd64
(G)UI : xfce
Inscription : 28-06-2017

Restriction de privilèges à travers sudoers ?

Bonsoir à tous smile

Soit un user toto, membre du group sudo.
root veut le protéger de certains logiciels (GParted, par exemple).
Il veut forcer toto à utiliser le psw root, et non pas le sien, à lui, toto : c'est ambigu, et donc potentiellement dangereux.

J'ai modifié ainsi le fichier sudoers (avec visudo, bien sûr) :


#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults  env_reset
Defaults  mail_badpass
Defaults  secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root  ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
toto ALL=NOPASSWD: /usr/bin/gparted-pkexec

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

 



Mais... ça ne marche pas. toto peut encore appeler GParted avec son psw à lui.
Faut-il y aller avec un fichier spécifique, dans /etc/sudoers.d ?

Traduction de /etc/sudoers.d/README :


Cela fera que sudo lira et analysera tous les fichiers dans /etc/sudoers.d
répertoire qui ne se termine pas par '~' ou contient un '.' personnage (caractère).

Notez qu'il doit y avoir au moins un fichier dans le répertoire sudoers.d (ceci one will do),
et tous les fichiers de ce répertoire doivent être en mode 0440 (donc, groupe et others en lecture seulement).

Notez également que, parce que le contenu sudoers peut varier considérablement, aucune tentative
fait pour ajouter cette directive aux fichiers sudoers existants lors de la mise à niveau.

N'hésitez pas pour ajouter la directive ci-dessus à la fin de votre fichier / etc / sudoers pour l'activer
cette fonctionnalité pour les installations existantes si vous le souhaitez!

Enfin, veuillez noter que l'utilisation de la commande visudo est recommandée
pour mettre à jour le contenu sudoers, car il protège contre de nombreux modes de défaillance.
 



Comment faire ? scratchhead.gif
Merci wink

Dernière modification par Lupa (01-08-2018 22:22:21)

Hors ligne

#2 01-08-2018 22:30:22

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 12-08-2015

Re : Restriction de privilèges à travers sudoers ?

Tu lances bien la commande comme ceci ?

sudo gparted



Sudo ne fait jamais appel au mot de passe root à ma connaissance.

Par contre, policykit peut ouvrir une fenêtre d'authentification qui peut nécessiter les identifiants root.

Dernière modification par Beta-Pictoris (01-08-2018 22:34:09)

Hors ligne

#3 01-08-2018 22:43:24

Kristen
Membre
Lieu : Lesneven - Finistère
Distrib. : Archlinux - Debian Buster
Noyau : Linux 4.19.0-2-amd64
(G)UI : XFCE
Inscription : 19-02-2009

Re : Restriction de privilèges à travers sudoers ?

Tu mets


Defaults rootpw

et comme ça sudo est utilisé avec le mot de passe root.
Par contre, c'est valable pour tout le monde.

En ligne

#4 01-08-2018 22:52:13

Lupa
Membre
Distrib. : Debian Stretch 4.9.110-3+deb9u6 (2018-10-08)
Noyau : 4.9.0-8-amd64
(G)UI : xfce
Inscription : 28-06-2017

Re : Restriction de privilèges à travers sudoers ?

@Beta-Pictoris : oui, avec la commande sudo. Mais regarde ci-dessous : je me suis mal exprimé.

@Krsiten : Le mot de passe root, même si le compte root n'est pas déverouillé, ce qui est le cas par défaut en Xv=fce ?
Donc, si je pige bien : tous les membres du groupe sudo devront saisir le mot de passe root ?

Personnellement, je voudrais empêcher l'appel, via le menu (n'importe que menu, d'ailleurs), de Gparted par un membre de sudo s'il ne saisit QUE son mot de passe à lui. Donc, là, il sait qu'il ordonne une tâche d'administration à risque, puisqu'il doit saisir le mot de passe root, et pas juste le sien.
C'est irréalisable ?

@Beta-Pictoris : tu as raison ! J'aurais dû tester le truc à travers un menu, pas dans un terminal !

Dernière modification par Lupa (01-08-2018 22:53:20)

Hors ligne

#5 02-08-2018 07:31:33

Kristen
Membre
Lieu : Lesneven - Finistère
Distrib. : Archlinux - Debian Buster
Noyau : Linux 4.19.0-2-amd64
(G)UI : XFCE
Inscription : 19-02-2009

Re : Restriction de privilèges à travers sudoers ?

Donc, si je pige bien : tous les membres du groupe sudo devront saisir le mot de passe root ?

Oui c'est ça.

En ligne

#6 02-08-2018 07:40:06

smolski
admin quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Restriction de privilèges à travers sudoers ?

Un petit tuto facile pour mettre tout ça à plat :
https://debian-facile.org/doc:systeme:sudo wink

"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#7 02-08-2018 11:21:26

Lupa
Membre
Distrib. : Debian Stretch 4.9.110-3+deb9u6 (2018-10-08)
Noyau : 4.9.0-8-amd64
(G)UI : xfce
Inscription : 28-06-2017

Re : Restriction de privilèges à travers sudoers ?

Bonjour smile
Merci pour les indications et le tuto.
Précisément, dans le tuto, root restreint des privilèges portant sur des commandes saisies dans le terminal.
Ca ne marche pas pour les lancements de programmes via le menu ?

Hors ligne

#8 02-08-2018 12:19:39

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 12-08-2015

Re : Restriction de privilèges à travers sudoers ?

Les applications peuvent, elles mêmes, demander à changer de privilèges lors qu'elles font appel à policykit.

C'est le cas de beaucoup d'applications graphiques.

A noter, un démon systemd, nommé polkitd, tourne sur les machines où policikit est activé.

Un lien: https://doc.ubuntu-fr.org/policykit

Il n'y a pas, encore, de tuto facile pour ça ? smile

Dernière modification par Beta-Pictoris (02-08-2018 12:28:26)

Hors ligne

#9 02-08-2018 12:46:43

smolski
admin quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Restriction de privilèges à travers sudoers ?

Lupa a écrit :

Ca ne marche pas pour les lancements de programmes via le menu ?


Je suppose en graphique ?
Tu peux lancer tous tes programmes graphiques via le terminal, donc on doit pouvoir le faire avec sudo smile


"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#10 02-08-2018 19:11:37

Lupa
Membre
Distrib. : Debian Stretch 4.9.110-3+deb9u6 (2018-10-08)
Noyau : 4.9.0-8-amd64
(G)UI : xfce
Inscription : 28-06-2017

Re : Restriction de privilèges à travers sudoers ?

Bonsoir à tous smile

On y arrive peyt-être. Je m'étais mal exprimé.
root a un mot de passe. L'user a le sien.

Je cherche à régler ceci :
- un user est dans le groupe sudo
- il appelle malencontreusement un programme à risque, via le menu.
- l'OS lui demande un mot de passe.
- si'il saisit le sien, échec d'authentification : il fallait le mot de passe root.

Du coup, même s'il a le mot de passe root, n'ayant saisi que son mot de passe d'user, il ne pourra pas lancer tel ou tel prog. Sauf à l'appeler depuis le terminal, en sudo, mais pas à travers le menu.

@Beta-Pictoris : je vais regarder ce policykit wink

Dernière modification par Lupa (02-08-2018 19:12:33)

Hors ligne

#11 17-11-2018 16:54:01

Lupa
Membre
Distrib. : Debian Stretch 4.9.110-3+deb9u6 (2018-10-08)
Noyau : 4.9.0-8-amd64
(G)UI : xfce
Inscription : 28-06-2017

Re : Restriction de privilèges à travers sudoers ?

Bonjour à tous smile

J'ai fini par dénicher AppArmor :
https://fr.wikipedia.org/wiki/AppArmor
Et, dans les cahiers de l'administrateur Debian : https://debian-handbook.info/browse/fr- … armor.html

Ca se rapproche de ce que je souhaite.

Hors ligne

Pied de page des forums