D

Le
fenark
Bonjour,


Je sais que c'est la liste debian mais j'aimerais sur un poste sous
Ubuntu désactiver complètement(non réactivable) le réseau. Je pense à
une compilation du noyau avec les options qui vont bien, virer tous les
outils permettant de recompiler un noyau et bloquer le chargement
dynamique de modules.

Est-ce d'après vous une bonne solution ? Et si oui, quelles sont les
options du kernel à désactiver s'il vous plait ?


Merci

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
fenark
Le #20535181
> Il doit être suffisant de repérer les modules correspondant aux cartes
réseau et de les désactiver (modprobe -r)

Pour rendre l'effet permanent, mettre les noms des modules dans
/etc/modprobe.d/blacklist (ou blakclist.conf)

A+

--
Pierre Meurisse




J'ai éliminé cette solution, car une personne peut facilement supprimer
l'entrée de blacklist dans modprobe.d et réactiver le réseau.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Pierre Meurisse
Le #20535191
Bonjour,

On Wed, Nov 11, 2009 at 04:46:57PM +0100, fenark wrote:

Bonjour,


Je sais que c'est la liste debian mais j'aimerais sur un poste sous
Ubuntu désactiver complètement(non réactivable) le réseau. Je pense à
une compilation du noyau avec les options qui vont bien, virer tous les
outils permettant de recompiler un noyau et bloquer le chargement
dynamique de modules.

Est-ce d'après vous une bonne solution ? Et si oui, quelles sont les
options du kernel à désactiver s'il vous plait ?



Il doit être suffisant de repérer les modules correspondant aux cartes
réseau et de les désactiver (modprobe -r)

Pour rendre l'effet permanent, mettre les noms des modules dans
/etc/modprobe.d/blacklist (ou blakclist.conf)

A+

--
Pierre Meurisse

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
David Prévot
Le #20535311
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

fenark a écrit :
Il doit être suffisant de repérer les modules correspondant aux cartes
réseau et de les désactiver (modprobe -r)

Pour rendre l'effet permanent, mettre les noms des modules dans
/etc/modprobe.d/blacklist (ou blakclist.conf)





[...]

J'ai éliminé cette solution, car une personne peut facilement supprimer
l'entrée de blacklist dans modprobe.d et réactiver le réseau.



Non, seul le superutilisateur le peut. Et si tu veux vraiment qu'un
utilisateur ayant un accès physique à la machine ne puisse pas utiliser
le réseau, le seul moyen, c'est avec ton tournevis de virer la carte
réseau, ainsi que tous les slots pci/pcmcia et même usb pour interdire
l'installation d'une autre carte... C'est quoi le but en fait ?

Amicalement

David

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)

iEYEARECAAYFAkr65GUACgkQ18/WetbTC/qFHACeI2ZIMTdEVswlOFzCexMsA902
OoYAoJgh8jeWYJRtdo3zam9xbqsUCmmY
=U4y0
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Kevin Hinault
Le #20535301
Le 11 novembre 2009 17:06, fenark

Pour rendre l'effet permanent, mettre les noms des modules dans
/etc/modprobe.d/blacklist  (ou blakclist.conf)



J'ai éliminé cette solution, car une personne peut facilement supprim er
l'entrée de blacklist dans modprobe.d et réactiver le réseau.




Oui enfin c'est à sa que servent les droits sur les fichiers et
justement blacklist.conf n'est modifiable que par root. J'imagine que
l'utilisateur ne l'est pas ? Parce que sinon il peut tout aussi bien
recompiler le noyau.

--
Kévin

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Yves Rutschle
Le #20535371
On Wed, Nov 11, 2009 at 05:06:31PM +0100, fenark wrote:
J'ai éliminé cette solution, car une personne peut facilement supprimer
l'entrée de blacklist dans modprobe.d et réactiver le réseau.



Tu cherches à te protéger de quelqu'un qui peut être root
sur la machine?

La solution la plus simple me parait être de retirer la
carte réseau, ou, si port ethernet intégré, le couper
physiquement au niveau de la carte mère (et si t'as pas
confiance, mettre l'unité centrale sous clé).

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
fenark
Le #20535521
Le mercredi 11 novembre 2009 à 17:22 +0100, Yves Rutschle a écrit :
On Wed, Nov 11, 2009 at 05:06:31PM +0100, fenark wrote:
> J'ai éliminé cette solution, car une personne peut facilement supprimer
> l'entrée de blacklist dans modprobe.d et réactiver le réseau.

Tu cherches à te protéger de quelqu'un qui peut être root
sur la machine?

La solution la plus simple me parait être de retirer la
carte réseau, ou, si port ethernet intégré, le couper
physiquement au niveau de la carte mère (et si t'as pas
confiance, mettre l'unité centrale sous clé).

Y.




A me protéger, non. Seulement un poste embarqué pour une application
particulière. Couper le port ethernet physiquement au niveau de la carte
mère me plairait assez, si je savais exactement comment le faire
proprement sans risque pour la carte elle-même.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Jean-Yves F. Barbier
Le #20535591
fenark a écrit :
...
A me protéger, non. Seulement un poste embarqué pour une application
particulière. Couper le port ethernet physiquement au niveau de la carte
mère me plairait assez, si je savais exactement comment le faire
proprement sans risque pour la carte elle-même.



un ptit coup de tronçonneuse à disque carbo le long de l'I/F?



un simple fichier exécutable contenant:
#!/bin/sh
/etc/init.d/networking stop

placé dans /usr/local/sbin, et appelé à partir de /etc/rc.local
fait l'affaire, étant donné qu'il faut être root pour remettre
la sauce.

--
Most people's favorite way to end a game is by winning.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
fenark
Le #20535851
Le mercredi 11 novembre 2009 à 18:18 +0100, Jean-Yves F. Barbier a
écrit :
fenark a écrit :
...
> A me protéger, non. Seulement un poste embarqué pour une application
> particulière. Couper le port ethernet physiquement au niveau de la carte
> mère me plairait assez, si je savais exactement comment le faire
> proprement sans risque pour la carte elle-même.

un ptit coup de tronçonneuse à disque carbo le long de l'I/F?



un simple fichier exécutable contenant:
#!/bin/sh
/etc/init.d/networking stop

placé dans /usr/local/sbin, et appelé à partir de /etc/rc.local
fait l'affaire, étant donné qu'il faut être root pour remettre
la sauce.




L'utilisateur est root

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Poustiquet
Le #20536611
fenark a écrit :
Le mercredi 11 novembre 2009 à 18:18 +0100, Jean-Yves F. Barbier a
écrit :

fenark a écrit :
...

A me protéger, non. Seulement un poste embarqué pour une application
particulière. Couper le port ethernet physiquement au niveau de la carte
mère me plairait assez, si je savais exactement comment le faire
proprement sans risque pour la carte elle-même.



un ptit coup de tronçonneuse à disque carbo le long de l'I/F?



un simple fichier exécutable contenant:
#!/bin/sh
/etc/init.d/networking stop

placé dans /usr/local/sbin, et appelé à partir de /etc/rc.local
fait l'affaire, étant donné qu'il faut être root pour remettre
la sauce.





L'utilisateur est root




Ah oui ....
Root = Admin
User is not Admin

pourquoi lui donner les droits root
la personne veut du réseau ...
il vient avec une clé Wifi ou un dongle usb <-> RJ45 (si si
cela existe encore)
en root, il compile les modules ...
et sous debian énormément de dongles wifi sont reconnu
par défaut ....

Si ton user a besoin de droit spécifique à une applis,
donne lui juste l'accès à cette applis et surtout pas 100% du
système

voyons !!!
Poustiquet




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme