compte admin ou pas...

Le
pehache
Bonjour,

je redébute en MacOS après une interruption de 15 ans, donc je n'ai pas
fini de vous embêter :-)

Je commence : sécuritairement parlant, est-il raisonnable d'utiliser au
jour le jour un compte admin, ou bien vaut-il mieux un compte standard
et créer un compte admin séparé pour les tâches d'administration ?

J'avais l'impression qu'utiliser un compte admin était OK, vu que le mot
de passe est redemandé pour effectuer les tâches d'administration (à la
manière des distribs linux grand public), mais je vois que certaines de
ces tâches se font sans le mot de passe (comme installer un logiciel) :
du coup je doute

Merci d'avance

--
pehache
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 7
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
xavier
Le #23398561
pehache
Je commence : sécuritairement parlant, est-il raisonnable d'utiliser au
jour le jour un compte admin, ou bien vaut-il mieux un compte standard
et créer un compte admin séparé pour les tâches d'administration ?



Ca fait 10 ans que j'utilise un compte admin, je n'ai jamais eu le
moindre souci. Comme tu le dis, le MdP est demandé pour toute
installation, sauf, effectivement, un logiciel "standalone" qu'on glisse
simplement à ça place. Dés qu'il faut installer une librairie, un
service, le MdP est demandé.

Note, que pour un utilisateur standard, les conditions sont les mêmes
il *peut* installer des trucs, y compris dans le système en donnant le
Mdp *admin*

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
patpro ~ patrick proniewski
Le #23398621
In article pehache
Bonjour,

je redébute en MacOS après une interruption de 15 ans, donc je n'ai pas
fini de vous embêter :-)

Je commence : sécuritairement parlant, est-il raisonnable d'utiliser au
jour le jour un compte admin, ou bien vaut-il mieux un compte standard
et créer un compte admin séparé pour les tâches d'administration ?

J'avais l'impression qu'utiliser un compte admin était OK, vu que le mot
de passe est redemandé pour effectuer les tâches d'administration (à la
manière des distribs linux grand public), mais je vois que certaines de
ces tâches se font sans le mot de passe (comme installer un logiciel) :
du coup je doute...




ça dépend de ton niveau de compétence :)
Si tu es habitué aux problématiques de sécurité, que tu es très prudent,
que tu ne cliques jamais sans réfléchir, etc. etc. Tu peux utiliser un
compte admin sans trop de risque.
Mais plus je vois comment fonctionnent les attaques modernes, plus je me
dis que, malgré ma grande expérience, je devrais revenir à un compte
non-admin pour le quotidien.

patpro

--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
xavier
Le #23398681
patpro ~ patrick proniewski
Mais plus je vois comment fonctionnent les attaques modernes, plus je me
dis que, malgré ma grande expérience, je devrais revenir à un compte
non-admin pour le quotidien.



Qu'entends-tu par là ? Un compte admin n'ayant pas plus qu'un autre le
droit d'installer des pilotes/libairies/services sans MdP, je ne vois
pas ce que ça change. Un compte admin n'est pas un compte root, il n'a
aucun droit particulier sur le filesystem, sauf celui de s'authentifier
*explicitement* pour avoir des droits root.

La seule exception qu je vois est cette $*%&§ de 4D Serveur, qui doit
tourner dans un compte root. Là, oui, il y a danger.

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
patpro ~ patrick proniewski
Le #23398731
In article (Xavier) wrote:

patpro ~ patrick proniewski
> Mais plus je vois comment fonctionnent les attaques modernes, plus je me
> dis que, malgré ma grande expérience, je devrais revenir à un compte
> non-admin pour le quotidien.

Qu'entends-tu par là ? Un compte admin n'ayant pas plus qu'un autre le
droit d'installer des pilotes/libairies/services sans MdP, je ne vois
pas ce que ça change. Un compte admin n'est pas un compte root, il n'a
aucun droit particulier sur le filesystem, sauf celui de s'authentifier
*explicitement* pour avoir des droits root.



Je parle des vulnérabilités qui peuvent exister dans les OS, en
particulier les compromissions de plus en plus sophistiquées qui peuvent
enchaîner un trou dans le navigateur, un buffer overflow dans un bout de
l'OS, et finir en piratage de l'ordi juste en surfant au mauvais endroit
au mauvais moment.
Par contre j'ai plus les références en têtes à propos des démonstrations
techniques.

Si un utilisateur ne peut pas faire de sudo, c'est déjà ça de moins à
pirater.

Mais bon, on va pas faire de la parano hein. Le truc c'est que le grand
public est toujours aussi facile à berner. Et que mon foutu Safari a
téléchargé tout seul Mac Protector. Si j'étais pas un type prudent, je
me serai fait avoir.

patpro

--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
chambara1
Le #23399251
patpro ~ patrick proniewski


Mais bon, on va pas faire de la parano hein. Le truc c'est que le grand
public est toujours aussi facile à berner. Et que mon foutu Safari a
téléchargé tout seul Mac Protector.



Comment Safari a-t-il pu télécharger tout seul Mac Protector?

--
René

Lascia la spina cogli la rosa
patpro ~ patrick proniewski
Le #23399341
In article (René Chamayou) wrote:

patpro ~ patrick proniewski

>
> Mais bon, on va pas faire de la parano hein. Le truc c'est que le grand
> public est toujours aussi facile à berner. Et que mon foutu Safari a
> téléchargé tout seul Mac Protector.

Comment Safari a-t-il pu télécharger tout seul Mac Protector?



c'est assez trivial à mettre en place ce genre de choses. J'étais juste
en train de faire une recherche dans google, et j'avais du ouvrir
quelques résultats dans des onglets pour les étudier plus tard.

patpro

--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
xavier
Le #23399391
patpro ~ patrick proniewski
Je parle des vulnérabilités qui peuvent exister dans les OS, en
particulier les compromissions de plus en plus sophistiquées qui peuvent
enchaîner un trou dans le navigateur, un buffer overflow dans un bout de
l'OS, et finir en piratage de l'ordi juste en surfant au mauvais endroit
au mauvais moment.



C'est bien aussi cela que j'avais en tête. Et aussi les failles des
monstruosités d'Adobe.

Mais quand bien même, sauf erreur, le seul endroit ou un admin a plus de
privilèges qu'un user c'est le dossier /Applications. Pour tout le
reste, il sont au même niveau, et que je sache ni Safari, ni FlashPlayer
tourne sous un autre UID que celui du compte loggué.

Par contre j'ai plus les références en têtes à propos des démonstrations
techniques.



Ca m'intéresserait.

Si un utilisateur ne peut pas faire de sudo, c'est déjà ça de moins à
pirater.



Par défaut, un admin ne peut pas faire de sudo sans MdP. Et sudo est mis
à jour pratiquement à chaque mise à jour système (vu la fréquence de màj
sur le mainstream)

Mais bon, on va pas faire de la parano hein. Le truc c'est que le grand
public est toujours aussi facile à berner. Et que mon foutu Safari a
téléchargé tout seul Mac Protector. Si j'étais pas un type prudent, je
me serai fait avoir.



Pardonne moi si j'insiste, mais ça aurait changé quoi que tu ne sois pas
admin ? Dans tous les cas, il ne s'installera pas, du moins les bouts
actifs, sans MdP.

PS : je viens d'aller pêcher des infos sur MacProtector, si
l'utilisateur a laissé coché "Open safe files after downloading",
effectivement il peut s'installer presque seul. Amha, le responsable
dans ce cas est quand même un peu Apple, qui aurait dû ne pas mettre
cette option par défaut, et devrait modifier son installeur pour que le
MdP soit systématiquement demandé pour *toute* install.

PPS : d'après certains adeptes de la théorie du complot qui traînent
ici, avec Lion, on ne pourra de toutes façons plus rien installer sans
passer par le Store :-)

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Le Moustique
Le #23399461
Le 28/05/11 21:57, Xavier a écrit :
PPS : d'après certains adeptes de la théorie du complot qui traîn ent
ici, avec Lion, on ne pourra de toutes façons plus rien installer san s
passer par le Store:-)



Y'aura une version Store de iSerial Reader? :-D


--
/) Le Moustique
-:oo=
) CC BY-NC-ND
Je nettoyais mon clavier, et le coup est parti tout seul.
Erwan David
Le #23399451
Le Moustique
Le 28/05/11 21:57, Xavier a écrit :
PPS : d'après certains adeptes de la théorie du complot qui traînent
ici, avec Lion, on ne pourra de toutes façons plus rien installer sans
passer par le Store:-)



Y'aura une version Store de iSerial Reader? :-D



Non, mais il n'y a déjà pas de version non store de XCode 4...


--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
gilles
Le #23399511
pehache
je redébute en MacOS après une interruption de 15 ans, donc je n'ai pas
fini de vous embêter :-)



ouch.. tu as fini avec quel système, le 7.5 ?


Je commence : sécuritairement parlant, est-il raisonnable d'utiliser au
jour le jour un compte admin, ou bien vaut-il mieux un compte standard
et créer un compte admin séparé pour les tâches d'administration ?

J'avais l'impression qu'utiliser un compte admin était OK, vu que le mot
de passe est redemandé pour effectuer les tâches d'administration (à la
manière des distribs linux grand public), mais je vois que certaines de
ces tâches se font sans le mot de passe (comme installer un logiciel) :
du coup je doute...



Rien d'inquiétant si un logiciel ne te demande pas le mot de passe,
c'est qu'il n'installe rien dans les dossiers systèmes (/System,
/Library, /private etc.), dans les startup items ni ne modifie aucune
librairie partagée.


Principalement, utiliser un compte admin est une question de confiance
en l'utilisateur...
si tu as confiance en l'utilisateur tu lui donnes les droits admin.

Pour le reste, un compte admin n'est pas le compte root, qui lui est
désactivé par défaut, ce qui est bien..

Et quant aux bruits sur "Mac defender", par exemple, compte admin ou non
n'y change rien : puisque si l'utilisateur tombe dans le piège, tout ce
qu'il fait c'est valider le téléchargement et l'installation d'un
programme dans le dossier applications.

Le vrai truc à faire, c'est de se méfier de l'option de Safari d'"ouvrir
automatiquement les pièces jointes fiables"

moi je la décoche systématiquement ...
Publicité
Poster une réponse
Anonyme