Interdire aux utilisateurs d'exécuter n'importe quoi

Le
Yliur
Bonjour

Une petite question de sécurité.

Pour éviter à des utilisateurs d'exécuter des programmes
"non-autorisés" (disons n'importe quelle cochonnerie trouvée sur
Internet ou trimballé sur une clé usb), y a-t-il une solution simple ?

Pour ce qui est des scripts, il est toujours possible de monter /home
et les clés usb (ou autres partitions "de données") avec noexec. Ça
évite de lancer (presque) sans faire exprès un script shell. Et
encore un gestionnaire de fichiers graphique va sûrement appeler
bash <lescript.sh> et ça va marcher (ou je dis des bêtises ?). Et
avec les interpréteurs Perl, Python, Java, c'est pareil : est-il
possible d'interdire d'"exécuter" un de ces fichiers qui serait
sur /home par exemple ? De contrôler ce que les interpréteurs sont
autorisés à exécuter ?

Merci pour les avis
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Hugues
Le #21362381
Bonjour,

Ce cher Yliur
Bonjour

Une petite question de sécurité.

Pour éviter à des utilisateurs d'exécuter des programmes
"non-autorisés" (disons n'importe quelle cochonnerie trouvée sur
Internet ou trimballé sur une clé usb), y a-t-il une solution simple ?



En clair, y a-t-il une solution pour empêcher quelqu'un de se planter un
couteau dans la main ? Non :)

Pour ce qui est des scripts, il est toujours possible de monter /home
et les clés usb (ou autres partitions "de données") avec noexec. Ça
évite de lancer (presque) sans faire exprès un script shell. Et
encore... un gestionnaire de fichiers graphique va sûrement appeler
bash avec les interpréteurs Perl, Python, Java, ... c'est pareil : est-il
possible d'interdire d'"exécuter" un de ces fichiers qui serait
sur /home par exemple ? De contrôler ce que les interpréteurs sont
autorisés à exécuter ?



Je ne pense pas, à partir du moment où l'interpréteur est exécutable, et
le script lisible par l'utilisateur, il pourra être exécuté.. Aucun
verrou possible ne me vient à l'esprit.

De toutes manières, le seul risque qu'il pourra avoir, c'est
perdre/abîmer ses propres données à lui, donc ce n'est pas franchement
critique, je trouve.

le "noexec" n'aura vraiment d'effet que pour les binaires proprement
dits, et encore, à condition de bien mettre en noexec *toutes* les
partitions accessibles en écriture par l'utilisateur (par exemple.. /tmp)


Cordialement,
--
Hugues Hiegel [http://www.hiegel.fr/~hugues/]
Dominique MICOLLET
Le #21363691
Yliur wrote:
Une petite question de sécurité.
Merci pour les avis



Une des solutions, dont j'ignore si elle existe toujours, que j'employais
pour les examens sur machine était le shell restreint.

Mais c'est contraignant. Et j'ignore si cela peut être mis en oeuvre dans
une interface graphique.

En fait, je ne comprends pas clairement ce que vous souhaitez exactement
autoriser ou interdire.

Cordialement.

--
Dominique MICOLLET
Adresse email : enlever deux francs
Jean-Baptiste Faure
Le #21364271
Le 11.03.2010 19:59, Yliur a écrit :
Bonjour

Une petite question de sécurité.

Pour éviter à des utilisateurs d'exécuter des programmes
"non-autorisés" (disons n'importe quelle cochonnerie trouvée sur
Internet ou trimballé sur une clé usb), y a-t-il une solution simple ?



Oui : les informer et les former.
Les solutions techniques pour la sécurité sur le poste de travail ne
fonctionnent que si les utilisateurs sont conscients des enjeux et
s'approprient cette question.

JBF
--
Seuls des formats ouverts peuvent assurer la pérennité de vos documents
moi-meme
Le #21364491
Le Fri, 12 Mar 2010 10:34:29 +0100, Jean-Baptiste Faure a écrit :

Oui : les informer et les former.
Les solutions techniques pour la sécurité sur le poste de travail ne
fonctionnent que si les utilisateurs sont conscients des enjeux et
s'approprient cette question.



je plussoie : la sécurité est une contrainte dont les bienfaits doivent
être compris des utilisateurs.
Hugues
Le #21365341
Ce cher Jean-Baptiste Faure
Le 11.03.2010 19:59, Yliur a écrit :
Bonjour

Une petite question de sécurité.

Pour éviter à des utilisateurs d'exécuter des programmes
"non-autorisés" (disons n'importe quelle cochonnerie trouvée sur
Internet ou trimballé sur une clé usb), y a-t-il une solution simple ?



Oui : les informer et les former.
Les solutions techniques pour la sécurité sur le poste de travail ne
fonctionnent que si les utilisateurs sont conscients des enjeux et
s'approprient cette question.



J'ai rarement lu une réponse avec autant de bon sens sur ce type de sujet..

Chapeau !

--
Hugues Hiegel [http://www.hiegel.fr/~hugues/]
Publicité
Poster une réponse
Anonyme