Dans votre système Linux ou macOS, il existe un fichier appelé « sudoers » qui contrôle les niveaux les plus profonds de votre système d’autorisations. Il autorise ou interdit aux utilisateurs d’obtenir un accès super-utilisateur et contient des préférences spéciales pour sudo.
Contenu
Qu’est-ce que le fichier sudoers ?
Le fichier sudoers est un fichier texte qui réside dans « /etc/sudoers ». Il contrôle le fonctionnement de sudo sur votre machine. Vous connaissez probablement le rôle principal de sudo consistant à élever les privilèges de votre compte actuel à root, le superutilisateur sur tous les systèmes basés sur Unix. Cela permet à vos utilisateurs d’exécuter des commandes qui seraient autrement interdites.
Quand dois-je modifier le fichier sudoers ?
Lorsque vous installez Linux (ou macOS) pour la première fois, le premier utilisateur par défaut sera automatiquement ajouté au fichier sudoers afin qu’il puisse exécuter des tâches administratives avec la commande sudo. Cependant, si vous créez un nouveau compte utilisateur, il n’aura pas l’autorisation de superutilisateur par défaut. Si vous devez lui accorder une autorisation de superutilisateur, vous devrez modifier le fichier sudoers et y ajouter ce compte d’utilisateur.
Comment puis-je modifier les sudoers?
Ne modifiez jamais le fichier sudoers dans un éditeur de texte normal. Cela peut entraîner une édition simultanée et des fichiers corrompus, empêchant potentiellement tout accès administrateur. Les sudoers doivent être modifiés en exécutant visudo dans le terminal, comme ceci :
Notez que vous devez utiliser sudo pour exécuter visudo. Cela ouvrira le fichier sudoers dans l’éditeur de texte par défaut du terminal (par défaut, nano).
Que peut faire la modification du fichier sudoers ?
Le travail principal du fichier sudoers consiste à définir quels utilisateurs peuvent utiliser sudo pour quoi. Il contient également quelques préférences simples, que nous pouvons d’abord ajuster pour avoir une idée du fonctionnement de visudo.
Modifier le délai d’expiration sudo
Par défaut, la saisie de votre mot de passe sudo augmente vos autorisations jusqu’à ce que vous fermiez le shell ou que vous quittiez. Cela peut être peu sûr et certains pourraient préférer entrer leur mot de passe à chaque fois qu’ils utilisent sudo.
1. Exécutez sudo visudo comme mentionné ci-dessus.
2. Appuyez sur Alt + / pour naviguer jusqu’à la fin du document. Si vous utilisez Vi ou Vim, appuyez plutôt sur Shift + G.
3. Créez une nouvelle ligne en bas du document et ajoutez la ligne suivante :
Cela définira votre délai d’expiration sudo à zéro seconde, vous aurez donc des autorisations sudo pendant zéro seconde après avoir exécuté la première commande. Si vous préférez un intervalle différent, saisissez plutôt cette valeur en secondes.
Vous pouvez également définir le délai d’attente sur « -1 », ce qui vous donne une période de grâce infinie. Ne fais pas ça. C’est un moyen pratique de détruire accidentellement votre système un jour.
4. Appuyez sur Ctrl + o pour enregistrer et Ctrl + x pour quitter.
Limiter qui peut utiliser sudo et pour quoi
L’objectif principal du fichier sudoers est de contrôler quels utilisateurs peuvent exécuter sudo. Sans sudo, les utilisateurs ne peuvent pas élever leurs autorisations. Si plusieurs utilisateurs accèdent au même système via des shells, vous pouvez contrôler leur accès en définissant des valeurs dans sudo.
Chaque fichier sudoers aura la ligne suivante :
Cela permet à l’utilisateur root sur TOUS les hôtes utilisant TOUS les utilisateurs d’exécuter TOUTES les commandes. ALL est une valeur spéciale dans le fichier sudoers signifiant « aucune restriction ». La syntaxe est la suivante :
Si vous souhaitez ajouter un autre utilisateur en tant que root, copiez simplement la ligne root et modifiez l’utilisateur comme suit :
Pour plus de contrôle, vous pouvez ajouter une ligne comme celle-ci, qui permettrait uniquement à l’utilisateur « alexander » d’exécuter apt-get update.
Mettez un « % » devant l’utilisateur, et cela définira un groupe. La ligne ci-dessous permettrait à chaque utilisateur du groupe « admin » d’avoir des autorisations au niveau racine. Ce serait le groupe tel que défini par les groupes d’autorisation de votre système d’exploitation.
Changer l’éditeur de visudo
Selon la version de Linux que vous utilisez, il existe deux manières principales de changer l’éditeur.
Pour Ubuntu, vous devrez exécuter la commande Terminal ci-dessous :
Vous verrez quelque chose comme ce qui suit :
Si vous vouliez sélectionner vim comme éditeur visudo par défaut de nano, vous devez appuyer sur son numéro de sélection 3, puis appuyer sur Entrée.
Pour les autres versions de Linux, vous voudrez ajouter une nouvelle ligne à votre fichier « ~./bashrc » comme indiqué ci-dessous :
Ensuite, enregistrez le fichier. Cela définirait votre éditeur visudo sur vim.
Conclusion
Le fichier sudoers n’est pas quelque chose que vous aurez généralement besoin de manipuler sur des systèmes à utilisateur unique. Mais les administrateurs système auront plus qu’assez de raisons d’explorer son fonctionnement interne.
Cet article est-il utile ? Oui Non
