A propos de sudo

grandtoubab · Mai 10, 2016, 7:09am

Salut,
Lisant ça:

7.2.2.1 Droits d’accès

je vois que mon installation ne satisfait pas la règle de securité:

root@debian:/# cd /usr/bin
root@debian:/usr/bin# ls -al sudo
-rwsr-xr-x 1 root root 136848 janv.  5 01:37 sudo

alors j’ai fait

root@debian:/usr/bin# chown root:sudo sudo
root@debian:/usr/bin# chmod 4750 sudo
root@debian:/usr/bin# ls -al sudo
-rwsr-x--- 1 root sudo 136848 janv.  5 01:37 sudo

vérifier le group sudo

root@debian:/usr/bin# cat /etc/group | grep sudo

Qu’en pensent les experts en sécurité?

Mimoza · Mai 10, 2016, 7:20am

L’idée n’est pas mauvaise.
Au lieu d’autoriser tous les utilisateurs à exploiter une éventuelle faille pour une élévation de privilège, tu limite a un groupe restreint que tu as soigneusement sélectionné.
Comme dit dans le document, ça réduit la surface d’attaque possible.

severian · Mai 10, 2016, 7:42am

si vraiment tu veux aller plus loin dans la configuration de sudo et surtout de la gestion des droits, je ne peux que te conseiller de regarder le man sudoers

mieux de de créer un groupe sudo, tu peux règler finement dans la configuration sudoers des alias pour chaque utilisateur / groupe / commande…
(bonne lecture )

grandtoubab · Mai 10, 2016, 7:55am

le groupe sudo est créé par Debian d’origine mais pas finement utilisé et l’utilisation de sudoers bien décrite dans le document que j’ai indiqué…

severian · Mai 10, 2016, 7:54am

oups ça m’apprendra

PengouinPdt · Mai 10, 2016, 11:16am

Ahhh, les vieilles habitudes ont la vie dure … même si elles ne sont pas les plus effic(ac|ient)es !

# getent group sudo

grandtoubab · Mai 10, 2016, 12:10pm

“Quand le sage montre la lune, l’idiot regarde le doigt”
ou bien " il ne faut pas lâcher la proie pour l’ombre"

PengouinPdt · Mai 10, 2016, 12:12pm

Euhh, moi pas comprendre là ???
Quel est le rapport ?

David_5.1 · Mai 12, 2016, 11:57pm

La modification proposée peut empêcher le fonctionnement de sudo si on configure pour donner des droits à des utilisateurs qui ne sont pas dans le groupe sudo. C’est pas un cas d’utilisation majoritaire, mais la configuration par défaut peut s’expliquer par ça.
Par exemple, ça peut être le cas si on a des utilisateurs dans un LDAP et qu’on veut gérer un groupe qui a les droits sudo dans le LDAP directement.
Mais sinon, c’est une idée de durcissement cohérente qui peut permettre de limiter les dégats en cas de faille dans le programme sudo comme dit par Mimoza.