Page 1 sur 1
[sudo] configuration /etc/sudoers (résolu)
Publié : sam. 15 juin 2013, 16:04
par rroo
Bonjour
Je configure actuellement mon fichier sudoers et je voudrais savoir si ma configuration est bonne car je ne suis pas trés rassuré avec ce fichier.
j'ai ajouté mon users et root:
Code : Tout sélectionner
## sudoers file.
## Groups of machines. These may include host names (optionally with wildcards),
## IP addresses, network numbers or netgroups.
# Host_Alias WEBSERVERS = www1, www2, www3
## Groups of users. These may consist of user names, uids, Unix groups,
## or netgroups.
User_Alias ADMINS = rroo,root
## Groups of commands. Often used to group related commands together.
# Cmnd_Alias PROCESSES = /usr/bin/nice, /bin/kill, /usr/bin/renice, \
# /usr/bin/pkill, /usr/bin/top
## Defaults specification
## Locale settings
# Defaults env_keep += "LANG LANGUAGE LINGUAS LC_* _XKB_CHARSET"
## Run X applications through sudo; HOME is used to find the
## .Xauthority file. Note that other programs use HOME to find
## configuration files and this may lead to privilege escalation!
# Defaults env_keep += "HOME"
## X11 resource path settings
# Defaults env_keep += "XAPPLRESDIR XFILESEARCHPATH XUSERFILESEARCHPATH"
## Desktop path settings
# Defaults env_keep += "QTDIR KDEDIR"
## Allow sudo-run commands to inherit the callers' ConsoleKit session
# Defaults env_keep += "XDG_SESSION_COOKIE"
## Uncomment to enable special input methods. Care should be taken as
## this may allow users to subvert the command being run via sudo.
# Defaults env_keep += "XMODIFIERS GTK_IM_MODULE QT_IM_MODULE QT_IM_SWITCHER"
## Uncomment to enable logging of a command's output, except for
## sudoreplay and reboot. Use sudoreplay to play back logged sessions.
# Defaults log_output
# Defaults!/usr/bin/sudoreplay !log_output
# Defaults!/usr/local/bin/sudoreplay !log_output
# Defaults!/sbin/reboot !log_output
rroo,root ALL=(ALL) ALL
## Uncomment to allow members of group wheel to execute any command
# %wheel ALL=(ALL) ALL
## Uncomment to allow members of group wheel to execute any command
# %wheel ALL=(ALL) ALL
## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL
## Uncomment to allow members of group sudo to execute any command
%sudo ALL=(ALL) ALL
# Defaults targetpw # Ask for the password of the target user
# ALL ALL=(ALL) ALL # WARNING: only use this together with 'Defaults targetpw'
#includedir /etc/sudoers.d
merci
Re: [sudoers]conf
Publié : sam. 15 juin 2013, 16:17
par widapit
salut,
as-tu été voir sur le wiki ?
-> Sudo
Perso je te déconseille d'accorder tous les droits à un user ... surtout quand on sait les erreurs que ce "user" est capable d'engendrer !!
Re: [sudoers]conf
Publié : sam. 15 juin 2013, 16:28
par FoolEcho
Salut,
Tu fais bien de demander car tu n'as semble-t-il pas compris le fonctionnement de sudo.
1)Rajouter root n'a aucun sens. Root a déjà tous les droits, pourquoi passerait-il par sudo ?
2)Plutôt que rajouter ton utilisateur, rajoute ton utilisateur au groupe wheel ou sudo et décommente simplement le groupe voulu via visudo (par exemple sudo est déjà décommenté).
Sudo
Utilisateurs_et_Groupes
--grillé--
Re: [sudoers]conf
Publié : sam. 15 juin 2013, 16:34
par rroo
http://forums.archlinux.fr/topic13750-20.html
Sinon pour éditer sudoers je me suis logué en root et j'ai lancé cette commande:
sudo EDITOR=/usr/bin/nano visudo
Donc maintenant ca fonctionne je peut faire sudo en usr ou en root.
Pour info j'ai rajouté l'utilisateur root car je ne pouvait plus éditer sudoers en root
j'ai rajouté l'utilisateur root car je ne pouvait plus éditer sudoers en root
Re: [sudoers]conf
Publié : sam. 15 juin 2013, 16:57
par rroo
j'ai remis le fichier sudoers(effaccé root et recommenté) par defaults
Mais maintenant je ne peut plus édité le fichier ni en root ni en user et je n'ai plus la permission d'écriture
sur mon home user !
Code : Tout sélectionner
[rroo@arch ~]$ sudo EDITOR=/usr/bin/nano visudo
[sudo] password for rroo:
rroo is not in the sudoers file. This incident will be reported.
[rroo@arch ~]$ su
Mot de passe :
[root@arch rroo]# sudo EDITOR=/usr/bin/nano visudo
root is not in the sudoers file. This incident will be reported.
[root@arch rroo]# exit
exit
[rroo@arch ~]$ nano /home/rroo/nouveau/commande cp
Re: [sudoers]conf
Publié : sam. 15 juin 2013, 17:44
par FoolEcho
rroo a écrit :[root@arch rroo]# sudo EDITOR=/usr/bin/nano visudo
root is not in the sudoers file. This incident will be reported.
Tu n'as visiblement pas compris... *soupir*
Pourquoi... *Pourquoi* utiliser sudo pour lancer visudo en root quand
EDITOR=/usr/bin/nano visudo suffit ?!
Une fois dedans, tu vérifies que le groupe wheel ou sudo est décommenté puis tu rajoutes ton utilisateur à l'un des groupes (en root, évidemment):
(ou sudo selon ce que tu utilises)
Mais franchement dans ton cas, tu devrais t'interdire l'usage même de sudo...
Re: [sudoers]conf
Publié : sam. 15 juin 2013, 17:47
par Xorg
Je crois que tu n'as vraiment pas compris à quoi servait
sudo. Ça veut dire Substitute User DO, en gros tu fais une action en tant qu'un autre utilisateur, généralement l'utilisateur
root.
Code : Tout sélectionner
[rroo@arch ~]$ sudo EDITOR=/usr/bin/nano visudo
[sudo] password for rroo:
rroo is not in the sudoers file. This incident will be reported.
C'est normal que ça fasse ça si tu as supprimé le fichier
/etc/sudoers, car c'est une chose à strictement proscrire. C'est tout comme éditer directement ce fichier...
Ensuite :
Jusqu'ici, c'est un réflexe tout à fait normal. Tu ne peux pas faire mieux même.
Code : Tout sélectionner
[root@arch rroo]# sudo EDITOR=/usr/bin/nano visudo
root is not in the sudoers file. This incident will be reported.
Et non enfin ! On n'a pas besoin d'utiliser
sudo quand on est déjà
root, vu que le principe de la commande
sudo, c'est d'utiliser les droits de
root le temps d'une commande.
Après t'être logué en
root, fait tout simplement :
Et voilà. Ne cherche pas à faire compliqué quand on peut faire simple...
EDIT : Tu m'as devancé FoolEcho.
Re: [sudoers]conf
Publié : sam. 15 juin 2013, 17:49
par FoolEcho
Xorg a écrit :Ensuite :
Jusqu'ici, c'est un réflexe tout à fait normal. Tu ne peux pas faire mieux même.
Si...
su - (
su tiret pour les moins attentifs, cf su) avant de pourrir le home de son utilisateur (ce qui je le crains, a du aussi se faire à un moment ou à un autre, mais c'est une autre histoire
).
Re: [sudoers]conf
Publié : sam. 15 juin 2013, 18:02
par Xorg
En fait, souvent je fais :
Code : Tout sélectionner
[user@host:~/]$ su
[root@host:/home/user]# cd
[root@host:~/]#
Mais merci du tuyaux oui.
Re: [sudoers]conf
Publié : sam. 15 juin 2013, 18:11
par FoolEcho
su - n'est pas un tuyau, c'est la bonne pratique (selon la nature de l'intervention bien sûr).
Et attention, su - n'est pas du tout équivalent à su + cd (compare les sorties de env) !
Re: [sudoers]conf
Publié : sam. 15 juin 2013, 19:40
par Xorg
Ah oui, avec un
su, env m'affiche des informations sur l'utilisateur connecté, tandis qu'avec
su -, env me montre que je suis bel et bien root.
Mais moi je lis très souvent
su, c'est pour ça que j'ai été surpris par le
su -.
Re: [sudoers]conf
Publié : sam. 15 juin 2013, 22:55
par rroo
C'est bon c'est rentré dans l'ordre avec le sudo en moins devant
J'ai commême fait un chown sur un dossier de mon user entre temps...
je touche plus a sudoers pour l'instant.
Merci pour votre aide
Re: [sudoers]conf(résolu)
Publié : sam. 15 juin 2013, 23:07
par widapit
J'ai quand même fait un chown sur un dossier de mon user entre temps...
si c'était nécessaire pour remettre les choses dans l'ordre, tu as bien fait mais normalement, tout ce qu'il y a dans /home/user/ devrait appartenir à user .