Contexte

• Sous Windows Server, Ubuntu et dans le cloud, l’administrateur doit déléguer certaines tâches.
• La délégation doit être suffisante pour exécuter la tâche attendue.
• Elle ne doit pas accorder plus de droits que nécessaire.
• Sous Linux, cette délégation repose principalement sur la configuration de sudo.

Délégation sous Linux : les bases

• Les fichiers clés sont /etc/sudoers et /etc/sudoers.d.
• /etc/sudoers contient les règles de base d’élévation de privilèges.
• Ce fichier ne doit être modifié qu’en cas de nécessité absolue.
• Une mauvaise modification peut bloquer l’accès administrateur.
• Les mises à jour système peuvent réinitialiser certaines configurations.
• /etc/sudoers.d permet d’ajouter des règles complémentaires plus facilement maintenables.

Éditer sudoers avec visudo

• visudo vérifie la syntaxe avant d’écraser le fichier.
• visudo verrouille aussi l’accès pour éviter les modifications simultanées.

sudo select-editor
sudo visudo

Syntaxe de base de /etc/sudoers

• Utilisateur / groupe : utilisateur direct, ou groupe avec le préfixe %.
• Hôte : ALL pour tous les hôtes, ou hôte spécifique si nécessaire.
• Utilisateur cible : utilisateur dont on prend les droits (souvent ALL ou root).
• Groupe cible : même logique pour les groupes (optionnel).
• Commandes : liste des commandes autorisées, séparées par des virgules.

Alias et NOPASSWD

• Les alias simplifient la gestion de plusieurs utilisateurs, hôtes ou commandes.
• NOPASSWD: permet d’autoriser une commande sans saisie de mot de passe.

Cmnd_Alias ARRET_SYS = /sbin/poweroff, /sbin/halt, /sbin/reboot
User_Alias tech = pierre, jean, jacques
ALL ALL=(root) NOPASSWD: /sbin/macommande

Exemples de privilèges

joe ALL=(root) NOPASSWD: /usr/sbin/reboot
%admin ALL=(root) /usr/bin/systemctl restart nginx
julie ALL=(webadmin) ALL
mo ALL=(ALL) ALL

• joe redémarre sans mot de passe.
• Le groupe admin redémarre nginx.
• julie agit avec les droits de webadmin.
• mo peut tout exécuter avec mot de passe.