On Tue, May 13, 2003 at 10:42:36AM +0200, Nicolas �vrard wrote:
> * DEFFONTAINES Vincent  [09:40 13/05/03 CEST]: 
> >>NON ! Il existe un petit programme tr�s sympa d�nomm� 'sudo' dans
> >>lequel tu permets � quelques utilisateurs choisis d'effectuer des
> >>actions normalement r�serv� � des utilisateurs � pouvoir. Ainsi pour
> >>peu que l'utilisateur en question fasse partie des sudoers (les
> >>utilisateurs � qui ont a d�l�gu� un pouvoir) et qu'on lui a donn� les
> >>droits d'afficher ce genre de fichier, paf �a marche !
> >>
> >>Ainsi au lieu de taper en root tail -f blah, tu feras sous un compte
> >>normal
> >>
> >>sudo tail -f blah
> >>
> >>Et si jamais tu as bien param�tr� la chose, tu seras assez malin pour
> >>ne pas demander un mot de passe � chaque fois que tu veux afficher
> >>ton fichier (c'est pas tr�s s�cure mais �a a le m�rite de ne pas
> >>t'�nerver ;))
> >
> >ARGH !!!!!!!!!  Si tu donnes les droits sudo pour utiliser tail en tant
> >que root, toto le hackeur va faire sudo tail -n 1000 /etc/shadow Il
> >pourra aussi visualiser tous les autres fichiers de conf normalement
> >secrets (je pense aux confs SQL, LDAP, ppp, et il y en a surement plein
> >d'autres)
> >
> 
> Mais on peut bien configurer son fichier sudoers pour n'autoriser tail
> que sur certains r�pertoire fichier, par exemple :
> 
> Cmnd_Alias TAIL_LOG = /usr/bin/tail /var/log/*
> toto    ALL = PASSWD : TAIL_LOG
> 
> Et ainsi toto ne peut plus faire des sudo tail dans le r�pertoire
                                                ^
                                                que ???

Amicalement,

Sven Luther

Répondre à