précision pour l'ordre des autorisations
This commit is contained in:
jlecour
parent
1ffa84d5aa
commit
8886f531e6
10
HowtoSudo.md
10
HowtoSudo.md
|
|
@ -91,6 +91,16 @@ User_Alias ADMINS = jdoe, foo
|
||||||
ADMINS ALL = NOPASSWD: MAINT
|
ADMINS ALL = NOPASSWD: MAINT
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
|
Il est important de noter que les autorisations sont lues du haut vers le bas et en cas de contradiction, c'est la dernière qui "a raison".
|
||||||
|
Dans l'exemple ci-dessous, la commande `evomaintenance.sh` ne demandera **pas de mot de passe** car elle vient **après** l'autorisation globale **avec mot de passe** :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
Cmnd_Alias MAINT = /usr/share/scripts/evomaintenance.sh
|
||||||
|
|
||||||
|
%foo ALL = (ALL:ALL) ALL
|
||||||
|
%foo ALL = NOPASSWD: MAINT
|
||||||
|
~~~
|
||||||
|
|
||||||
### sudoedit
|
### sudoedit
|
||||||
|
|
||||||
Si l'on veut autoriser l'édition d'un fichier de manière sécurisée, il ne faut pas autoriser les éditeurs comme _vi_, _less_… car ils permettent l'exécution d'autres actions, ce qui peut revenir à donner une autorisation complète. Il faut plutôt utiliser la commande spéciale `sudoedit` qui permet uniquement l'édition du fichier indiqué : toutes autres actions (exécution d'un shell, ouverture d'autres fichiers…) se feront avec les droits de l'utilisateur ayant exécuté sudo et non en tant que _root_.
|
Si l'on veut autoriser l'édition d'un fichier de manière sécurisée, il ne faut pas autoriser les éditeurs comme _vi_, _less_… car ils permettent l'exécution d'autres actions, ce qui peut revenir à donner une autorisation complète. Il faut plutôt utiliser la commande spéciale `sudoedit` qui permet uniquement l'édition du fichier indiqué : toutes autres actions (exécution d'un shell, ouverture d'autres fichiers…) se feront avec les droits de l'utilisateur ayant exécuté sudo et non en tant que _root_.
|
||||||
|
|
|
||||||
Loading…
Reference in a new issue