Aide-mémoire sudoers

Ce document résume les règles essentielles pour déléguer des privilèges de façon sécuritaire sous Linux.

1) Fichiers importants

• Fichier principal : /etc/sudoers
• Dossier recommandé pour les règles personnalisées : /etc/sudoers.d/
• Toujours éditer avec visudo (validation syntaxique + verrouillage)

sudo visudo
sudo visudo -f /etc/sudoers.d/web

Utiliser nano avec visudo :

sudo select-editor

2) Syntaxe d'une règle

utilisateur hote=(utilisateur_cible:groupe_cible) options: commandes

Exemple générique :

alice ALL=(root) /usr/bin/systemctl restart nginx

Signification :

• alice : utilisateur concerné
• ALL : tous les hôtes
• (root) : exécute la commande en tant que root
• /usr/bin/systemctl restart nginx : commande autorisée

3) Utilisateur vs groupe

• Utilisateur : nom direct
• Groupe : préfixe %

%admin ALL=(ALL) ALL

4) Autoriser plusieurs commandes

Séparer avec des virgules :

alice ALL=(root) /usr/bin/systemctl restart nginx, /usr/bin/systemctl status nginx

5) Alias utiles

User_Alias WEBOPS = alice, bob
Cmnd_Alias WEB_CMDS = /usr/bin/systemctl restart nginx, /usr/bin/systemctl status nginx
WEBOPS ALL=(root) WEB_CMDS

6) NOPASSWD (à utiliser avec prudence)

alice ALL=(root) NOPASSWD: /usr/sbin/reboot

• Permet d'exécuter la commande sans mot de passe.
• Limiter à des commandes précises.
• Éviter NOPASSWD: ALL sauf cas exceptionnel.

7) Bonnes pratiques minimales

• Appliquer le principe du moindre privilège.
• Autoriser des commandes explicites, pas ALL si possible.
• Utiliser /etc/sudoers.d/ pour organiser les règles.
• Documenter chaque règle (qui, quoi, pourquoi).
• Réviser périodiquement les accès.

8) Vérifications rapides

Lister les privilèges d'un utilisateur :

sudo -l -U alice

Tester la syntaxe sudoers :

sudo visudo -c

8.1) Prendre le rôle d'un utilisateur et tester une règle

1. Ouvrir une session shell comme l'utilisateur ciblé :

sudo -iu alice

2. Exécuter la commande autorisée par votre règle (exemple) :

sudo systemctl restart nginx

3. Confirmer le comportement attendu :

• Si la règle utilise NOPASSWD, aucune demande de mot de passe.
• Sinon, demande du mot de passe de alice.
• Si la règle n'autorise pas la commande, message not allowed to run sudo.

4. Tester un cas refusé (commande non autorisée) pour valider le moindre privilège :

sudo systemctl stop ssh

5. Quitter la session utilisateur de test :

exit

9) Modèles prêts à adapter

Redémarrer un service précis :

%webops ALL=(root) /usr/bin/systemctl restart nginx

Exécuter un script d'entretien précis :

backup ALL=(root) /usr/local/bin/backup.sh

Autoriser un compte applicatif à lire des logs via journalctl sans mot de passe :

appsupport ALL=(root) NOPASSWD: /usr/bin/journalctl -u nginx