Utilisateur avec droits root et quelques commandes

**ganjaaw** · 27/03/2012, 09h33

Hello,

Je cherche à savoir comment créer un utilisateur avec des droits root mais avec un nombre de commande restreint.

Mon problème est le suivant je me connecte en SSH avec script PHP pour exécuter des scripts sur le serveur et ceci doivent aller par exemple créer des fichiers dans le dossier Apache ou dans Bind.

Actuellement les scripts sont lancé avec l'utilisateur root, très dangereux.

Je voudrais donc pouvoir configurer un utilisateur capable d'écrire dans des dossiers avec des droits root mais seulement avec un nombre restreint de commande (mkdir, echo, etc..)

Je voulais déjà savoir si c'est possible est ensuite comment faire ;-)

Merci d'avance

**frp31** · 27/03/2012, 10h26

tu peux utiliser des setuid sur ces binaires ....
simplement...

comme ça tu touches pas aux droits utilisateurs pour en faire un pseudo root ce qui est aussi dangereux que de se connecter root...
c'est le binaire qui s'execute en tant que root quelque soit l'utilisateur ...

mais ça a aussi des limites sécuritaires mais c'est déjà mieux...

**Katyucha** · 27/03/2012, 11h23

Envoyé par frp31

tu peux utiliser des setuid sur ces binaires ....
simplement...

comme ça tu touches pas aux droits utilisateurs pour en faire un pseudo root ce qui est aussi dangereux que de se connecter root...
c'est le binaire qui s'execute en tant que root quelque soit l'utilisateur ...

mais ça a aussi des limites sécuritaires mais c'est déjà mieux...

Autant, j'aime tes conseils habituellement frp31 autant là, je dis : NOOOOON

sudo et uniquement sudo pour gérer ce genre de souci de droits
Un petit tour dans

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
man sudo
man sudoers

**frp31** · 27/03/2012, 11h32

oui effectivement j'avais lu un peu vite et pas compris le besoin

ma faute...

**Katyucha** · 27/03/2012, 14h28

Envoyé par frp31

oui effectivement j'avais lu un peu vite et pas compris le besoin

ma faute...

po grave, tu as du raté un café ce matin

**nymus7** · 17/12/2012, 11h07

Envoyé par frp31

tu peux utiliser des setuid sur ces binaires ....
simplement...

comme ça tu touches pas aux droits utilisateurs pour en faire un pseudo root ce qui est aussi dangereux que de se connecter root...
c'est le binaire qui s'execute en tant que root quelque soit l'utilisateur ...

mais ça a aussi des limites sécuritaires mais c'est déjà mieux...

Bonjour frp31,

Je me permets de reprendre la conversation en route pour vous posez une question a propos de votre remarque ci-dessus:
#1) Comment puis-je changer des commandes binaires avec setuid pour des utilisateurs spécifiques?
Actuellement, je dois justement permettre quelques commandes à un utilisateur spécifique et je pensais utiliser sudoers. Mais je ne sais pas si c'est une bonne idée?
#2) Comment activer les changements effectuées dans /etc/sudoers? Sont-ils directement actifs? j'ai l'impression que rien ne marche....

Merci et meilleures salutations,
nymus7

**Katyucha** · 21/12/2012, 09h20

Envoyé par nymus7

Bonjour frp31,

Je me permets de reprendre la conversation en route pour vous posez une question a propos de votre remarque ci-dessus:
#1) Comment puis-je changer des commandes binaires avec setuid pour des utilisateurs spécifiques?
Actuellement, je dois justement permettre quelques commandes à un utilisateur spécifique et je pensais utiliser sudoers. Mais je ne sais pas si c'est une bonne idée?
#2) Comment activer les changements effectuées dans /etc/sudoers? Sont-ils directement actifs? j'ai l'impression que rien ne marche....

Merci et meilleures salutations,
nymus7

1 - Oui, il faut utiliser sudo

2 - On n'édite jamais sudoers ! Sous root, tape la commande

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
visudo

Ca ouvre un vi avec le fichier de conf sudo. Quand tu sauvegardes/quittes vi, si tu as une erreur dans ta configuration sudo, il y aura un message d'alerte. Pratique !

Ensuite depuis ton user :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
sudo -l

pour voir ses droits

**0x90_** · 23/12/2012, 23h32

Envoyé par nymus7

Bonjour frp31,

Je me permets de reprendre la conversation en route pour vous posez une question a propos de votre remarque ci-dessus:
#1) Comment puis-je changer des commandes binaires avec setuid pour des utilisateurs spécifiques?
Actuellement, je dois justement permettre quelques commandes à un utilisateur spécifique et je pensais utiliser sudoers. Mais je ne sais pas si c'est une bonne idée?
#2) Comment activer les changements effectuées dans /etc/sudoers? Sont-ils directement actifs? j'ai l'impression que rien ne marche....

Merci et meilleures salutations,
nymus7

Bonjour!
Je ne veut pas répéter les dires de Katyucha mais utilise:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part