From 8886f531e6a0bdd22fca4e1e6ce32b0ff48fdabb Mon Sep 17 00:00:00 2001 From: jlecour Date: Wed, 21 Feb 2018 22:19:58 +0100 Subject: [PATCH] =?UTF-8?q?pr=C3=A9cision=20pour=20l'ordre=20des=20autoris?= =?UTF-8?q?ations?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- HowtoSudo.md | 10 ++++++++++ 1 file changed, 10 insertions(+) diff --git a/HowtoSudo.md b/HowtoSudo.md index 9fc0329..da70a6a 100644 --- a/HowtoSudo.md +++ b/HowtoSudo.md @@ -91,6 +91,16 @@ User_Alias ADMINS = jdoe, foo ADMINS ALL = NOPASSWD: MAINT ~~~ +Il est important de noter que les autorisations sont lues du haut vers le bas et en cas de contradiction, c'est la dernière qui "a raison". +Dans l'exemple ci-dessous, la commande `evomaintenance.sh` ne demandera **pas de mot de passe** car elle vient **après** l'autorisation globale **avec mot de passe** : + +~~~ +Cmnd_Alias MAINT = /usr/share/scripts/evomaintenance.sh + +%foo ALL = (ALL:ALL) ALL +%foo ALL = NOPASSWD: MAINT +~~~ + ### sudoedit Si l'on veut autoriser l'édition d'un fichier de manière sécurisée, il ne faut pas autoriser les éditeurs comme _vi_, _less_… car ils permettent l'exécution d'autres actions, ce qui peut revenir à donner une autorisation complète. Il faut plutôt utiliser la commande spéciale `sudoedit` qui permet uniquement l'édition du fichier indiqué : toutes autres actions (exécution d'un shell, ouverture d'autres fichiers…) se feront avec les droits de l'utilisateur ayant exécuté sudo et non en tant que _root_.