[Admin] Bonnes pratiques sudoers ?

Support Debian
#1

Bonjour,

Je me permet de poster afin de m’éclaircir sur la bonne mise en oeuvre d’une politique sudoers.

Actuellement, j’ai un groupe d’utilisateurs qui se logue en root… c’est pourquoi je souhaite reprendre la politique d’accès dans son ensemble.

Le besoin :

  • un groupe d’utilisateurs nécessitent les droits root (ca j’ai compris je met la liste des users avec droits :ALL)
  • un groupe de users nécessitant le droit super-user pour l’accès à certaines commandes seulement
    –> là je dois mettre la liste exhaustive des commandes pour chaque utilisateurs si j’ai bien compris

Questions

  1. Est-il possible d’alléger cette configuration en gérant les sudoers par Group et non par user au cas par cas ?

2)Un compte user peut-il être viable sans aucun /home/directory ? On me demande de virer les homedir pour des contraintes d’espace disque… Que se passe t’il lorsqu’un user sans Home se logue ? JE suppose qu’il n’a acces à l’ecriture que dans /tmp ?? Quel autre impact ?
–> est-il envisageable d’utiliser un /home commun à plusieurs users ?

Par avance, merci pour votre expertise :wink:

#2

Salut,

JAMAIS un utilisateur ne devrait avoir besoin d’un droit ROOT :013

AUCUN groupe ne devrait avoir besoin des droits de SUPER USER qui est le synonyme de root :013

#3

Dans le man de sudoers, au début, tu as un paragraphe qui triate de ce que tu cherches ; “aliases”, tu dois pouvoir y trouver ton bonheur.

#4

Re,

Par curiosité voudrais tu nous dire quelles manœuvres “root” un utilisateur est-il amené à faire ?

#5

J’ai l’impression que notre ami s’est mal exprimé et qu’il voulait juste parler des utilisateurs ayant droits complets avec ‘sudo’.

#6

Sans doute mais il à l’air aussi de parler d’un système multi-utilisateurs et dans ce cas avoir des droits complets à plusieurs !

Je ne désespère pas qu’il nous donne une réponse :slightly_smiling:

#7

Apparemment, c’est bien ça. Ce n’est pas un problème à partir du moment où tu es conscient que les utilisateurs à qui tu donnes les droits ont plein pouvoirs sur ta machine (tu dois donc avoir confiance en leur honnêteté et leur compétence).

C’est tout à fait possible de gérer sudo avec des groupes. Si tu mets :

L’utilisateur « user » aura le droit d’exécuter shutdown.
Si tu mets :

%group ALL:/sbin/shutdown
Les utilisateurs du groupe « groupe » pourront exécuter shutdown.

[quote=“lola92”]Un compte user peut-il être viable sans aucun /home/directory ? On me demande de virer les homedir pour des contraintes d’espace disque… Que se passe t’il lorsqu’un user sans Home se logue ? JE suppose qu’il n’a acces à l’ecriture que dans /tmp ?? Quel autre impact ?
–> est-il envisageable d’utiliser un /home commun à plusieurs users ?
[/quote]
Le home commun, ça risque de ne pas fonctionner si un programme inscrit le nom d’utilisateur dans sa config.
Tu peux mettre certains homes en RAM (tmpfs dans le fstab), mais à chaque démarrage ils perdront leurs configs et documents.

#8

Re,

Ce qui même pour une opération bénigne comme shutdown permet à un utilisateur de couper la machine au nez et à la barbe de ses petits camarades :slightly_smiling:

Ne désespérons pas, l’auteur va nous répondre ou alors il est mort de rire et se croit Vendredi :slightly_smiling: