ajouter du contenu local dans /etc/sudoers.d/ au lieu de modifier directement le fichier sodoers via visudo


32

Pouvez-vous me diriger vers des exemples et des instructions plus détaillées sur /etc/sudoers.d/

Je voudrais donner à certains groupes l'autorisation de sudo certaines commandes, mais de manière appropriée pour ne pas créer des failles inutiles dans le modèle de sécurité Ubuntu sur une machine multi-utilisateurs.

Dans les temps anciens, je faisais de simples personnalisations sudoers, mais apparemment maintenant /etc/sudoers.d/ est un moyen plus approprié et j'aimerais mieux le comprendre.

Réponses:


43

Comme le dit cette question , il /etc/sudoerss'agit d'un fichier de configuration à l'échelle du système qui peut être modifié automatiquement par les mises à niveau du système et est très fragile aux modifications incorrectes. Vous pouvez potentiellement perdre l'accès ou rendre votre système non amorçable avec une modification incorrecte.

$ sudo cat /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#

(... some other content ...)

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

Contrairement à ce que vous pourriez attendre, la #includedirdirective n'est pas un commentaire . Cela a pour effet de provoquer la sudolecture et l'analyse de tous les fichiers du /etc/sudoers.drépertoire (qui ne se terminent pas par «~» ou ne contiennent pas de caractère «.»).

$ ls -l /etc/sud*
-r--r----- 1 root root  755 sty 20 17:03 /etc/sudoers

/etc/sudoers.d:
total 7
-r--r----- 1 root root 958 mar 30  2016 README
$ sudo cat /etc/sudoers.d/README
#
# As of Debian version 1.7.2p1-1, the default /etc/sudoers file created on
# installation of the package now includes the directive:
# 
#   #includedir /etc/sudoers.d
# 
# This will cause sudo to read and parse any files in the /etc/sudoers.d 
# directory that do not end in '~' or contain a '.' character.
# 
# Note that there must be at least one file in the sudoers.d directory (this
# one will do), and all files in this directory should be mode 0440.
# 
# Note also, that because sudoers contents can vary widely, no attempt is 
# made to add this directive to existing sudoers files on upgrade.  Feel free
# to add the above directive to the end of your /etc/sudoers file to enable 
# this functionality for existing installations if you wish!
#
# Finally, please note that using the visudo command is the recommended way
# to update sudoers content, since it protects against many failure modes.
# See the man page for visudo for more information.
#

Contrairement /etc/sudoersau contenu des /etc/sudoers.dmises à niveau du système, il est donc préférable de créer un fichier là-bas que de le modifier /etc/sudoers.

Vous voudrez peut-être modifier les fichiers de ce répertoire avec la visudocommande:

$ sudo visudo -f /etc/sudoers.d/veracrypt
  GNU nano 2.5.3        File: /etc/sudoers.d/veracrypt.tmp                      

# Users in the veracryptusers group are allowed to run veracrypt as root.
%veracryptusers ALL=(root) NOPASSWD:/usr/bin/veracrypt

Veuillez noter que visudopeut utiliser un éditeur différent au lieu de nanocelui décrit sur https://help.ubuntu.com/community/Sudoers

Voici quelques liens supplémentaires que j'ai trouvés utiles:


4
Ce n'est pas vrai que les erreurs dans les fichiers /etc/sudoers.dne peuvent pas faire tomber sudo. Ces fichiers sont concaténés à /etc/sudoers. Les mêmes règles s'appliquent à ces fichiers.
tobltobs

2
C'est vrai que vous POUVEZ faire baisser le système par un fichier incorrect, mais c'est MOINS PROBABLE. #includedir n'est pas simplement une simple concaténation stupide - tout en incluant une vérification effectuée afin que les erreurs les plus évidentes soient détectées et que vous puissiez facilement récupérer. Attention cependant - vous pouvez toujours vous blesser avec un couteau bien aiguisé, alors manipulez-le avec précaution ;-)
Pawel Debski

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.