Au-delà de Linux® From Scratch - Version svn-20120120

Chapitre 4. Sécurité

Sudo-1.8.2

Introduction à Sudo

Le paquet sudo permet à un administrateur système de donner à certains utilisateurs (ou à certains groupes d'utilisateurs) la possibilité de lancer tout ou partie des commandes en tant qu'utilisateur root ou qu'un autre utilisateur en enregistrant les commandes et les arguments.

Ce paquet est connu pour se construire et fonctionner correctement sur une plateforme LFS-7.0.

Informations sur le paquet

Dépendances de Sudo

Facultatives

Linux-PAM-1.1.5, Opie, SecurID, FWTK, un MTA (that provides a sendmail command), krb4, Heimdal-1.4 or MIT Kerberos V5-1.6, OpenLDAP-2.4.23 et AFS

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/sudo

Installation de Sudo

Installez sudo en lançant les commandes suivantes : 

./configure --prefix=/usr \
            --libexecdir=/usr/lib \
            --with-ignore-dot \
            --with-all-insults \
            --enable-shell-sets-home \
            --disable-root-sudo \
            --with-logfac=auth \
            --without-pam \
            --without-sendmail &&
make

Ce paquet n'est pas fourni avec une suite de tests.

Maintenant, en tant qu'utilisateur root : 

make install

Explication des commandes

--with-ignore-dot : Il résulte de ce paramètre que sudo ignore '.' dans le PATH.

--with-all-insults : Ce paramètre inclut tous les paramètres insulte de sudo.

--enable-shell-sets-home : Ce paramètre initialise HOME sur la cible utilisateur en mode shell.

--disable-root-sudo : Ce paramètre empêche l'utilisateur root de lancer sudo, en empêchant les utilisateurs d'enchaîner des commandes pour obtenir un shell root.

--with-logfac=auth : Ce paramètre oblige l'utilisation de la fonctionnalité auth pour l'enregistrement.

--without-pam : Ce paramètre désactive l'utilisation de l'authentication PAM. Ne le mettez pas si vous avez installé PAM.

--without-sendmail : Ce paramètre désactive l'utilisation de sendmail. Supprimez-le si vous avez un MTA compatible avec sendmail.

--enable-noargs-shell : Ce paramètre permet à sudo de lancer un shell s'il est appelé sans arguments.

[Note]

Note

Il y a de nombreuses options pour la commande configure de sudo. Regardez la sortie de configure --help pour une liste complète.

Configuration de Sudo

Config File

/etc/sudoers

Informations de configuration

Le fichier sudoers peut être très compliqué. Il se compose de deux types d'entrées : des alias (des variables de base) et des spécifications utilisateur (qui indiquent qui peut lancer quoi). L'installation installe une configuration par défaut qui n'a aucun privilège installés pour aucun utilisateur.

Un exemple d'utilisation est de permettre à l'administrateur système d'exécuter n'importe quel programme sans taper de mots de passe à chaque fois que les privilèges root sont nécessaires. On peut configurer cela ainsi : 

# User alias specification
User_Alias  ADMIN = YourLoginId

# Autorise les membres du groupe ADMIN à lancer toutes les commandes sans mot de
# passe
ADMIN       ALL = NOPASSWD: ALL

Pour des détails, voir man sudoers.

[Note]

Note

Les développeurs de Sudo recommandent fortement d'utiliser le programme visudo pour éditer le fichier sudoers. Il fournira une vérification de santé de base comme l'analyse de la syntaxe et les droits du fichiers pour éviter des erreurs possibles qui pourraient aboutir à une configuration vulnérable.

Si vous avez construit Sudo avec le support PAM, exécutez la commande suivante en tant qu'utilisateur root user pour créer le fichier de configuration PAM : 

cat > /etc/pam.d/sudo << "EOF" &&
# Begin /etc/pam.d/sudo

# Inclure les paramètres d'authentification par défaut
auth      include     system-auth

# Inclure les paramètres du compte par défaut
account   include     system-account

# utilisation des clefs xauth (si disponible)
session   optional    pam_xauth.so

# Initialise les variables d'environnement pour l'utilisateur
session   required    pam_env.so

# Inclure les valeurs par défaut de la session système
session   include     system-session

# End /etc/pam.d/sudo
EOF
chmod 644 /etc/pam.d/sudo

Contenu

Programmes installés: sudo, sudoedit, et visudo
Bibliothèque installée: sudo_noexec.so
Répertoires installés: Aucun

Descriptions courtes

sudo

exécute une commande en tant qu'un autre utilisateur selon les permissions du fichier de configuration /etc/sudoers.

sudoedit

est un lien dur vers sudo qui inclut l'option -e pour appeler un éditeur en tant qu'un autre utilisateur.

visudo

permet une édition sécurisée du fichier sudoers.

sudo_noexec.so

active le support de la fonctionnalité "noexec" qui empêche un programme lié de manière dynamique exécuté par sudo d'exécuter un autre programme (pensez aux échappements du shell).

Last updated on 2011-12-06 20:16:56 +0100