On Tue, May 13, 2003 at 10:42:36AM +0200, Nicolas Évrard wrote:
> * DEFFONTAINES Vincent [09:40 13/05/03 CEST]:
> >>NON ! Il existe un petit programme très sympa dénommé 'sudo' dans
> >>lequel tu permets à quelques utilisateurs choisis d'effectuer des
> >>actions normalement réservé à des utilisateurs à pouvoir. Ainsi pour
> >>peu que l'utilisateur en question fasse partie des sudoers (les
> >>utilisateurs à qui ont a délégué un pouvoir) et qu'on lui a donné les
> >>droits d'afficher ce genre de fichier, paf ça marche !
> >>
> >>Ainsi au lieu de taper en root tail -f blah, tu feras sous un compte
> >>normal
> >>
> >>sudo tail -f blah
> >>
> >>Et si jamais tu as bien paramétré la chose, tu seras assez malin pour
> >>ne pas demander un mot de passe à chaque fois que tu veux afficher
> >>ton fichier (c'est pas très sécure mais ça a le mérite de ne pas
> >>t'énerver ;))
> >
> >ARGH !!!!!!!!! Si tu donnes les droits sudo pour utiliser tail en tant
> >que root, toto le hackeur va faire sudo tail -n 1000 /etc/shadow Il
> >pourra aussi visualiser tous les autres fichiers de conf normalement
> >secrets (je pense aux confs SQL, LDAP, ppp, et il y en a surement plein
> >d'autres)
> >
>
> Mais on peut bien configurer son fichier sudoers pour n'autoriser tail
> que sur certains répertoire fichier, par exemple :
>
> Cmnd_Alias TAIL_LOG = /usr/bin/tail /var/log/*
> toto ALL = PASSWD : TAIL_LOG
>
> Et ainsi toto ne peut plus faire des sudo tail dans le répertoire
^
que ???
Amicalement,
Sven Luther
