Apparence
Uubu.fr

Les systèmes Linux, l’open source, les réseaux, l’interopérabilité, etc.
« Il vaut mieux viser la perfection et la manquer que viser l’imperfection et l’atteindre. » (Bertrand Arthur William RUSSEL)
03 juillet 2017

sudo rbac security           contrôle d'accès


sudo.conf

sudo.conf

Fichier de configuration de sudo

   sudo.conf supporte les directive 'Plugin', 'Path', 'Set', 'Debug'.

Plugin

Une ligne Plugin définis un module et son chemin, suivi de paramètres optionnels. Peut être spécifié plusieurs fois
Plugin sudoers_policy /usr/local/libexec/sudo/sudoers.so sudoers_mode=0440

Path

   Path définis les chemins vers divers librairies/programmes nécessaire. Si une ligne Path ne contient pas de chemin, la fonctionnalité est considérée désactivée:

        askpass chemin du helper pour lire les mots de passe quand aucun terminal n'est disponible
        noexec Chemin de la librairie wrappers pour les fonctions execl(), execle(), execlp(), exect(), execv(), execve(), execvP(), execvp(), execvpe(), fexecve(), popen(), posix_spawn(), posix_spawnp(), system(), et wordexp() qui empêche l'exécution d'autres commandes. Utilisé pour implémenter la foncionnalité noexec dans les systèmes qui supportent LD_PRELOAD ou son équivalent.
        plugin_dir Répertoire de recherche des plugins spéficier sans chemin complet.
        sesh Chemin de sesh. Utilé quand sudo est compilé avec le support SELinux

Set

disable_coredump true|false Par défaut sudo désactive le coredump pour éviter toute fuite de données sensible
group_source sudo passe la liste des groupes de l'utilisateur invoquant à la stratégie et les plugins I/O. Dans la plupart des système, il y a une limite du nombre de groupes (généralement 16). si la liste de groupe dépasse la limite kernel, sudo consulte lui-même la liste des groupes:

        static Utilise la liste de groupe statique que le kernel retourne
        dynamic Requête toujours la base de groupe. C'est dynamique dans le sens où les changements fait dans la base de groupe après que l'utilisateur se soit loggé sont reflétés dans la liste des groupe.
        adaptive Ne requête la pase que si la liste des groupes retournés par le kernel a atteind la limite des entrées.

max_groups Nombre maximum de groupes utiliateur à récupérer dans la base de groupe lorsque sudo requête la base de groupe directement
probe_interfaces Par défaut, sudo sont les interfaces réseaux du système et passe l'IP à chaque interface activée au plugin de stratégie. Cela simplifie les règles de match basé sur l'IP sans avoir à requêter DNS.

Debug

Une ligne Debug consiste du mot clé Debug, suivi par le nom du programme ou plugin à débugger (sudo, visudo, sudoreplay, sudoers), le nom du fichier de dibug et une liste de flags. Par exemple:
Debug sudo /var/log/sudo_debug all@warn,plugin@info

        all Match tous les sous-systèmes
        args traitement des arguments de la ligne de commande
        conv Conversation utilisateur
        edit sudoedit
        event Sous-système d'évènement
        exec exécution de commande
        main Fonction main de sudo
        netif Gestion des interfaces réseaux
        pcomm Communication avec le plugin
        pty Code lié au pty
        selinux gestion SELinux
        util Fonctions utilitaires
        utmp Gestion utmp