Re: [CBLX] gnome ?

[ Thread Index | Date Index | More lists.tuxfamily.org/carrefourblinux Archives ]


Gilles Touzé wrote on Fri, Nov 04, 2011 at 09:03:05AM +0100
> Le 03/11/2011 23:38, Dominique Asselineau a écrit :
>> Gilles Touzé wrote on Thu, Nov 03, 2011 at 05:58:20PM +0100
>>> Le 03/11/2011 12:25, Ald0 a écrit :
>>>> On Thu, Oct 20, 2011 at 05:57:17PM +0200, Philippe Delavalade wrote:
>>>>> Le jeudi 20 octobre à 17:43, Gilles Touzé a écrit :
>>>>>> Le 20/10/2011 09:31, Philippe Delavalade a écrit :
>>>>>>> Le mercredi 19 octobre à 13:17, blaise.st@xxxxxxxxx a écrit :
>>>>>>>> c'est vrai sur d'autre distrib mais pas sous ubuntu.
>>>>>>> Bien sûr que si !
>>>>>>>
>>>>>>> ctrl+alt+f1
>>>>>>> pour être sur la première console
>>>>>>>
>>>>>>> au login, entrer "root" (sans les doubles quotes)
>>>>>>> ensuite entrer le mot de passe
>>>>>>>
>>>>>>> et puis c'est bon ; on entre les commandes sans "sudo".
>>>>>>>
>>>>>> Non, Philippe, sous Ubuntu, le compte root est désactivé, il n'a pas
>>>>>> de shell. Il faut s'authentifier avec son login perso (et le mot de
>>>>>> passe associé). Une fois loggué, on peut passer en root avec la
>>>>>> commande "sudo su" par exemple (le mot de passe est alors le même
>>>>>> que pour le login, vu que root n'a pas de mot de passe).
>>>>> Là je suis surpris car l'année dernière j'ai utilisé pendant trois semaines
>>>>> une ubuntu et il y avait un compte root que j'ai bien utilisé pour faire
>>>>> des apt-get install (entre autres) vu que la machine n'était pas la mienne
>>>>> et que je voulais installer mes trucs habituels (le propriétaire m'avait
>>>>> donné sont autorisation :-) ).
>>>> Sûr que c'etait pas une Vinux ? parce que sous Ubuntu je confirme ce que dis
>>>> Gilles, y a pas de compte root du tout, par défaut, et le compte qu'Ubuntu
>>>> demande de créer à l'installation est celui du&er utilisateur, à qui le
>>>> pouvoir de faire du sudo ou sudo su est aussi donné.
>>> Ce n'est pas tout à fait exact : le compte root existe bel et bien, il a
>>> un home, c'est /root, seulement, il est privé de shell, et ne peut donc
>>> pas se connecter, et n'a pas non plus de mot de passe : c'est une mesure
>>> de sécurité car des pirates cherchent souvent à obtenir un shell sous
>>> root, ce qui leur donne le contrôle total de la machine.
>> Bof un compte sudoer ne doit pas être trop difficiles à repérer et
>> comme il s'agit d'un compte banalisé avec un home (rép. d'attache comme
>> on dit aussi) parmi les homes, la distinction admin/utilisateur n'est
>> pas si franche que qu'un root clairement séparé.
> Mais dont la sécurité dépend uniquement de son mot de passe. Un sudoer  
> est peut-être repérable par un être humain, mais par un robot, cela me  
> paraît moins évident. C'est toujours cela de gagné.
>>    On ne dit rien non
>> plus sur les permissions de groupes qui peuvent permettre des choses
>> qu'on n'a pas prévues si on a oublié de prendre toutes les précautions
>> pas nécessairement évidentes pour tous.
> En principe, les permissions de groupe d'Ubuntu ne sont pas attribuées à  
> la légère. Ce ne sont pas des brêles qui ont conçu le système..
>>
>> On peut toujours observer que différents concepts pris séparément
>> paraissent infaillible mais on n'est jamais trop sûr des effets
>> secondaires possibles lorsque ces concepts se mélangent.  Le
>> cloisonnement clair, net et sans faille des concepts, root en
>> particulier, est encore le meilleur moyen qu'on ait trouvé pour éviter
>> la prise en main de l'admin.
> Concrètement, je ne vois pas l'apport de cette approche. Ton affirmation  
> n'est pas étayée. Les mêmes effets de bord (ou d'autres) peuvent se  
> manifester là aussi.
>>   de la machine par des « éléments
>> extérieurs ».  En tout cas, si supprimer le compte root améliorait la
>> sécurité d'une machine, depuis 1974 que date les environnements Unix,
>> on s'en serait aperçu.
> Encore une fois, il n'est pas supprimé, il est seulement privé de shell  
> et de mot de passe. Le compte et le répertoire existent.
>>
>> Un petit mot pour ceux qui pensent parfois qu'il s'agit là de baratin
>> de parano.  Les machines ne sont pas piratées pour leur contenu,
>> encore qu'un n° de carte bancaire, ça se négocie bien paraît-il, mais pour
>> faire des « bêtises » sous la responsabilité du titulaire de la
>> connexion Internet car c'est évidemment par là que peuvent arriver les
>> ennuis (ou emmerdements selon l'ampleur).
> Oui à tout cela, mais où se situe la protection du compte root ? Dans  
> son mot de passe, et dans le secret qui entoure celui-ci. 

La connaissance du mot de passe root ou celui du sudoer n'est pas une
condition nécessaire pour pouvoir pirater une machine, il faut juste
arriver à faire tourner ce qu'on souhaite avec les privilèges
suffisants.  Pour ça, il y a par ex. la bonne vieille méthode des
chevaux de Troie.

On a beau mettre en place la meilleure logique du monde, les systèmes
ne sont jamias parfait, surtout avec la complexité.  Et si on pouvait
avoir un cloisonnement clairement physique entre l'admin et
l'utilisation, se serait une excellente solution.  Il faut juste
essayer de s'en approcher.

> Or les  
> attaques dont tu parles viennent souvent de l'intérieur, 

Par le réseau aussi, un défaut de config auquel on n'a pas pensé.
On ne pense pas à tout, malheureusement c'est comme ça.

dom
--

---
--
   CarrefourBLinuX MailingListe
   Pour obtenir de l'aide, envoyez le sujet  help  à:
   carrefourblinux-request@xxxxxxxxxxxxxxxxxxx
   Archives:
   http://listengine.tuxfamily.org/lists.tuxfamily.org/carrefourblinux


Mail converted by MHonArc 2.6.19+ http://listengine.tuxfamily.org/