Utilisation sudo / bloquer sudo -s

ClementDebian · Août 18, 2022, 2:24pm

Bonjour,

Je voudrai enlever l’option sudo -s de mon compte principal et qu’il puisse utiliser que « su » pour pouvoir se connecter en root. Par conséquence utiliser un mot de passe différent pour le « su ».

Mon compte debian à déjà son propre mot de passe et j’ai modifié le mot de passe root → Quand je tape « su » on me demande un mot de passe diférent que le mot de passe de connexion à mon compte.

Voila, cependant si je tape sudo -s , il me demande un mot de passe pour acceder au root et ce mot de passe est le même que celui de mon compte (je ne sais pas si je peux le modifier). C’est donc pour cela que je veux interdire la commande sudo -s et autres commandes sudo pour cet utilisateur et autorisé que « su » qui demande alors un mot de passe root différent.

Je suis allé dans le fichier /etc/sudoers et essayer de taper quelque chose mais ca n’a pas l’air de fonctionner véritablement.

ligne tapée : jeedom ALL=(jeedom) sudo -s,!/etc/*

Voila ce qu’il me dit quand je tape sudo -s maintenant :

jeedom@jeedom:~ $ sudo -s
>>> /etc/sudoers: erreur de syntaxe near line 30 <<<
sudo: erreur d'analyse grammaticale dans /etc/sudoers aux environs de la ligne 30
sudo: aucune source sudoers valide n'a été trouvée, fin d'exécution
sudo: impossible d'initialiser le greffon de règles
jeedom@jeedom:~ $

Certe sa bloque bien la commande sudo -s mais bon je ne sais si c’est bien fait…

Serait’il possible de m’aider s’il vous plait ? De plus je ne comprends pas grand chose à la facon dont est écrit les autorisations par exemple : root ALL=(ALL:ALL) ALL

Je me suis renseigné sur internet mais c’est toujours aussi flou, si quelqu’un peut m"éclaircir et m’aider à comprendre ce fichier sudoers et ce qui est dedans ca serait super cool

Merci par avance,

vbreton · Août 18, 2022, 12:38pm

Bonjour,

Cette page en anglais décrit assez bien le rôle des différentes colonnes de sudoers:https://www.golinuxcloud.com/add-user-to-sudoers/

choops · Août 18, 2022, 12:51pm

Je rejoins @Verner, pourquoi conserver des droits « sudo » pour cet utilisateur qui ne doit visiblement pas bénéficier de privilèges « root » de ce que je comprends ?
Ca n’a pas vraiment de sens de laisser les droits sudo à cet utilisateur dans un cas pareil.

Auquel cas, il suffit de retirer l’utilisateur du groupe sudo et l’affaire est réglée:
Je veux que « myuser » puisse utiliser sudo, je passe root via su -et je fais un: adduser myuser sudo
Je veux lui retirer la possibilité d’utiliser sudo, je passe root via su - et je fais un: deluser myuser sudo

Mais par pitié, que les gens arrêtent de vouloir éditer /etc/sudoers (avec vi ou via visudo), c’est particulièrement sale !

Autre chose:

L’exclusion de /etc/* exclue également /etc/sudoers … d’où la suggestion de gérer les accès au groupe sudo via la gestion de groupe des utilisateurs plutôt qu’en bidouillant dans /etc/sudoers qui mène à des erreurs de ce type.

choops · Août 18, 2022, 12:50pm

Alors, là, ça dépend du contexte… sur un système avec un utilisateur unique, je suis d’accord avec toi. En revanche, à considérer qu’il y aurait plusieurs utilisateurs, il est possible que certains doivent bénéficier d’un usage de sudo sans avoir connaissance du mot de passe de root, ce qui fait que le paquet sudo a alors son utilité en tant qu’élément installé.

Zargos · Août 18, 2022, 1:09pm

Ce qui semble avoir été oublié ici, c’est que parfois il eut être nécessaire d’utiliser juste pour des commandes spécifiques.
par exemple j’utilise XCA, et comme la base de donnée n’est accessible que pour sudo, j’y accède via mon compte utilisateur avec lxqt-sudo. j’ai donc modifié mon sudoers pour que l’utilisateur puisse utiliser la commande.
j’ai laissé la ligne du groupe sudo si je l’utilise. pas besoin de la supprimer pour les raison justement qu’évoquait @choops .
visudo est évident quant à son utilisation.
et actuellement je suis en train de mettre en place la configuration de sudo via LDAP qui permet une utilisation dynamique de la configuration, et m’évite de devoir recopier mes configuration dans toutes mes machines.

ClementDebian · Août 18, 2022, 2:28pm

Enfaite, je veux vraiment différencier mon compte utilisateur et mon compte sudo sur mon Debian.
Pour passer en root je veux qu’on passe forcement par une connexion avec su.

Donc enlever tous les privilèges root à mon compte utilisateur et si je veux faire des modifications je dois passer par mon compte root et donc taper un mot de passe pour avoir les privilèges root (mot de passe différents que celui du compte utilisateur).

Je veux apporter cette modification pour des questions de sécurité sur le serveur.

J’ai donc entré la commande que tu conseil :

jeedom@jeedom:/home/jeedom# deluser jeedom sudo 
Suppression de l'utilisateur « jeedom » du groupe « sudo »... 
Fait.

« Jeedom » est plus dans le groupe sudo, après redémarrage de la machine, je ne peux plus en effet passer en sudo depuis sudo -s [correction message].

Je prends en note tes deux petites commandes que je ne connaisais pas du tout !

Merci bien

ClementDebian · Août 18, 2022, 2:07pm

Je vais jeter un coup d’oeil merci