Commande sudo : comment configurer sudoers sous Linux ?
Sommaire
- I. Présentation
- II. La commande "sudo"
- III. Configuration du fichier sudoers (/etc/sudoers)
- A. Éditer la configuration de sudoers avec visudo
- B. Quel est l'intérêt de modifier la configuration de sudoers ?
- C. Syntaxe d'une règle sudo
- D. Créer une nouvelle règle dans sudoers
- E. Sudoers et le caractère d'exclusion "!"
- F. Sudoers et les alias
- G. Le dossier /etc/sudoers.d
- H. Modifier le délai d'expiration de la commande sudo
I. Présentation
Dans ce tutoriel, je vais vous parler de la commande sudo sous Linux et de la configuration du fichier sudoers qui sert à déléguer des droits pour exécuter certaines actions sur la machine.
Tutoriel disponible au format vidéo :
Lorsque l'on installe une distribution Linux, en l'occurrence Debian , que je vais utiliser tout au long de ce tutoriel, le système est livré avec deux utilisateurs :
- Un compte "root" qui correspond au super-utilisateur de la machine, avec tous les droits
- Un compte utilisateur membre du groupe sudo (dépend des distributions et du type d'installation) qui sera nécessaire pour utiliser la machine au quotidien. Ce compte prend le nom que l'on donne à l'installation
Le compte "root" quant à lui sert à configurer le système, installer de nouveaux paquets, etc... Toutes les tâches d'administration système, en fait.
Pour rentrer dans le vif du sujet, parlons de la commande "sudo" et de son intérêt au sein d'un environnement Linux.
II. La commande "sudo"
La commande "sudo" (substitute user do) permet à un utilisateur standard d'exécuter une action en se faisant passer par un autre utilisateur, par défaut "root". Autrement dit, un utilisateur standard peut effectuer une opération normalement réservée à l'utilisateur "root".
Prenons un exemple, pour éditer le fichier système "/etc/hosts" avec l'éditeur nano, il faut saisir cette commande :
nano /etc/hosts
Si je l'exécute à partir d'un utilisateur standard, en l'occurrence ici l'utilisateur "florian" un message va s'afficher pour m'indiquer que le fichier est ouvert en lecture seule, car je n'ai pas les autorisations pour l'enregistrer. Ce serait la même chose pour éditer un autre fichier système, redémarrer la machine ou redémarrer un service.
Maintenant, si j'exécute la commande suivante en ajoutant le préfixe "sudo" :
sudo nano /etc/hosts
Note : dans le cas où sudo n'est pas installé sur votre distribution, il faut procéder à son installation avec votre gestionnaire de paquets favoris, par exemple : apt-get install sudo
Je vais devoir saisir le mot de passe de mon compte "florian" et le fichier va s'ouvrir en écriture !
J'ai pu modifier ce fichier avec la commande "sudo", car l'utilisateur "florian" est membre du groupe "sudo". Avec la commande suivante, on peut vérifier que l'utilisateur est bien membre de ce groupe.
id florian
Il existe plusieurs façons de faire, on aurait pu exécuter cette commande également :
groups florian
La question que l'on peut se poser c'est : pourquoi les membres du groupe "sudo" ont le droit d'effectuer des actions d'administration sur la machine ? La réponse se situe au sein du fichier de configuration de "sudoers" qui se situe à l'emplacement suivant :
/etc/sudoers
Si l'on ouvre ce fichier, on remarque la présence de la ligne suivante :
%sudo ALL=(ALL:ALL) ALL
Le commentaire au-dessus de cette ligne parle de lui-même : autoriser les membres du groupe sudo à exécuter n'importe quelle commande (avec les droits super-utilisateur).
Passons maintenant à la configuration du fichier /etc/sudoers en lui-même.
Pour lister les autorisations d'un compte sous Linux, je vous oriente vers ce tutoriel en complément de celui-ci : Lister les autorisations d'un compte sous Linux
III. Configuration du fichier sudoers (/etc/sudoers)
A. Éditer la configuration de sudoers avec visudo
Pour modifier le fichier de configuration de sudoers, il y a un outil spécifique : visudo. En fait, on pourrait utiliser nano ou un autre éditeur de texte, mais la bonne pratique c'est d'utiliser visudo.
L'intérêt d'utiliser visudo, c'est que l'outil va verrouiller le fichier de configuration /etc/sudoers pour éviter d'être à plusieurs dessus, mais aussi, et c'est important, il va vérifier la syntaxe des règles ajoutées ou modifiées !
Pour modifier le fichier /etc/sudoers, on utilisera :
sudo visudo
ou
sudo visudo /etc/sudoers
B. Quel est l'intérêt de modifier la configuration de sudoers ?
Lorsque l'on souhaite attribuer des droits à un utilisateur, il y a la facilité : l'ajouter au groupe "sudo", mais ce n'est clairement pas la bonne solution. En fait, si l'on fait une comparaison avec Windows, cela revient à ajouter un utilisateur au groupe "Administrateurs" de la machine.
En configurant le fichier sudoers, on va pouvoir déléguer l'accès à certains fichiers, certaines commandes, à un utilisateur spécifique.
C. Syntaxe d'une règle sudo
Pour créer des règles, il faut respecter une syntaxe précise. Reprenons l'exemple du groupe "sudo" :
%sudo ALL=(ALL:ALL) ALL
Voici comment il faut l'interpréter :
Ce qui permet de mieux comprendre aussi le commentaire associé à cette commande dans le fichier sudoers. Chacune de ces valeurs peut être modifiée pour affiner la règle.
Voici quelques précisions supplémentaires au sujet de la syntaxe :
➡ Utilisateur / groupe : pour spécifier un utilisateur, on indique tout simplement son identifiant, tandis que s'il s'agit d'un groupe on ajoute le préfixe "%". On spécifie un seul utilisateur ou groupe par ligne !
➡ Hôte : le fait d'indiquer ALL permet de dire que cette règle s'applique à toutes les machines
➡ Tous les utilisateurs : permet de spécifier l'utilisateur dont on prend les droits, avec "ALL" on englobe tous les utilisateurs y compris l'utilisateur "root" (ce qui nous intéresse)
➡ Tous les groupes : idem que pour les utilisateurs
➡ Toutes les commandes : permets de spécifier la ou les commandes que l'utilisateur (ou le groupe) spécifié en début de ligne peut exécuter sur la machine. S'il y a plusieurs commandes, il faut utiliser la virgule comme séparateur.
Note : ce qui est intéressant, c'est de donner des droits directement sur des groupes et ensuite d'ajouter le(s) utilisateur(s) à ce groupe.
D. Créer une nouvelle règle dans sudoers
Maintenant, prenons l'exemple d'un utilisateur standard, non membre du groupe "sudo" et nommé "itconnect". Nous allons lui donner les droits pour éditer le fichier /etc/hosts via nano.
Actuellement, la commande sudo ne me permet pas d'ouvrir ce fichier en écriture, car la directive est absente du fichier sudoers. Ce qui donne : "itconnect n'apparaît pas dans le fichier sudoers. Cet événement sera signalé".
À l'aide de l'utilisateur root (ou florian), on va modifier le fichier sudoers avec visudo et ajouter la ligne suivante :
itconnect ALL=(ALL) /usr/bin/nano /etc/hosts
Il est important de préciser qu'il faut indiquer le chemin complet vers le binaire, en l'occurrence ici "nano". Pour trouver facilement le chemin vers le binaire, utilisez la commande "which", par exemple :
which nano
Grâce à cette directive, l'utilisateur itconnect est en mesure de modifier le fichier /etc/hosts ! Il devra exécuter :
sudo nano /etc/hosts
Ensuite, il doit saisir son mot de passe. Il faut savoir que sudoers supporte l'option "NOPASSWD" : elle permet d'indiquer que l'utilisateur peut exécuter cette commande sans devoir saisir son mot de passe. Ce n'est pas recommandé, mais c'est une possibilité.
Si l'on reprend l'exemple précédent, cela donne :
itconnect ALL=(ALL) NOPASSWD:/usr/bin/nano /etc/hosts
Maintenant, pour aller un peu plus loin, voyons comment utiliser la notion d'alias avec sudoers.
E. Sudoers et le caractère d'exclusion "!"
Au sein d'une règle, le fait de spécifier "!" devant la commande va permettre de l'interdire. Par exemple, on peut autoriser l'utilisateur "itconnect" à modifier les mots de passe des utilisateurs, sauf pour l'utilisateur "root". Ce qui donnerait la règle suivante :
itconnect ALL=(ALL) /usr/bin/passwd, !/usr/bin/passwd root
La preuve en image ?
F. Sudoers et les alias
Si l'on regarde le début du fichier sudoers, on remarque plusieurs sections déclarées dans la première partie :
# Host alias specification # User alias specification # Cmnd_alias specification
Ces trois sections permettent de déclarer des alias pour les hôtes, les utilisateurs et les commandes. Par exemple, on peut créer un alias d'utilisateurs "ADMINS" et y associer plusieurs utilisateurs. Ensuite, dans les règles on peut utiliser cet alias plutôt que d'appeler les utilisateurs un par un ou de créer un groupe spécifique si l'on veut créer une règle commune à plusieurs utilisateurs.
Prenons un exemple... On va créer un alias d'utilisateur nommé "ADMINS" et qui va faire référence à deux comptes : itconnect et florian. Il faut bien séparer chaque nom par une virgule. Ce qui donne :
User_Alias ADMINS = itconnect, florian
Ensuite, on va déclarer un alias de commande nommé "SYSTEM" et qui va faire référence à la commande "systemctl", mais il pourrait contenir plusieurs commandes. Ce qui donne :
Cmnd_Alias SYSTEM = /usr/bin/systemctl
Enfin, pour créer une règle qui autorise les ADMINS à utiliser les commandes SYSTEM, cela donnera la règle suivante :
ADMINS ALL=(ALL) SYSTEM
Les utilisateurs "itconnect" et "florian" peuvent désormais exécuter toutes les commandes associées à l'alias "SYSTEM".
G. Le dossier /etc/sudoers.d
Je souhaitais vous parler du dossier "/etc/sudoers.d" : il sert à stocker des fichiers déclaratifs pour sudoers qui seront lus en complément du fichier sudoers en lui-même. Attention, tous les fichiers qui contiennent "~" ou "." dans le nom ne seront pas lus ! C'est particulièrement intéressant pour organiser les règles par fichier plutôt que de tout centraliser dans le même fichier : le fichier sudoers sera toujours lu, dans tous les cas.
Pour créer un nouveau fichier nommé "ADMINS", on utilisera :
visudo /etc/sudoers.d/ADMINS
On pourrait tout à fait inclure nos alias et notre règle créés précédemment au sein de ce fichier.
H. Modifier le délai d'expiration de la commande sudo
Lorsque la commande "sudo" est utilisée, on précise le mot de passe du compte utilisateur à l'origine de l'action pour valider l'opération. Ensuite, si l'on exécute une nouvelle commande "sudo", le mot de passe n'est pas demandé, car l'accès reste déverrouillé pendant X minutes. Par défaut, cette valeur semble varier en fonction de la distribution utilisée, parfois 5 minutes, parfois 15 minutes.
Quoi qu'il en soit, il est possible de modifier cette valeur pour indiquer le délai d'expiration (timeout) que vous souhaitez pour sudoers.
Au sein du fichier sudoers, à la suite des autres lignes "Defaults", déclarez la ligne suivante :
Defaults timestamp_timeout=5
Ce tutoriel sur l'utilisation de la commande sudo et de la configuration de sudoers sous Linux touche à sa fin. Maintenant, à vous de jouer !
PS : vous pouvez retrouver d'autres exemples sur cette page : Exemples Sudoers
C’est Lynis qui va etre en sueur quand il verras que l’utilisateur a des droits sudo automatiquement :p
Hello Merwan,
En fait j’ai remarqué qu’en fonction des distributions et des méthodes d’installations, l’état initial n’est pas toujours le même :-/.
C’est chaud. Les utilisateurs qui ont les autorisations peuvent tout faire. La sécurité va prendre un coup.
Merci pour cette explication.
C’est très bien expliqué et de manière simple et compréhensible.
Je tenait juste à signaler la qualité de l’article.
Merci.