Le Tue, 6 Dec 2016 16:38:29 +0900, Charles Plessy <ple...@debian.org> a écrit :
> Le Mon, Dec 05, 2016 at 10:31:51PM +0100, Jack.R a écrit : > > > > Je n'autorise que quelques commandes. > ... > > # Debian tools for administration > > Cmnd_Alias DEBIAN_TOOLS = /usr/bin/aptitude, \ > > /usr/bin/apt-cache, \ > > /usr/bin/apt-file, \ > > /usr/bin/apt-get, \ > > /usr/bin/synaptic, \ > > /usr/bin/dpkg, \ > > Un sudoeur un peu futé peut donc créer un paquet au format Debian qui > va modifier /etc/sudoers via ses « scripts du responsable » scripts de > pré/post (dés)-installation, ou lancer toute autre commande de son > gré :) > > Comme dit la page de manuel en anglais il est difficile d'empêcher un > sudoeur déterminé de lancer la commande qu'il veut en tant > qu'administrateur (« There is no easy way to prevent a user from > gaining a root shell if that user is allowed to run arbitrary > commands via sudo »). > > Amicalement, > Le sudoeur en question doit faire partie du groupe ADMIN_TEAM (administration distante) ou être loggé en tant que toto (administration locale). Il s'agit donc de personnes dites de confiance dans la mesure où on leur a délégué une part d'administration de la machine. Si elles ne sont pas de confiance, il n'y a aucune raison de donner des droits sudo. -- Jack.R