#1 Le 12/06/2013, à 09:52
- solarinside
Faire des niveaux d'admin (sudoers/visudo)
Bonjour à tous,
J'aurais besoin de renseignements à propos du fichier sudoers.
J'utilise Ubuntu 12.04.
Mon problème est le suivant. J'ai pour ambition de créer 3 groupes différents.
Admin : Existe déjà dans le sudoers. Je l'ai ajouté dans les groupes, et j'ai mis dans ce groupe mon Admin qui peut se connecter en root (le premier créé lors de l'installation).
Admin 1 : Ce groupe contient ceux qui ont les mêmes droits que celui du group Admin. SAUF changer le mot de passe de celui qui est en Admin
Admin 2 : Ce groupe contient ceux qui ont juste des droits d'installation. Il ne peuvent pas se connecter en root. Ceux des groups Admin et Admin 1 peuvent changer son mot de passe.
Le problème qui se pose, c'est comment faire? J'ai réfléchi à ajouter cela dans le groupe sudoers pour le groupe Admin 1 :
%Admin 1 ALL = (root) PASSWD: /chemin du fichier qui lance les privilèges de changement de mot de passe/
Si dans les groupes, je place mon utilisateur que je veux mettre dans le groupe Admin 1, dans le groupe SUDO il obtient tous les droits, même celui de changer le mot de passe de l'Admin. Mais ce n'est pas ce que je veux, je veux qu'il puisse tout faire, sauf changer CE mot de passe précisément.
Auriez-vous une astuce?
Merci d'avance
Hors ligne
#2 Le 12/06/2013, à 11:26
- Bigcake
Re : Faire des niveaux d'admin (sudoers/visudo)
Bonjour,
Aouch, a tu réèlement créé tes groupes avec un espace ? 'admin 1' 'admin 2'
Personnelement, j'aurais pas osé tellement ça peut poser des problèmes, m'enfin j'avoue n'avoir jamais essayé....
En imaginant que tu n'ai pas mis d'espace, pour admin2
Tu peux ajouter dans /etc/sudoers :
%admin2 ALL = /usr/bin/dpkg, /usr/bin/apt-get, /usr/bin/aptitude
Ne sachant pas ce que tu privilégie, j'ai mis les 3 (apt-get,aptitude,dpkg), les gens appartenant à ce groupe ne pourront utiliser sudo que pour lancer ces 3 commandes
Pour admin1, il faut déja l'empêcher de se connecter en root avec 'sudo su' ou 'sudo -s'
Dernière modification par Bigcake (Le 12/06/2013, à 11:34)
"Les gens" ne sont pas cons, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
Smartphone+GNU/Linux=Librem5
Hors ligne
#3 Le 12/06/2013, à 11:31
- solarinside
Re : Faire des niveaux d'admin (sudoers/visudo)
Bonjour,
Merci de ta réponse rapide.
Merci pour la commande sur le groupe admin2. Pas d'inquiétude, je ne le les ai pas encore créé, j'ai utilisé ces noms pour exemple .
Pour admin1, comment l'empêcher de se connecter en sudo su ou sudo -s, sachant que si tel est le cas, je ne suis plus administrateur:/
Hors ligne
#4 Le 12/06/2013, à 11:38
- Bigcake
Re : Faire des niveaux d'admin (sudoers/visudo)
Pour admin1, c'est bcp plus compliqué, je ne suis pas sur que ce soit possible (je suis en train de chercher, car c'est intéressant comme problèmatique)
En attendant, on peut rendre ça plus compliqué, donc on rend 'su' interdit avec sudo, ainsi que tout les shell existant pour -s :
%admin1 ALL = !/bin/su, !/bin/sh, .....
je te laisse mettre la liste de tout les shell installable , je suis en train de regarder si y a pas un moins compliqué pour empècher le 'sudo -s'
Dernière modification par Bigcake (Le 12/06/2013, à 11:40)
"Les gens" ne sont pas cons, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
Smartphone+GNU/Linux=Librem5
Hors ligne
#5 Le 12/06/2013, à 11:40
- solarinside
Re : Faire des niveaux d'admin (sudoers/visudo)
Merci pour ta réponse rapide ainsi que pour la commande.
Le soucis, c'est que malgré le fait de faire un deny sur le su, j'aurais toujours les droits du sudo, donc implicitement le droit de modifier les mots de passe
Hors ligne
#6 Le 12/06/2013, à 11:47
- Bigcake
Re : Faire des niveaux d'admin (sudoers/visudo)
c'est une première étape, s'il peut passer root, il peut tous faire, donc la 1ère étape c'est de l'empêcher de devenir root après on l'empèche de changer le mot de passe root :
%admin1 ALL = !/usr/bin/passwd
ps: grumpf, tu réponds plus vite que je ne modifie mes postes
"Les gens" ne sont pas cons, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
Smartphone+GNU/Linux=Librem5
Hors ligne
#7 Le 12/06/2013, à 11:48
- Bigcake
Re : Faire des niveaux d'admin (sudoers/visudo)
Bon le souci, c'est que le mot de passe est modifiable si la personne a accès physiquement a la machine, a l'aide d'un CD ou USB live ou en sortant le disque du PC
Dernière modification par Bigcake (Le 12/06/2013, à 11:49)
"Les gens" ne sont pas cons, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
Smartphone+GNU/Linux=Librem5
Hors ligne
#8 Le 12/06/2013, à 11:52
- solarinside
Re : Faire des niveaux d'admin (sudoers/visudo)
Faut dire que je suis au taquet, ce problème me pose véritablement...problème.
Cette commande :
%admin1 ALL = !/usr/bin/passwd
Ne risque t'elle pas de m'empêcher d'accéder au répertoire pour me loguer en tant qu'admin1 ou bien le ! signifie juste que je n'ai pas de droit d'écriture (mais x+r). Mais je ne peux dans ce cas, plus changer aucun mot de passe, même ceux du groupe inférieur admin2?
NOn?
Hors ligne
#9 Le 12/06/2013, à 11:52
- solarinside
Re : Faire des niveaux d'admin (sudoers/visudo)
Le système sera directement installé, donc pas de USB/CD live
Hors ligne
#10 Le 12/06/2013, à 11:55
- Bigcake
Re : Faire des niveaux d'admin (sudoers/visudo)
Ca lui interdit juste d'utiliser la commande passwd avec la comande sudo, donc effectivement, tu ne pourra pas changer le mdp du groupe inferieur
Sinon autre idée, tu peux tout interdire à admin1 et faire une liste blanche au fur et a mesure de ce qu'il a le droit d'utiliser, comme admin2 en fait sauf que la liste sera bcp plus grande
Mais ça ne règle pas encore le pb du changement de mot de passe....
"Les gens" ne sont pas cons, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
Smartphone+GNU/Linux=Librem5
Hors ligne
#11 Le 12/06/2013, à 11:58
- solarinside
Re : Faire des niveaux d'admin (sudoers/visudo)
Eventuellement, connaitrais tu la commande liée à users-admin qui active ou désactive le bouton "modifier" du mot de passe du root?
Mais peut être que j'en demande trop à Ubuntu...
Hors ligne
#12 Le 12/06/2013, à 12:00
- Bigcake
Re : Faire des niveaux d'admin (sudoers/visudo)
Le système sera directement installé, donc pas de USB/CD live
Heu..... s'il y a des ports USB ou un lecteur CDROM, et que le PC est autorise le boot dessus, le mot de passe root est modifiable
Pour empècher ça, il faut mettre un mot de passe au BIOS et interdire le boot sur USB ou CDROM
Après pour emêcher la personne de sortir le disque dur ou faire un reset du BIOS, il faut mettre un cadenas sur la tour :]
Dernière modification par Bigcake (Le 12/06/2013, à 13:15)
"Les gens" ne sont pas cons, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
Smartphone+GNU/Linux=Librem5
Hors ligne
#13 Le 12/06/2013, à 12:33
- solarinside
Re : Faire des niveaux d'admin (sudoers/visudo)
Mais comment le mot de passe root est-il modifiable? Tu veux dire qu'il le serait pas un admin1?
Avec un live CD, se logguer sur une session de la version installée est possible?
Hors ligne
#14 Le 12/06/2013, à 13:18
- Bigcake
Re : Faire des niveaux d'admin (sudoers/visudo)
Tiens un petit article qui me parait assez complet sur le sujet : http://linux.leunen.com/?p=193
"Les gens" ne sont pas cons, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
Smartphone+GNU/Linux=Librem5
Hors ligne
#15 Le 12/06/2013, à 13:50
- Bigcake
Re : Faire des niveaux d'admin (sudoers/visudo)
De toute façon, ...... je voit pas l’intérêt de faire un groupe qui peut tout faire sauf changer le mdp root, parce que même si on arrive a interdire le changement de mot de passe root ou de 'Admin', l'admin1 pourra modifier la configuration qui l'empêche de le changer....
Je ne pense pas que ce soit réalisable, s'il veut vraiment, il pourra, tu n'a plus qu'a avoir confiance en l'admin1 pour qu'il ne change pas le mdp root ou le mdp des 'Admin'
Pour en faire un minimum, tu peux interdire passwd avec sudo et faire un script remplaçant passwd qui vérifiera si l'utilisateur du mot de passe qui sera changé n'est pas root ou 'Admin', mais ça restera contournable
Dernière modification par Bigcake (Le 12/06/2013, à 21:31)
"Les gens" ne sont pas cons, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
Smartphone+GNU/Linux=Librem5
Hors ligne