sourCEntral - mobile manpages

pdf

SUAUTH

NOM

suauth − Fichier de contrôle détaillé de su

SYNOPSIS

/etc/suauth

DESCRIPTION

Le fichier /etc/suauth est lu chaque fois que su est exécuté. Il permet de modifier le comportement de la commande su, en fonction de :

1) l'utilisateur cible de su

2) l'utilisateur qui exécute la commande su (ou un groupe dont il est membre)

Le fichier est formaté de la façon suivante (les lignes commençant par un « # » sont des commentaires, et sont ignorées) :

vers−id:par−id:ACTION

Où vers−id peut être le mot ALL, une liste de noms d'utilisateurs séparés par une virgule ou ALL EXCEPT suivi d'une liste d'utilisateurs séparés par une virgule.

par−id utilise le même format que vers−id, mais accepte également le mot−clé GROUP. ALL EXCEPT GROUP est également accepté. GROUP est suivi d'un ou plusieurs noms de groupes, séparés par une virgule. Il n'est pas suffisant d'avoir comme groupe primaire le groupe approprié : une entrée dans /etc/group(5) est nécessaire.

Les valeurs d'ACTION valables sont :

DENY

La tentative de changement d'utilisateur est arrêtée avant que le mot de passe ne soit demandé.

NOPASS

La tentative est automatiquement réussie. Aucun mot de passe n'est demandé.

OWNPASS

Pour que la commande su soit réussie, l'utilisateur doit entrer son propre mot de passe. Ceci lui est demandé.

Notez qu'il y a trois champs séparés par un « deux−points ». Ne pas accoler d'espace à ce « deux−points ». Notez aussi que le fichier est examiné séquentiellement ligne par ligne, et que la première règle applicable est utilisée sans que le reste du fichier ne soit examiné. Ceci permet à l'administrateur système de définir un contrôle aussi fin qu'il le souhaite.

EXEMPLE

# exemple de fichier /etc/suauth
#
# Deux utilisateurs privilégiés peuvent
# devenir root avec leur propre mot de passe.
#
root:chris,birddog:OWNPASS
#
# Les autres ne peuvent pas de venir root avec
# su, à l'exception des membres du groupe wheel.
# Ceci correspond au comportement des BSD.
#
root:ALL EXCEPT GROUP wheel:DENY
#
# terry et birddog sont des comptes possédés
# par la même personne.
# Un accès sans mot passe est aménagé
# entre ces deux comptes.
#
terry:birddog:NOPASS
birddog:terry:NOPASS
#

FICHIERS

/etc/suauth

BOGUES

Il en reste sans doute beaucoup. L'analyseur du fichier est particulièrement impitoyable avec les erreurs de syntaxe. Il n'autorise d'espace qu'en début et fin de ligne, et seul le délimiteur spécifique doit être utilisé.

DIAGNOSTICS

Une erreur dans l'analyse du fichier est reportée via syslogd(8) au niveau ERR dans la catégorie AUTH.

VOIR AUSSI

su(1).

pdf