16 mars 2010

Sudo : Permettre à zabbix ou un utilisateur lambda de lancer des commandes jonas, mysql, apache, oracle... sous Linux

Comment faire pour lancer une commande mysql/jonas/apache/etc... en étant zabbix ou tout autre utilisateur d'exploitation/supervision/ordonnancement ?

Cela se fait en plusieurs étapes :

  • Se connecter sous root
  • Lancer la commande visudo permettra d'éditer le fichier /etc/sudoers
  • Définir un nouveau groupe d'utilisateur MONITORING/EXPLOIT/...

User_Alias MONITORING = zabbix

  • Définir les commandes à lancer ici (su), nous pourrions utiliser la même méthode pour d'autres commandes comme /etc/init.d/jonas status, ...

#ne pas permettre à zabbix de lancer des commandes sous root d'où l'exclusion avec le ! au niveau des commandes ci-dessous (en rouge)

Cmnd_Alias SU=/bin/su [A-Za-z]?*, /bin/su - [A-Za-z]?*, !/bin/su -, !/bin/su *root*

  • Permettre au groupe MONITORING de lancer des commandes du type définies dans le groupe ci-dessus SU

MONITORING ALL=(ALL) NOPASSWD:SU

Plus d'informations :

Merci à mon collègue Ahmed qui a eu la patience de m'expliquer le fonctionnement du sudo il y a maintenant plus d'un an et demi.

Posté par fatihaelh à 10:49 - Unix - Commentaires [0] - Permalien [#]

Commentaires

Poster un commentaire