Sudo sans pass : possible ?

Tt est ds le titre et il faut ajouter
si oui, comment ?

heu, je comprend pas ricardo, sans pass, c’est à dire ?

je crois qu’il y a moyen de rajouter dans visudo une ligne du genre :
%nomdugroupe ALL=(root) NOPASSWD: commande/a/executer

oui c’est ca yannich pour moi c’est dans le fichier /etc/sudoers que ca se passe. La commande peut en plus etre un alias d’autres commandes ce qui peux donner le fichier sudoers suivant

[code]# /etc/sudoers

This file MUST be edited with the ‘visudo’ command as root.

See the man page for details on how to write a sudoers file.

Host alias specification

User alias specification

Cmnd alias specification

Cmnd_Alias RICARDO=/sbin/tune2fs,/bin/kill,/sbin/halt,/sbin/reboot

User privilege specification

root ALL=(ALL) ALL
Ricardo ALL=(ALL) NOPASSWD: RICARDO
[/code]

c’est vrai que c’est plus simple que dans mon fichier ou ya 25 fois la meme ligne avec des progs différents :slight_smile:
merci de l’info!

Merci à ts et spécialement à Ash.
résolu

Je reviens sur l’affaire pour un complément de possibilités :
D’après ce que j’ai compris plus haut et que j’ai testé à ma façon, on peut paramétrer sudo sans pass. Très bien !
Peut-on, parrallèlement, paramétrer seulement certaines commandes sans pass alors que pour les autres il faudra tjrs un pass.

J’ai testé comme suit :

root ALL=(ALL) ALL Cmnd_Alias RICARDO=/usr/sbin/synaptic ricardo ALL=(ALL) NOPASSWD: RICARDO
avec ce paramétrage, quand je tape
$ sudo synaptic
OK, pas de pass demandé et Synaptic s’ouvre.
si je tape une autre commande, par ex :
$ sudo kwrite /etc/fstab
J’obtiens une fin de non recevoir et c’est logique puisque cette dernière commande n’est pas déclarée.
J’ai tenté d’ajouter en dernier ds sudoers la ligne :
ricardo ALL=(ALL) ALL
mais là, je peux tout ouvrir avec sudo mais sans pass ce qui ne me paraît pas logique et = danger
:cry:

[quote=“ricardo”]Peut-on, parrallèlement, paramétrer seulement certaines commandes sans pass alors que pour les autres il faudra tjrs un pass.
[/quote] Oui .
le mot clé sera alors PASSWD, mais l’ordre est important, qu’il faut retrouver dans un tuto, car je me souviens plus …
Soit les commandes avec PASSWD doivent toujours être avant, soit aprés les commandes avec NOPASSWD. Dans le mauvais ordre ça ne fonctionne pas.

Merci Usinagaz, je vais étudier ça demain.
Je pense qu’il serait intéressant de faire un trucs et astuces sur ‘sudo’.
Une fois que j’aurai bien emmagasiné tt ça, j’essaierai avec l’aide de ts.
Ça peut être intéressant pour des débutants.

[quote=“ricardo”]

root ALL=(ALL) ALL Cmnd_Alias RICARDO=/usr/sbin/synaptic ricardo ALL=(ALL) NOPASSWD: RICARDO[/quote]

je trouve qu’il faudrait éviter cette ambiguité entre ricardo (user) et RICARDO commande … mais si tu veux faire comme ça, je suppose que tu dois rajouter les lignes :

Cmnd_Alias RICARDO=/usr/sbin/synaptic Cmnd_Alias RICARDO2=/<bindekwrite>/kwrite /etc/fstab .......................................................................... ricardo ALL=(ALL) NOPASSWD: RICARDO ricardo ALL=(ALL) PASSWD: RICARDO2

Edit: pas evident pour PASSWD, à creuser …
heu /etc/fstab peut être éditer en simple user chez moi, sans sudo … c’est pour l’exemple ?

Certainement, je te mets mon modele ici, qui je pense fonctionne bien (je ne sais plus où je l’ai moi-même pêché …), et qui va je pense t’aider d’un coup d’oeil à voir comment ça fonctionne :

[quote]# Host alias specification
Host_Alias LOCALNET=localhost.localdomain

User alias specification

User_Alias ADMIN=jcode

Cmnd alias specification

Cmnd_Alias MODINFO=/sbin/modinfo
Cmnd_Alias HALT=/sbin/halt
Cmnd_Alias TAIL=/usr/bin/tail
Cmnd_Alias ALSACONF=/usr/sbin/alsaconf
Cmnd_Alias FIRESTARTER=/usr/sbin/firestarter
Cmnd_Alias DEBIAN_TOOLS=/usr/bin/apt-get,/usr/bin/auto-apt,/usr/bin/dpkg,/usr/bin/dselect,/usr/sbin/dpkg-reconfigure
Cmnd_Alias VLOG=/usr/local/bin/vlog
#Cmnd_Alias UDISK=/bin/umount /mnt/disk1
#Cmnd_Alias MDISK=/bin/mount -t vfat /dev/hdb1 /mnt/disk1
Cmnd_Alias UPDATEDB=/usr/bin/updatedb
Cmnd_Alias NET_TOOLS=/usr/bin/ethereal,/usr/bin/etherape

User privilege specification

root ALL=(ALL) ALL
ADMIN (— en une ligne —) LOCALNET=NOPASSWD:NET_TOOLS,NOPASSWD:UPDATEDB,NOPASSWD:VLOG,NOPASSWD:DEBIAN_TOOLS,NOPASSWD:FIRESTARTER,NOPASSWD:HALT,NOPASSWD:MODINFO,NOPASSWD:TAIL,NOPASSWD:ALSACONF

commandes sup.

NOPASSWD:UDISK,NOPASSWD:MDISK,

[/quote]

édité : oui mais pas sauvegardé si modif et chez moi, la présentation est différente si c’est édité en tant qu’user et en tant que root, c’est pour ça que je vois tt de suite comment c’est ouvert.

Salut,

Le problème est-il de savoir si c’est possible ou si c’est prudent.

Pourquoi chercher à revenir à un système où tout individu ayant réussi à pénétrer le domaine utilisateur peut sans aucun contrôle se mettre à faire tout ce qu’il veut (celà ne vous rappelle rien)

Non Goodluck, la question n’est pas si c’est bien ou mal mais de comprendre si c’est possoble de :
avoir un sudo configuré “classiquement”, càd avec demande de mdp pour ts les services sauf un (ou deux ou trois) pour lequel on veut ne pas à avoir à enter de mdp.
C’est un correspondant d’un autre site qui demande ça et je suis intéressé aussi mais surtout pour “apprendre” 'sudo’
Malheureusement, le man n’est pas traduits pour sudo et mon anglais est trop pauvre pour tt comprendre.

A Usinagaz :
avec la config que tu me donnes plus haut, quand tu charges une commande autre que celles pour lesquelles tu a demandé “sans pass”, est-ce que tu as la demande de pass ?
J’ai tenté qq chose de similaire en changeant RICARDO par PATRON :wink: et avec un seul test : Synaptic.
Sans rien de plus, je peux bien ouvrir Synaptic sans pass mais rien d’autre.
J’ai essayé d’ajouter une ligne en plus :
ricardo ALL=(ALL) ALL
mais là, j’ouvre TOUT sans pass, ce que je ne veux pas.

C’est une question de «Session». sudo, par je ne sais plu quel miracle se souviens que telle ou telle commande sudo à été tapée.

Par conséquant, si tu fais un sudo pouet, alors que pouet est en “NOPASSWD”, alors sudo ne te demandera plu le mot de passe pour aucune des autre commandes.

Enfin, je dit ça, je dit rien, c’est juste qu’il me semble que cela fonctionne comme ça… :slightly_smiling:

[quote]Par conséquant, si tu fais un sudo pouet, alors que pouet est en “NOPASSWD”, alors sudo ne te demandera plu le mot de passe pour aucune des autre commandes. [/quote] Oui, je m’en suis rendu compte aussi et je trouve ça très illogique.
Cherchons encore :laughing: