Sudo-1.8.31
Introduction à Sudo
Le paquet Sudo permet à un
administrateur système de donner à certains utilisateurs (ou à
certains groupes d'utilisateurs) la possibilité de lancer tout ou
partie des commandes en tant qu'utilisateur root
ou qu'un autre utilisateur en enregistrant
les commandes et les arguments.
Ce paquet est connu pour se construire correctement sur une
plateforme LFS-9.1.
Informations sur le paquet
Dépendances de Sudo
Facultatives
Linux-PAM-1.3.1, MIT Kerberos
V5-1.18, OpenLDAP-2.4.49, MTA
(qui fournit une commande sendmail), AFS, FWTK et Opie
Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/sudo
Installation de Sudo
Tout d'abord, corrigez un problème qui empêche l'installation de
terminer :
sed -e '/^pre-install:/{N;s@;@ -a -r $(sudoersdir)/sudoers;@}' \
-i plugins/sudoers/Makefile.in
Installez Sudo en lançant les
commandes suivantes :
./configure --prefix=/usr \
--libexecdir=/usr/lib \
--with-secure-path \
--with-all-insults \
--with-env-editor \
--docdir=/usr/share/doc/sudo-1.8.31 \
--with-passprompt="[sudo] password for %p: " &&
make
Pour tester les résultats lancez : env LC_ALL=C make check 2>&1 | tee
../make-check.log. Vérifiez les résultats avec
grep failed
../make-check.log. Un test, test3 est connu pour
échouer si les tests sont lancés en tant qu'utilisateur root.
Maintenant, en tant qu'utilisateur root
:
make install &&
ln -sfv libsudo_util.so.0.0.0 /usr/lib/sudo/libsudo_util.so.0
Explication des commandes
--libexecdir=/usr/lib
: Ce
paramètre contrôle où les programmes privés sont installés. Tous
dans ce répertoire est une bibliothèque, alors ils sont mis dans
/usr/lib
au lieu de /usr/libexec
.
--with-secure-path
:
Ce paramètre ajoute de façon transparente les répertoires
/sbin
et /usr/sbin
dans la variable d'environnement
PATH
.
--with-all-insults
:
Ce paramètre inclut toutes les insultes de sudo.
--with-env-editor
: Ce
paramètre active l'utilisation de la variable d'environnement
EDITOR pour visudo.
--with-passprompt
: Ce
paramètre initialise le mot de passe du prompt.
--without-pam
: Ce paramètre
empêche de construire le support Linux-PAM quand Linux-PAM est installé sur le système.
Note
Il y a de nombreuses options pour la commande configure de sudo. Regardez la sortie de configure --help pour une liste
complète.
ln -sfv
libsudo_util... : contourne un bogue dans le
processus d'installation, qui lie à la version précédemment
installée (si elle est là) au lieu de la nouvelle.
Configuration de Sudo
Fichier de
configuration
/etc/sudoers
Informations sur la configuration
Le fichier sudoers
peut être très
compliqué. Il se compose de deux types d'entrées : des alias
(simplement des variables) et des spécifications utilisateur (qui
indiquent qui peut lancer quoi). L'installation installe une
configuration par défaut qui n'a aucun privilège installés pour
aucun utilisateur.
Quelques modifications de la configuration usuelles consistent à
indiquer le chemin de recherche pour le super utilisateur et à
autoriser les membres du groupe wheel à exécuter toutes les
commandes après avoir fournit leur propre mot de passe. Utilisez
les commandes suivantes pour créer le fichier de configuration
/etc/sudoers.d/sudo
en tant
qu'utilisateur root
:
cat > /etc/sudoers.d/sudo << "EOF"
Defaults secure_path="/usr/bin:/bin:/usr/sbin:/sbin"
%wheel ALL=(ALL) ALL
EOF
Pour des détails, voir man
sudoers.
Note
Les développeurs de Sudo
recommandent fortement d'utiliser le programme visudo pour éditer le fichier
sudoers
. Il fournira une
vérification de santé de base comme l'analyse de la syntaxe et
les droits du fichier pour éviter des erreurs possibles qui
pourraient aboutir à une configuration vulnérable.
Si PAM est installé sur le
système, Sudo est construit avec
le support PAM, exécutez la
commande suivante en tant qu'utilisateur root
pour créer le fichier de configuration
PAM :
cat > /etc/pam.d/sudo << "EOF"
# Begin /etc/pam.d/sudo
# include the default auth settings
auth include system-auth
# include the default account settings
account include system-account
# Set default environment variables for the service user
session required pam_env.so
# include system session defaults
session include system-session
# End /etc/pam.d/sudo
EOF
chmod 644 /etc/pam.d/sudo
Contenu
Programmes installés:
cvtsudoers, sudo, sudoedit (lien
symbolique), sudoreplay et visudo
Bibliothèques installées:
group_file.so, libsudo_util.so,
sudoers.so, sudo_noexec.so et system_group.so
Répertoires installés:
/etc/sudoers.d, /usr/lib/sudo,
/usr/share/doc/sudo-1.8.31 et /var/{lib,run}/sudo
Descriptions courtes
cvtsudoers
|
convertit entre les différents formats de fichiers
sudoers.
|
sudo
|
exécute une commande en tant qu'un autre utilisateur
selon les permissions du fichier de configuration
/etc/sudoers .
|
sudoedit
|
est un lien symbolique vers sudo qui inclut
l'option -e pour appeler un
éditeur en tant qu'un autre utilisateur.
|
sudoreplay
|
est utilisé pour rejouer ou afficher les logs de sorties
créés par sudo.
|
visudo
|
permet une édition sécurisée du fichier sudoers .
|
Last updated on 2020-02-15 17:54:30 +0100