/etc/sudoers ajouter une restriction avec des paramètres
Fermé
leandro95
Messages postés
67
Date d'inscription
vendredi 25 avril 2014
Statut
Membre
Dernière intervention
5 juin 2016
-
23 sept. 2015 à 16:04
mamiemando Messages postés 33642 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 25 avril 2025 - 24 sept. 2015 à 21:06
mamiemando Messages postés 33642 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 25 avril 2025 - 24 sept. 2015 à 21:06
Bonjour,
J'aimerai savoir si il est possible de spécifié des paramètres pour une commande autorisée avec la command sudo dans le fichier /etc/sudoers. Je voudrais permettre à un user de pouvoir télécherger uniquement un fichier sur un serveur unique :
(Je voudrais autoriser uniqument cette commande)
scp user@host:file . exemple scp tool@178.247.265.167:fichier .
Si l'user entre un autre nom de serveur ou un autre fichier celà lui renvoi le message permissions denied
J'aimerai savoir si il est possible de spécifié des paramètres pour une commande autorisée avec la command sudo dans le fichier /etc/sudoers. Je voudrais permettre à un user de pouvoir télécherger uniquement un fichier sur un serveur unique :
(Je voudrais autoriser uniqument cette commande)
scp user@host:file . exemple scp tool@178.247.265.167:fichier .
Si l'user entre un autre nom de serveur ou un autre fichier celà lui renvoi le message permissions denied
A voir également:
- /etc/sudoers ajouter une restriction avec des paramètres
- Restriction instagram - Guide
- Paramètres windows - Guide
- Ajouter une signature sur word - Guide
- Ajouter une liste déroulante excel - Guide
- Ajouter une application au démarrage - Guide
2 réponses
mamiemando
Messages postés
33642
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
25 avril 2025
7 844
24 sept. 2015 à 09:44
24 sept. 2015 à 09:44
Bonjour,
Ce que je ne comprends pas dans ta question, c'est que scp n'est pas une commande qui requiert a priori des droits root.
Même si tu définis des droits limités sur scp (ce qui est bizarre en soi), rien n'empêchera quelqu'un de compiler ou d'avoir son propre binaire scp.
La bonne manière de faire serait plutôt de configurer ton pare-feu de sorte à limiter le trafic ssh à ton idée.
Bonne chance
Ce que je ne comprends pas dans ta question, c'est que scp n'est pas une commande qui requiert a priori des droits root.
Même si tu définis des droits limités sur scp (ce qui est bizarre en soi), rien n'empêchera quelqu'un de compiler ou d'avoir son propre binaire scp.
La bonne manière de faire serait plutôt de configurer ton pare-feu de sorte à limiter le trafic ssh à ton idée.
Bonne chance
mamiemando
Messages postés
33642
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
25 avril 2025
7 844
24 sept. 2015 à 21:06
24 sept. 2015 à 21:06
Ça n'empêche pas quelqu'un de compiler son propre scp dans l'absolu.
Par ailleurs je ne pense pas que /etc/sudoers soit capable de définir les paramètres acceptés par la commande.
Ceci dit, si on reste sur ton idée, je pense que dans ce cas tu peux faire un script scp avec un bit SUID qui fait les contrôle que tu désires et qui sera en mesure d'appeler ton scp restreint à root. C'est en gros ce que fait passwd : il a un bit SUID qui lui permet, même s'il est exécuté par toto, de potentiellement altérer /etc/shadow qui est restreint à root.
Mais attention, un bit SUID, c'est quelque chose qui ne se prend pas à la légère et que je déconseille en temps normal : en particulier si quelqu'un arrive à exploiter une faille dans ton script, il sera virtuellement root sur ta machine.
Bonne chance
Par ailleurs je ne pense pas que /etc/sudoers soit capable de définir les paramètres acceptés par la commande.
Ceci dit, si on reste sur ton idée, je pense que dans ce cas tu peux faire un script scp avec un bit SUID qui fait les contrôle que tu désires et qui sera en mesure d'appeler ton scp restreint à root. C'est en gros ce que fait passwd : il a un bit SUID qui lui permet, même s'il est exécuté par toto, de potentiellement altérer /etc/shadow qui est restreint à root.
Mais attention, un bit SUID, c'est quelque chose qui ne se prend pas à la légère et que je déconseille en temps normal : en particulier si quelqu'un arrive à exploiter une faille dans ton script, il sera virtuellement root sur ta machine.
Bonne chance
24 sept. 2015 à 17:58