Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Empécher un utilisateur sudoer de pouvoir éditer /etc/fstab ?

GammaDraconis

Bonjour,

Imaginons un utilisateur "toto" qui est volontairement sudoers car il a besoin de pouvoir faire des taches d'administrations (donc dans le groupe sudo et peux faire des apt install etc...).
J'aimerai qu'exceptionnellement, cet utilisateur sudo ne puisse pas modifier le fichier /etc/fstab (uniquement ce fichier).

Quel règle à mettre dans le fichier de configuration sudo cad /etc/sudoers ?
(et si possible, qu'il ne puisse pas modifier non plus, /etc/sudoers)

merci d'avance;

cordialement;

bruno

Bonjour,

Tu ne peux pas faire cela ainsi.
Si un utilisateur est membre du groupe sudo il est autorisé à tout faire par la configuration sudoers d'ubuntu :

 %sudo ALL=(ALL:ALL) ALL

Si tu cherches à ajouter des restrictions sur un utilisateur membre de sudo, il pourra très facilement les contourner puisqu'il peut devenir root.

Il faudrait créer un groupe ou un utilisateur spécifique (non membre de sudo) auquel tu autorises uniquement certaines commandes. Par exemple pour autoriser apt :

toto ALL=(ALL:ALL) /usr/bin/apt

--
Modération : pas de rapport avec les « truc et astuces », sujet déplacé dans la section « sécurité ».

GammaDraconis

Ok merci pour l'info.

LeoMajor

bonjour,

Cela n'empêche pas sudo mais rend les manipulations un peu plus contraignantes

sudo chattr +i  /etc/fstab  (#ni modifier, ni supprimer)

l'utilsateur lambda ne fera pas le rapprochement avec lsattr

à l'envers:

lsattr /etc/fstab
sudo chattr -i /etc/fstab
sudo nano /etc/fstab