Protéger la modification du mot de passe root

Le
YOUNOUSS Abba Soungui
--nextPart1350091.HWSccS9XYK
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Suite au thread lancé par jipe (hier) qui avait perdu son mot de passe ro=
ot,
on a vu qu'il existait plusieurs solution pour modifier celui-ci sans
forcément être administrateur de la machine et ça, c'est un gros trou=
béant
qui pourrait ouvrir la porte à toute sorte de pratiques par des personnes=
mal
intentionnées. J'ai donc pensé qu'il serait utile de créer un topic p=
our
montrer des solution permettant d'empêcher la modification du mot de pass=
e
root aussi facilement.
En ce qui me concerne, je conais 2 méthodes :

1 - Pour empêcher la modification des options de démarage qui permetten=
t de se
connecter sans saisir le mot de passe, il faut créer un mot de passe pour=

GRUB, ainsi, chaque fois qu'on voudra modifier une entrée du GRUB, un mot=
de
passe sera demandé. Il sera donc impossible à quelqu'un qui ne connait =
pas le
mot de passe d'ajouter les option single ou init=/bin/bash au noyau.
Vous trouverez plus de détails sur les mot de passe dans la documentation=
de
GRUB.

2 - Pour empêcher à n'importe qui possédant un live cd de monter sa
partition / pour la "chrooter", il faut crypter celle-ci. La seule méthod=
e de
cryptage que je connais et que j'utilise, c'est LUKS mais peut-être qu'il=
en
existe d'autre.
ATTENTION : GRUB (VERSION < 2) NE PEUT POUR LE MOMENT PAS BOOTER SUR DES
PARTITIONS CRYPTÉES. DONC, SI VOUS VOULEZ CRYPTER VOTRE PARTION /, IL FAU=
DRA
CRÉER UNE PARTITION /boot A PART. CETTE PARTITION DEVRA ÊTRE FORMATÉE=
EN EXT2
OU EXT3 OU TOUT AUTRE TYPE DE PARTITION ACCÉSSIBLE PAR GRUB.

Je ne sais pas s'il existe d'autres méthode perméttant d'empêcher la=

modification du mot de passe root (par n'importe qui). Si oui, j'aimerai bi=
en
que ceux qui la connaissent nous la fasse partager.

--nextPart1350091.HWSccS9XYK
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part.

--BEGIN PGP SIGNATURE--
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEABECAAYFAkn0VAMACgkQyVjEFylGLtSZfgCeIR11ruP5knZOHFcrvKGqqsH9
9VUAoLd9VvTCexDk/ACKAyARmrHlDKLN
86
--END PGP SIGNATURE--

--nextPart1350091.HWSccS9XYK--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Basile STARYNKEVITCH
Le #19197331
YOUNOUSS Abba Soungui wrote:
Suite au thread lancé par jipe (hier) qui avait perdu son mot de passe root,
on a vu qu'il existait plusieurs solution pour modifier celui-ci sans
forcément être administrateur de la machine et ça, c'est un gros trou béant
qui pourrait ouvrir la porte à toute sorte de pratiques par des personnes mal
intentionnées.




Bof.

Il n'y a pas vraiment de trou de sécurité.

Une machine à laquelle on a physiquement accès est *toujours* "pénétrable".

L'accès physique (à la machine, à son bouton reset, à sa carte mère, à
son CDROM de redémarrage,à son clavier principal...) offre par
définition la possibilité de réinstaller ou accéder aux données (à moins
d'un système de fichier crypté).

Si on tient à la sécurité, la première des sécurités est d'interdire
l'accès physique (par des moyens *extra*-informatiques: porte blindée,
chiens de garde, ...) et ensuite seulement on se préoccupe de protection.

Et concernant les personnes mal intentionnées, n'oublions pas tout
simplement les textes de loi. L'accès non autorisé à un système
d'information est punissable en soi.

A contrario, en tant que consommateur et acheteur d'équipement
informatique, il m'est important, quand j'achète un PC, d'avoir
l'assurance de pouvoir le contrôler le mieux possible (et donc les BIOS
tatoués, les DRMs, me paraissent très négatifs).

Donc l'administrateur système qui veut empécher l'accès à un ordinateur
par des personnes malintentionnées doit d'abord restreindre l'accès
physique...
Se cantonner à des mesures logicielles (BIOS, GRUB, Linux, ...) est
illusoire.

Cordialement

--
Basile STARYNKEVITCH http://starynkevitch.net/Basile/
email: basile<at>starynkevitch<dot>net mobile: +33 6 8501 2359
8, rue de la Faiencerie, 92340 Bourg La Reine, France
*** opinions {are only mines, sont seulement les miennes} ***

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
François Cerbelle
Le #19199341
YOUNOUSS Abba Soungui a écrit :
[...]
Je ne sais pas s'il existe d'autres méthode perméttant d'empêcher la
modification du mot de passe root (par n'importe qui). Si oui, j'aimerai bien
que ceux qui la connaissent nous la fasse partager.



Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de
ne pas avoir de mot de passe pour root, comme proposé dans
l'installation "expert". Seuls les utilisateurs déclarés dans sudoers
peuvent lancer des commandes (choisies) en tant que root (pourquoi pas
un shell avec 'sudo -i').

Charlie pourra toujours le modifier, tu pourras toujours te connecter...

Le chat et la souris

Fanfan

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
François Cerbelle
Le #19199321
YOUNOUSS Abba Soungui a écrit :
[...]
Je ne sais pas s'il existe d'autres méthode perméttant d'empêcher la
modification du mot de passe root (par n'importe qui). Si oui, j'aimerai bien
que ceux qui la connaissent nous la fasse partager.



Je pense que si tu veux obtenir ce résultat il faut que tu aies un
cryptage mais cela implique ta présence physique devant la console en
cas de (re)démarrage.

Sinon, si la partition n'est pas chiffrée, tu ne pourra jamais vraiment
empecher Charlie d'accéder au contenu de ton disque à partir du moment
où il a un accès physique à la machine (UC). Je suppose un accès
physique à l'UC car tu parles de te protéger contre les live CD (USB)
qui nécessitent un tel accès.

Si ton UC est dans une salle blanche protégée physiquement contre les
accès et que la console est déportée (KVM ou autre), tu as peut etre une
chance si Charlie ne peut accéder qu'à la console.


Fanfan

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
François Boisson
Le #19199421
Le Sun, 26 Apr 2009 22:15:59 +0200
François Cerbelle
Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de
ne pas avoir de mot de passe pour root, comme proposé dans
l'installation "expert". Seuls les utilisateurs déclarés dans sudoers
peuvent lancer des commandes (choisies) en tant que root (pourquoi pas
un shell avec 'sudo -i').

Charlie pourra toujours le modifier, tu pourras toujours te connecter...



Pas vraiment, les méthodes permettant de modifier le mot de passe root
permettent aussi de mettre un mot de passe root (et de modifier celui d'un
utilisateur). Un accès physique à une machine permet de tout faire.

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
.:: Alfred Sawaya ::.
Le #19202171
La protection physique de la machine n'est pas a omettre. Il est
important de protéger sa machine contre les accès physiques non
autorisés et le vol. C'est même plus important que crypter la partition
root. Et ca évite le problème du liveCD.

François Boisson a écrit :
Le Sun, 26 Apr 2009 22:15:59 +0200
François Cerbelle

Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de
ne pas avoir de mot de passe pour root, comme proposé dans
l'installation "expert". Seuls les utilisateurs déclarés dans sudoers
peuvent lancer des commandes (choisies) en tant que root (pourquoi pas
un shell avec 'sudo -i').

Charlie pourra toujours le modifier, tu pourras toujours te connecter...




Pas vraiment, les méthodes permettant de modifier le mot de passe root
permettent aussi de mettre un mot de passe root (et de modifier celui d'un
utilisateur). Un accès physique à une machine permet de tout faire.

François Boisson





--


--
|
.:: Alfred Sawaya ::.
|
--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
.:: Alfred Sawaya ::.
Le #19202281
De plus, pour protéger le mot de passe root, si c'est vraiment crucial
pour vous, utilisez une authentification forte (rfid, bluetooth, clé
usb, empreinte digitale, etc...).

Perso, j'utilise mon téléphone portable, via bluetooth. Je dois au
préalable connecter mon téléphone à mon ordinateur pour m'authentifier.
Cette méthode n'est pas sans risque évidemment (suffit de changer
quelques fichiers dans pam et hop, ou de spoofer l'adresse mac de mon
téléphone, qui est écrite dans /etc/security/bluescan.conf).


[mode aventurier on]
Après il est possible de déloger ces fichiers de configuration sur une
clé usb, et de mettre un script pour les utiliser au plug de la clé
(j'en avais fait un comme ca, on attend le plug d'une clé usb avec un
numéro de série précis, quand elle est insérée, on la monte, et on fait
un lien symbolique de /etc/security/bluescan.conf par exemple, vers
celui qui est sur la clé. Quand on enleve la clé, hop, plus de soucis.)
[mode aventurier off]

Par contre pour un serveur, la protection de l'accès physique est
vraiment cruciale, indispensable, obligatoire et tout ce que vous
voulez, donc le problème de la partition crypter se pose moins. On se
soucis surtout des accès distants.

François Boisson a écrit :
Le Sun, 26 Apr 2009 22:15:59 +0200
François Cerbelle

Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de
ne pas avoir de mot de passe pour root, comme proposé dans
l'installation "expert". Seuls les utilisateurs déclarés dans sudoers
peuvent lancer des commandes (choisies) en tant que root (pourquoi pas
un shell avec 'sudo -i').

Charlie pourra toujours le modifier, tu pourras toujours te connecter...




Pas vraiment, les méthodes permettant de modifier le mot de passe root
permettent aussi de mettre un mot de passe root (et de modifier celui d'un
utilisateur). Un accès physique à une machine permet de tout faire.

François Boisson





--


--
|
.:: Alfred Sawaya ::.
|
--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
fconangl
Le #19217891
YOUNOUSS Abba Soungui a écrit :
Suite au thread lancé par jipe (hier) qui avait perdu son mot de passe root,
on a vu qu'il existait plusieurs solution pour modifier celui-ci sans
forcément être administrateur de la machine et ça, c'est un gros trou béant
qui pourrait ouvrir la porte à toute sorte de pratiques par des personnes mal
intentionnées. J'ai donc pensé qu'il serait utile de créer un topic pour
montrer des solution permettant d'empêcher la modification du mot de passe
root aussi facilement.
En ce qui me concerne, je conais 2 méthodes :

1 - Pour empêcher la modification des options de démarage qui permettent de se
connecter sans saisir le mot de passe, il faut créer un mot de passe pour
GRUB, ainsi, chaque fois qu'on voudra modifier une entrée du GRUB, un mot de
passe sera demandé. Il sera donc impossible à quelqu'un qui ne connait pas le
mot de passe d'ajouter les option single ou init=/bin/bash au noyau.
Vous trouverez plus de détails sur les mot de passe dans la documentation de
GRUB.

2 - Pour empêcher à n'importe qui possédant un live cd de monter sa
partition / pour la "chrooter", il faut crypter celle-ci. La seule méthode de
cryptage que je connais et que j'utilise, c'est LUKS mais peut-être qu'il en
existe d'autre.
ATTENTION : GRUB (VERSION < 2) NE PEUT POUR LE MOMENT PAS BOOTER SUR DES
PARTITIONS CRYPTÉES. DONC, SI VOUS VOULEZ CRYPTER VOTRE PARTION /, IL FAUDRA
CRÉER UNE PARTITION /boot A PART. CETTE PARTITION DEVRA ÊTRE FORMATÉE EN EXT2
OU EXT3 OU TOUT AUTRE TYPE DE PARTITION ACCÉSSIBLE PAR GRUB.

Je ne sais pas s'il existe d'autres méthode perméttant d'empêcher la
modification du mot de passe root (par n'importe qui). Si oui, j'aimerai bien
que ceux qui la connaissent nous la fasse partager.


Bonjour,
Empêcher le boot sur un media externe et protéger le bios par mot de passe?
Cordialement.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme