Interdire aux utilisateurs d'exécuter n'importe quoi
6 réponses
Yliur
Bonjour
Une petite question de s=E9curit=E9.
Pour =E9viter =E0 des utilisateurs d'ex=E9cuter des programmes
"non-autoris=E9s" (disons n'importe quelle cochonnerie trouv=E9e sur
Internet ou trimball=E9 sur une cl=E9 usb), y a-t-il une solution simple ?
Pour ce qui est des scripts, il est toujours possible de monter /home
et les cl=E9s usb (ou autres partitions "de donn=E9es") avec noexec. =C7a
=E9vite de lancer (presque) sans faire expr=E8s un script shell. Et
encore... un gestionnaire de fichiers graphique va s=FBrement appeler
bash <lescript.sh> et =E7a va marcher (ou je dis des b=EAtises ?). Et
avec les interpr=E9teurs Perl, Python, Java, ... c'est pareil : est-il
possible d'interdire d'"ex=E9cuter" un de ces fichiers qui serait
sur /home par exemple ? De contr=F4ler ce que les interpr=E9teurs sont
autoris=E9s =E0 ex=E9cuter ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Hugues
Bonjour,
Ce cher Yliur a dit :
Bonjour
Une petite question de sécurité.
Pour éviter à des utilisateurs d'exécuter des programmes "non-autorisés" (disons n'importe quelle cochonnerie trouvée sur Internet ou trimballé sur une clé usb), y a-t-il une solution simple ?
En clair, y a-t-il une solution pour empêcher quelqu'un de se planter un couteau dans la main ? Non :)
Pour ce qui est des scripts, il est toujours possible de monter /home et les clés usb (ou autres partitions "de données") avec noexec. Ça évite de lancer (presque) sans faire exprès un script shell. Et encore... un gestionnaire de fichiers graphique va sûrement appeler bash <lescript.sh> et ça va marcher (ou je dis des bêtises ?). Et avec les interpréteurs Perl, Python, Java, ... c'est pareil : est-il possible d'interdire d'"exécuter" un de ces fichiers qui serait sur /home par exemple ? De contrôler ce que les interpréteurs sont autorisés à exécuter ?
Je ne pense pas, à partir du moment où l'interpréteur est exécutable, et le script lisible par l'utilisateur, il pourra être exécuté.. Aucun verrou possible ne me vient à l'esprit.
De toutes manières, le seul risque qu'il pourra avoir, c'est perdre/abîmer ses propres données à lui, donc ce n'est pas franchement critique, je trouve.
le "noexec" n'aura vraiment d'effet que pour les binaires proprement dits, et encore, à condition de bien mettre en noexec *toutes* les partitions accessibles en écriture par l'utilisateur (par exemple.. /tmp)
Pour éviter à des utilisateurs d'exécuter des programmes
"non-autorisés" (disons n'importe quelle cochonnerie trouvée sur
Internet ou trimballé sur une clé usb), y a-t-il une solution simple ?
En clair, y a-t-il une solution pour empêcher quelqu'un de se planter un
couteau dans la main ? Non :)
Pour ce qui est des scripts, il est toujours possible de monter /home
et les clés usb (ou autres partitions "de données") avec noexec. Ça
évite de lancer (presque) sans faire exprès un script shell. Et
encore... un gestionnaire de fichiers graphique va sûrement appeler
bash <lescript.sh> et ça va marcher (ou je dis des bêtises ?). Et
avec les interpréteurs Perl, Python, Java, ... c'est pareil : est-il
possible d'interdire d'"exécuter" un de ces fichiers qui serait
sur /home par exemple ? De contrôler ce que les interpréteurs sont
autorisés à exécuter ?
Je ne pense pas, à partir du moment où l'interpréteur est exécutable, et
le script lisible par l'utilisateur, il pourra être exécuté.. Aucun
verrou possible ne me vient à l'esprit.
De toutes manières, le seul risque qu'il pourra avoir, c'est
perdre/abîmer ses propres données à lui, donc ce n'est pas franchement
critique, je trouve.
le "noexec" n'aura vraiment d'effet que pour les binaires proprement
dits, et encore, à condition de bien mettre en noexec *toutes* les
partitions accessibles en écriture par l'utilisateur (par exemple.. /tmp)
Pour éviter à des utilisateurs d'exécuter des programmes "non-autorisés" (disons n'importe quelle cochonnerie trouvée sur Internet ou trimballé sur une clé usb), y a-t-il une solution simple ?
En clair, y a-t-il une solution pour empêcher quelqu'un de se planter un couteau dans la main ? Non :)
Pour ce qui est des scripts, il est toujours possible de monter /home et les clés usb (ou autres partitions "de données") avec noexec. Ça évite de lancer (presque) sans faire exprès un script shell. Et encore... un gestionnaire de fichiers graphique va sûrement appeler bash <lescript.sh> et ça va marcher (ou je dis des bêtises ?). Et avec les interpréteurs Perl, Python, Java, ... c'est pareil : est-il possible d'interdire d'"exécuter" un de ces fichiers qui serait sur /home par exemple ? De contrôler ce que les interpréteurs sont autorisés à exécuter ?
Je ne pense pas, à partir du moment où l'interpréteur est exécutable, et le script lisible par l'utilisateur, il pourra être exécuté.. Aucun verrou possible ne me vient à l'esprit.
De toutes manières, le seul risque qu'il pourra avoir, c'est perdre/abîmer ses propres données à lui, donc ce n'est pas franchement critique, je trouve.
le "noexec" n'aura vraiment d'effet que pour les binaires proprement dits, et encore, à condition de bien mettre en noexec *toutes* les partitions accessibles en écriture par l'utilisateur (par exemple.. /tmp)
Une petite question de sécurité. Merci pour les avis
Une des solutions, dont j'ignore si elle existe toujours, que j'employais pour les examens sur machine était le shell restreint.
Mais c'est contraignant. Et j'ignore si cela peut être mis en oeuvre dans une interface graphique.
En fait, je ne comprends pas clairement ce que vous souhaitez exactement autoriser ou interdire.
Cordialement.
-- Dominique MICOLLET Adresse email : enlever deux francs
Jean-Baptiste Faure
Le 11.03.2010 19:59, Yliur a écrit :
Bonjour
Une petite question de sécurité.
Pour éviter à des utilisateurs d'exécuter des programmes "non-autorisés" (disons n'importe quelle cochonnerie trouvée sur Internet ou trimballé sur une clé usb), y a-t-il une solution simple ?
Oui : les informer et les former. Les solutions techniques pour la sécurité sur le poste de travail ne fonctionnent que si les utilisateurs sont conscients des enjeux et s'approprient cette question.
JBF -- Seuls des formats ouverts peuvent assurer la pérennité de vos documents
Le 11.03.2010 19:59, Yliur a écrit :
Bonjour
Une petite question de sécurité.
Pour éviter à des utilisateurs d'exécuter des programmes
"non-autorisés" (disons n'importe quelle cochonnerie trouvée sur
Internet ou trimballé sur une clé usb), y a-t-il une solution simple ?
Oui : les informer et les former.
Les solutions techniques pour la sécurité sur le poste de travail ne
fonctionnent que si les utilisateurs sont conscients des enjeux et
s'approprient cette question.
JBF
--
Seuls des formats ouverts peuvent assurer la pérennité de vos documents
Pour éviter à des utilisateurs d'exécuter des programmes "non-autorisés" (disons n'importe quelle cochonnerie trouvée sur Internet ou trimballé sur une clé usb), y a-t-il une solution simple ?
Oui : les informer et les former. Les solutions techniques pour la sécurité sur le poste de travail ne fonctionnent que si les utilisateurs sont conscients des enjeux et s'approprient cette question.
JBF -- Seuls des formats ouverts peuvent assurer la pérennité de vos documents
moi-meme
Le Fri, 12 Mar 2010 10:34:29 +0100, Jean-Baptiste Faure a écrit :
Oui : les informer et les former. Les solutions techniques pour la sécurité sur le poste de travail ne fonctionnent que si les utilisateurs sont conscients des enjeux et s'approprient cette question.
je plussoie : la sécurité est une contrainte dont les bienfaits doivent être compris des utilisateurs.
Le Fri, 12 Mar 2010 10:34:29 +0100, Jean-Baptiste Faure a écrit :
Oui : les informer et les former.
Les solutions techniques pour la sécurité sur le poste de travail ne
fonctionnent que si les utilisateurs sont conscients des enjeux et
s'approprient cette question.
je plussoie : la sécurité est une contrainte dont les bienfaits doivent
être compris des utilisateurs.
Le Fri, 12 Mar 2010 10:34:29 +0100, Jean-Baptiste Faure a écrit :
Oui : les informer et les former. Les solutions techniques pour la sécurité sur le poste de travail ne fonctionnent que si les utilisateurs sont conscients des enjeux et s'approprient cette question.
je plussoie : la sécurité est une contrainte dont les bienfaits doivent être compris des utilisateurs.
Hugues
Ce cher Jean-Baptiste Faure a dit :
Le 11.03.2010 19:59, Yliur a écrit :
Bonjour
Une petite question de sécurité.
Pour éviter à des utilisateurs d'exécuter des programmes "non-autorisés" (disons n'importe quelle cochonnerie trouvée sur Internet ou trimballé sur une clé usb), y a-t-il une solution simple ?
Oui : les informer et les former. Les solutions techniques pour la sécurité sur le poste de travail ne fonctionnent que si les utilisateurs sont conscients des enjeux et s'approprient cette question.
J'ai rarement lu une réponse avec autant de bon sens sur ce type de sujet..
Chapeau !
-- Hugues Hiegel [http://www.hiegel.fr/~hugues/]
Ce cher Jean-Baptiste Faure <jean-baptiste.faure@cemagref.fr> a dit :
Le 11.03.2010 19:59, Yliur a écrit :
Bonjour
Une petite question de sécurité.
Pour éviter à des utilisateurs d'exécuter des programmes
"non-autorisés" (disons n'importe quelle cochonnerie trouvée sur
Internet ou trimballé sur une clé usb), y a-t-il une solution simple ?
Oui : les informer et les former.
Les solutions techniques pour la sécurité sur le poste de travail ne
fonctionnent que si les utilisateurs sont conscients des enjeux et
s'approprient cette question.
J'ai rarement lu une réponse avec autant de bon sens sur ce type de sujet..
Pour éviter à des utilisateurs d'exécuter des programmes "non-autorisés" (disons n'importe quelle cochonnerie trouvée sur Internet ou trimballé sur une clé usb), y a-t-il une solution simple ?
Oui : les informer et les former. Les solutions techniques pour la sécurité sur le poste de travail ne fonctionnent que si les utilisateurs sont conscients des enjeux et s'approprient cette question.
J'ai rarement lu une réponse avec autant de bon sens sur ce type de sujet..
