[sudo] configuration /etc/sudoers (résolu)

[rroo]

Bonjour

Je configure actuellement mon fichier sudoers et je voudrais savoir si ma configuration est bonne car je ne suis pas trés rassuré avec ce fichier.
j'ai ajouté mon users et root:

Code : Tout sélectionner

## sudoers file.



## Groups of machines. These may include host names (optionally with wildcards),
## IP addresses, network numbers or netgroups.
# Host_Alias    WEBSERVERS = www1, www2, www3


## Groups of users.  These may consist of user names, uids, Unix groups,
## or netgroups.
 User_Alias     ADMINS = rroo,root


## Groups of commands.  Often used to group related commands together.
# Cmnd_Alias    PROCESSES = /usr/bin/nice, /bin/kill, /usr/bin/renice, \
#                           /usr/bin/pkill, /usr/bin/top


## Defaults specification


## Locale settings
# Defaults env_keep += "LANG LANGUAGE LINGUAS LC_* _XKB_CHARSET"


## Run X applications through sudo; HOME is used to find the
## .Xauthority file.  Note that other programs use HOME to find
## configuration files and this may lead to privilege escalation!
# Defaults env_keep += "HOME"


## X11 resource path settings
# Defaults env_keep += "XAPPLRESDIR XFILESEARCHPATH XUSERFILESEARCHPATH"


## Desktop path settings
# Defaults env_keep += "QTDIR KDEDIR"


## Allow sudo-run commands to inherit the callers' ConsoleKit session
# Defaults env_keep += "XDG_SESSION_COOKIE"


## Uncomment to enable special input methods.  Care should be taken as
## this may allow users to subvert the command being run via sudo.
# Defaults env_keep += "XMODIFIERS GTK_IM_MODULE QT_IM_MODULE QT_IM_SWITCHER"


## Uncomment to enable logging of a command's output, except for
## sudoreplay and reboot.  Use sudoreplay to play back logged sessions.
# Defaults log_output
# Defaults!/usr/bin/sudoreplay !log_output
# Defaults!/usr/local/bin/sudoreplay !log_output
# Defaults!/sbin/reboot !log_output


rroo,root ALL=(ALL) ALL

## Uncomment to allow members of group wheel to execute any command
# %wheel ALL=(ALL) ALL
## Uncomment to allow members of group wheel to execute any command
# %wheel ALL=(ALL) ALL


## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL


## Uncomment to allow members of group sudo to execute any command
 %sudo  ALL=(ALL) ALL

# Defaults targetpw  # Ask for the password of the target user
# ALL ALL=(ALL) ALL  # WARNING: only use this together with 'Defaults targetpw'


#includedir /etc/sudoers.d

merci

[widapit]

salut,

as-tu été voir sur le wiki ?
-> Sudo
Perso je te déconseille d'accorder tous les droits à un user ... surtout quand on sait les erreurs que ce "user" est capable d'engendrer !!

[FoolEcho]

Salut,

Tu fais bien de demander car tu n'as semble-t-il pas compris le fonctionnement de sudo.
1)Rajouter root n'a aucun sens. Root a déjà tous les droits, pourquoi passerait-il par sudo ?
2)Plutôt que rajouter ton utilisateur, rajoute ton utilisateur au groupe wheel ou sudo et décommente simplement le groupe voulu via visudo (par exemple sudo est déjà décommenté).

Sudo
Utilisateurs_et_Groupes

--grillé--

[rroo]

http://forums.archlinux.fr/topic13750-20.html
Sinon pour éditer sudoers je me suis logué en root et j'ai lancé cette commande:
sudo EDITOR=/usr/bin/nano visudo

Donc maintenant ca fonctionne je peut faire sudo en usr ou en root.
Pour info j'ai rajouté l'utilisateur root car je ne pouvait plus éditer sudoers en root

j'ai rajouté l'utilisateur root car je ne pouvait plus éditer sudoers en root

[rroo]

j'ai remis le fichier sudoers(effaccé root et recommenté) par defaults
Mais maintenant je ne peut plus édité le fichier ni en root ni en user et je n'ai plus la permission d'écriture
sur mon home user !

Code : Tout sélectionner

[rroo@arch ~]$ sudo EDITOR=/usr/bin/nano visudo
[sudo] password for rroo: 
rroo is not in the sudoers file.  This incident will be reported.
[rroo@arch ~]$ su
Mot de passe : 
[root@arch rroo]# sudo EDITOR=/usr/bin/nano visudo 
root is not in the sudoers file.  This incident will be reported.
[root@arch rroo]# exit
exit
[rroo@arch ~]$ nano /home/rroo/nouveau/commande cp

[FoolEcho]

[root@arch rroo]# sudo EDITOR=/usr/bin/nano visudo
root is not in the sudoers file. This incident will be reported.

Tu n'as visiblement pas compris... *soupir*
Pourquoi... *Pourquoi* utiliser sudo pour lancer visudo en root quand EDITOR=/usr/bin/nano visudo suffit ?!

Une fois dedans, tu vérifies que le groupe wheel ou sudo est décommenté puis tu rajoutes ton utilisateur à l'un des groupes (en root, évidemment):

Code : Tout sélectionner

gpasswd -a ton_user sudo

(ou sudo selon ce que tu utilises)

Mais franchement dans ton cas, tu devrais t'interdire l'usage même de sudo...

[Xorg]

Je crois que tu n'as vraiment pas compris à quoi servait sudo. Ça veut dire Substitute User DO, en gros tu fais une action en tant qu'un autre utilisateur, généralement l'utilisateur root.

Code : Tout sélectionner

[rroo@arch ~]$ sudo EDITOR=/usr/bin/nano visudo
[sudo] password for rroo:
rroo is not in the sudoers file.  This incident will be reported.

C'est normal que ça fasse ça si tu as supprimé le fichier /etc/sudoers, car c'est une chose à strictement proscrire. C'est tout comme éditer directement ce fichier...

Ensuite :

Code : Tout sélectionner

[rroo@arch ~]$ su
Mot de passe : 

Jusqu'ici, c'est un réflexe tout à fait normal. Tu ne peux pas faire mieux même.

Code : Tout sélectionner

[root@arch rroo]# sudo EDITOR=/usr/bin/nano visudo
root is not in the sudoers file.  This incident will be reported.

Et non enfin ! On n'a pas besoin d'utiliser sudo quand on est déjà root, vu que le principe de la commande sudo, c'est d'utiliser les droits de root le temps d'une commande.

Après t'être logué en root, fait tout simplement :

Code : Tout sélectionner

EDITOR=/usr/bin/nano visudo

Et voilà. Ne cherche pas à faire compliqué quand on peut faire simple...


EDIT : Tu m'as devancé FoolEcho.

[FoolEcho]

Ensuite :

Code : Tout sélectionner

[rroo@arch ~]$ su
Mot de passe :

Jusqu'ici, c'est un réflexe tout à fait normal. Tu ne peux pas faire mieux même.

Si... su - (su tiret pour les moins attentifs, cf su) avant de pourrir le home de son utilisateur (ce qui je le crains, a du aussi se faire à un moment ou à un autre, mais c'est une autre histoire ).

[Xorg]

En fait, souvent je fais :

Code : Tout sélectionner

[user@host:~/]$ su
[root@host:/home/user]# cd
[root@host:~/]#

Mais merci du tuyaux oui.

[FoolEcho]

su - n'est pas un tuyau, c'est la bonne pratique (selon la nature de l'intervention bien sûr).
Et attention, su - n'est pas du tout équivalent à su + cd (compare les sorties de env) !

[Xorg]

Ah oui, avec un su, env m'affiche des informations sur l'utilisateur connecté, tandis qu'avec su -, env me montre que je suis bel et bien root.
Mais moi je lis très souvent su, c'est pour ça que j'ai été surpris par le su -.

[rroo]

C'est bon c'est rentré dans l'ordre avec le sudo en moins devant
J'ai commême fait un chown sur un dossier de mon user entre temps...
je touche plus a sudoers pour l'instant.

Merci pour votre aide

[widapit]

J'ai quand même fait un chown sur un dossier de mon user entre temps...

si c'était nécessaire pour remettre les choses dans l'ordre, tu as bien fait mais normalement, tout ce qu'il y a dans /home/user/ devrait appartenir à user .