web-dev-qa-db-fra.com

Supprimer un droit d'utilisateur pour utiliser sudo

En tant qu'administrateur, comment supprimer les droits d'un utilisateur d'utiliser Sudo. Y a-t-il une commande simple pour faire ceci?

3
fantamoja

Seuls les utilisateurs du groupe Sudo peuvent utiliser la commande Sudo. Pour supprimer l'utilisateur jdoe du groupe Sudo, tapez (en tant que root):

deluser jdoe Sudo

Si vous n'êtes pas root, tapez

Sudo deluser jdoe Sudo

Référence: Comment supprimer un utilisateur d'un groupe?


Mise à jour

Comme souligné par @ Aleks G dans un commentaire , ce qui précède n’est que la moitié de la vérité:

Par défaut, seuls les membres du groupe Sudo peuvent exécuter des commandes avec Sudo <command>. Ceci est accompli par la ligne

#  who  where    as-whom  what
  %Sudo  ALL  = (ALL:ALL) ALL

dans le fichier /etc/sudoers. Ça veut dire:

  • membres du groupe Sudo ( who ) peut être exécuté
  • sur n'importe quel ordinateur ()
  • comme n'importe quel utilisateur et tout groupe ( comme-qui )
  • toute commande ( what )

Il s’agit de la configuration par défaut sous Ubuntu. Par conséquent, ajouter ou supprimer un utilisateur du groupe Sudo donne ou révoque le privilège d’exécuter des commandes avec Sudo <command>.

Mais il est également possible d'ajouter d'autres groupes et/ou utilisateurs au fichier /etc/sudoers (ou en dessous de /etc/sudoers.d/) comme si :

alice  myhost  = (bob) /bin/ls

Cela signifie que l'utilisateur alice peut exécuter /bin/ls en tant qu'utilisateur bob mais uniquement sur l'hôte myhost.

alice peut maintenant faire Sudo -u bob ls /home/bob. Ceci est indépendant d'une appartenance au groupe Sudo. Si vous avez une telle configuration, alors ne suffit pas pour supprimer alice du groupe Sudo. Au lieu de cela, vous devez supprimer la ligne alice du fichier /etc/sudoers.

La partie n'est pertinente que si vous partagez le fichier sudoers sur différents ordinateurs et souhaitez le conserver sur tous les ordinateurs.

10
PerlDuck

La réponse concernant le groupe Sudo est correcte pour la plupart. Il existe un autre moyen de donner des droits Sudo à un utilisateur, à savoir d’ajouter son nom d’utilisateur directement au fichier sudoers. Si le nom d'utilisateur a été ajouté, il doit être supprimé de ce fichier - généralement toute la ligne contenant le nom d'utilisateur. Ce n'est pas un scénario courant, mais c'est possible. Pour éditer le fichier sudoers, utilisez visudo.

4
Jonathan Bennett