+ Répondre à la discussion
Affichage des résultats 1 à 8 sur 8
  1. #1
    Invité régulier
    Inscrit en
    août 2006
    Messages
    40
    Détails du profil
    Informations forums :
    Inscription : août 2006
    Messages : 40
    Points : 5
    Points
    5

    Par défaut Utilisateur avec droits root et quelques commandes

    Hello,

    Je cherche à savoir comment créer un utilisateur avec des droits root mais avec un nombre de commande restreint.

    Mon problème est le suivant je me connecte en SSH avec script PHP pour exécuter des scripts sur le serveur et ceci doivent aller par exemple créer des fichiers dans le dossier Apache ou dans Bind.

    Actuellement les scripts sont lancé avec l'utilisateur root, très dangereux.

    Je voudrais donc pouvoir configurer un utilisateur capable d'écrire dans des dossiers avec des droits root mais seulement avec un nombre restreint de commande (mkdir, echo, etc..)

    Je voulais déjà savoir si c'est possible est ensuite comment faire ;-)

    Merci d'avance

  2. #2
    Expert Confirmé Sénior Avatar de frp31
    Homme Profil pro francois pussault
    Ingénieur systèmes et réseaux
    Inscrit en
    juillet 2006
    Messages
    4 740
    Détails du profil
    Informations personnelles :
    Nom : Homme francois pussault
    Âge : 38
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juillet 2006
    Messages : 4 740
    Points : 11 291
    Points
    11 291

    Par défaut

    tu peux utiliser des setuid sur ces binaires ....
    simplement...

    comme ça tu touches pas aux droits utilisateurs pour en faire un pseudo root ce qui est aussi dangereux que de se connecter root...
    c'est le binaire qui s'execute en tant que root quelque soit l'utilisateur ...

    mais ça a aussi des limites sécuritaires mais c'est déjà mieux...

  3. #3
    Expert Confirmé Sénior
    Avatar de Katyucha
    Profil pro
    Ingénieur systèmes Linux/Unix/SAN
    Inscrit en
    mars 2004
    Messages
    3 283
    Détails du profil
    Informations personnelles :
    Localisation : Allemagne

    Informations professionnelles :
    Activité : Ingénieur systèmes Linux/Unix/SAN

    Informations forums :
    Inscription : mars 2004
    Messages : 3 283
    Points : 5 312
    Points
    5 312

    Par défaut

    Citation Envoyé par frp31 Voir le message
    tu peux utiliser des setuid sur ces binaires ....
    simplement...

    comme ça tu touches pas aux droits utilisateurs pour en faire un pseudo root ce qui est aussi dangereux que de se connecter root...
    c'est le binaire qui s'execute en tant que root quelque soit l'utilisateur ...

    mais ça a aussi des limites sécuritaires mais c'est déjà mieux...
    Autant, j'aime tes conseils habituellement frp31 autant là, je dis : NOOOOON

    sudo et uniquement sudo pour gérer ce genre de souci de droits
    Un petit tour dans
    Grave urgent !!!

  4. #4
    Expert Confirmé Sénior Avatar de frp31
    Homme Profil pro francois pussault
    Ingénieur systèmes et réseaux
    Inscrit en
    juillet 2006
    Messages
    4 740
    Détails du profil
    Informations personnelles :
    Nom : Homme francois pussault
    Âge : 38
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juillet 2006
    Messages : 4 740
    Points : 11 291
    Points
    11 291

    Par défaut

    oui effectivement j'avais lu un peu vite et pas compris le besoin ma faute...

  5. #5
    Expert Confirmé Sénior
    Avatar de Katyucha
    Profil pro
    Ingénieur systèmes Linux/Unix/SAN
    Inscrit en
    mars 2004
    Messages
    3 283
    Détails du profil
    Informations personnelles :
    Localisation : Allemagne

    Informations professionnelles :
    Activité : Ingénieur systèmes Linux/Unix/SAN

    Informations forums :
    Inscription : mars 2004
    Messages : 3 283
    Points : 5 312
    Points
    5 312

    Par défaut

    Citation Envoyé par frp31 Voir le message
    oui effectivement j'avais lu un peu vite et pas compris le besoin ma faute...
    po grave, tu as du raté un café ce matin
    Grave urgent !!!

  6. #6
    Nouveau Membre du Club
    Inscrit en
    août 2007
    Messages
    130
    Détails du profil
    Informations forums :
    Inscription : août 2007
    Messages : 130
    Points : 36
    Points
    36

    Par défaut

    Citation Envoyé par frp31 Voir le message
    tu peux utiliser des setuid sur ces binaires ....
    simplement...

    comme ça tu touches pas aux droits utilisateurs pour en faire un pseudo root ce qui est aussi dangereux que de se connecter root...
    c'est le binaire qui s'execute en tant que root quelque soit l'utilisateur ...

    mais ça a aussi des limites sécuritaires mais c'est déjà mieux...
    Bonjour frp31,

    Je me permets de reprendre la conversation en route pour vous posez une question a propos de votre remarque ci-dessus:
    #1) Comment puis-je changer des commandes binaires avec setuid pour des utilisateurs spécifiques?
    Actuellement, je dois justement permettre quelques commandes à un utilisateur spécifique et je pensais utiliser sudoers. Mais je ne sais pas si c'est une bonne idée?
    #2) Comment activer les changements effectuées dans /etc/sudoers? Sont-ils directement actifs? j'ai l'impression que rien ne marche....

    Merci et meilleures salutations,
    nymus7

  7. #7
    Expert Confirmé Sénior
    Avatar de Katyucha
    Profil pro
    Ingénieur systèmes Linux/Unix/SAN
    Inscrit en
    mars 2004
    Messages
    3 283
    Détails du profil
    Informations personnelles :
    Localisation : Allemagne

    Informations professionnelles :
    Activité : Ingénieur systèmes Linux/Unix/SAN

    Informations forums :
    Inscription : mars 2004
    Messages : 3 283
    Points : 5 312
    Points
    5 312

    Par défaut

    Citation Envoyé par nymus7 Voir le message
    Bonjour frp31,

    Je me permets de reprendre la conversation en route pour vous posez une question a propos de votre remarque ci-dessus:
    #1) Comment puis-je changer des commandes binaires avec setuid pour des utilisateurs spécifiques?
    Actuellement, je dois justement permettre quelques commandes à un utilisateur spécifique et je pensais utiliser sudoers. Mais je ne sais pas si c'est une bonne idée?
    #2) Comment activer les changements effectuées dans /etc/sudoers? Sont-ils directement actifs? j'ai l'impression que rien ne marche....

    Merci et meilleures salutations,
    nymus7
    1 - Oui, il faut utiliser sudo
    2 - On n'édite jamais sudoers ! Sous root, tape la commande
    Ca ouvre un vi avec le fichier de conf sudo. Quand tu sauvegardes/quittes vi, si tu as une erreur dans ta configuration sudo, il y aura un message d'alerte. Pratique !

    Ensuite depuis ton user :
    pour voir ses droits
    Grave urgent !!!

  8. #8
    Membre du Club
    Homme Profil pro
    Recherche d'emploi
    Inscrit en
    décembre 2012
    Messages
    18
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Recherche d'emploi

    Informations forums :
    Inscription : décembre 2012
    Messages : 18
    Points : 50
    Points
    50

    Par défaut

    Citation Envoyé par nymus7 Voir le message
    Bonjour frp31,

    Je me permets de reprendre la conversation en route pour vous posez une question a propos de votre remarque ci-dessus:
    #1) Comment puis-je changer des commandes binaires avec setuid pour des utilisateurs spécifiques?
    Actuellement, je dois justement permettre quelques commandes à un utilisateur spécifique et je pensais utiliser sudoers. Mais je ne sais pas si c'est une bonne idée?
    #2) Comment activer les changements effectuées dans /etc/sudoers? Sont-ils directement actifs? j'ai l'impression que rien ne marche....

    Merci et meilleures salutations,
    nymus7
    Bonjour!
    Je ne veut pas répéter les dires de Katyucha mais utilise:
    Et surtout ne commence pas a modifier le setuid des binaires...
    Enfin c'est un conseil...

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •