Utilisateurs, mots de passe et sécurité

Le
Rasmus
Bonjour à tous,

On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas
bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root
pour pouvoir bricoler dans le PC etc

Mais les mots de passe, ils sont bien quelque-part sur le disque non?
Alors, comment peut on garantir la sécurité du système?

Ras'
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Luc.Habert.00__arjf
Le #20967561
Rasmus :

Mais les mots de passe, ils sont bien quelque-part sur le disque non?
Alors, comment peut on garantir la sécurité du système?



Si l'attaquant n'a pas d'accès physique à la machine, il ne peut passer que
par les droits que lui donne le système pour accéder à ce fichier. Si le
système n'est pas trop cassé, seul root a le droit de le lire.

Si on veut se protéger contre les gens ayant accès physique à la machine, ça
devient compliqué, il faut envisager du cryptage dans tous les sens, avec
l'admin qui se déplace pour entrer la clef de décryptage au boot.

Au passage : ce ne sont pas directement les mots de passe qui sont stockés,
mais un hachage dur à inverser, ce qui complique la tache de quelqu'un qui
tomberait sur ce fichier.
Vivien MOREAU
Le #20967801
On 2010-01-13, Rasmus wrote:

Bonjour à tous,

On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas
bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root
pour pouvoir bricoler dans le PC etc...



Je n'irais pas jusqu'à dire « super sûr ». Il est relativement
sûr, oui, si les utilisateurs ne font pas n'importe quoi.

Pour le reste, c'est vrai. Modulo le point ci-dessus.

Mais les mots de passe, ils sont bien quelque-part sur le disque non?
Alors, comment peut on garantir la sécurité du système?



Les mots de passe ne sont pas stocké, en général. C'est leur
hash qui l'est.

De plus, le fichier stockant ces hashs est habituellement
indisponible en lecture pour les simples utilisateurs.

--
Vivien MOREAU / vpm

« Unix is simple. It just takes a genius to understand its simplicity »
Dennis M. Ritchie
moi-meme
Le #20969251
Le Wed, 13 Jan 2010 23:43:02 +0100, Rasmus a écrit :

Bonjour à tous,

On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas
bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root
pour pouvoir bricoler dans le PC etc...

Mais les mots de passe, ils sont bien quelque-part sur le disque non?
Alors, comment peut on garantir la sécurité du système?

Ras'



<HS>
Au début il y avait des gros systèmes multiutilisateurs.

Unix a été développé dessus.
Une protection était nécessaire pour protéger un utilisateur des autres.

Linux est un Unix porté sur PC.

MS-DOS, Windows ça "vient" du PC (PERSONNAL Computeur).
Cet aspect n'a pas envisagé au départ (logique).
Ce problème est arrivé par Internet avec une possibilité d'intrusion par
l'extérieur. (Au début il n'y avait que la disquette).

/HS>


Rasmus
Le #20979001
Vivien MOREAU a écrit :
On 2010-01-13, Rasmus wrote:

Bonjour à tous,

On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas
bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root
pour pouvoir bricoler dans le PC etc...



Je n'irais pas jusqu'à dire « super sûr ». Il est relativement
sûr, oui, si les utilisateurs ne font pas n'importe quoi.

Pour le reste, c'est vrai. Modulo le point ci-dessus.

Mais les mots de passe, ils sont bien quelque-part sur le disque non?
Alors, comment peut on garantir la sécurité du système?



Les mots de passe ne sont pas stocké, en général. C'est leur
hash qui l'est.

De plus, le fichier stockant ces hashs est habituellement
indisponible en lecture pour les simples utilisateurs.



OK, je comprends que le mot de passe utilisateur est codé (hashed)
avant d'être stocké; mai qui dit code dit clé, et la clé est bien
stockée sur le disque, non?

Tu vas me répondre que le fichier qui contient les clés est caché qqpart
sur le disque, accessible uniquement en root; mais si je démarre avec un
CD live, ou si j'installe par exemple une autre distrib', je ne peux pas
avoir accès au disque?

Ras'
Benoit Izac
Le #20979541
Bonjour,

le 15/01/2010 à 14:22, Rasmus a écrit dans le message

Les mots de passe ne sont pas stocké, en général. C'est leur
hash qui l'est.

De plus, le fichier stockant ces hashs est habituellement
indisponible en lecture pour les simples utilisateurs.



OK, je comprends que le mot de passe utilisateur est codé (hashed)
avant d'être stocké; mai qui dit code dit clé, et la clé est bien
stockée sur le disque, non?



Non c'est pas un chiffrement, c'est un hash :
% print "mon_mot_de_passe" | openssl passwd -stdin
vCMRJ4M7NcJtE

On sait faire « mon_mot_de_passe -> vCMRJ4M7NcJtE » mais on ne peut pas
faire « vCMRJ4M7NcJtE -> mon_mot_de_passe ». C'est pourquoi tu n'as pas
d'autre solution si tu connais « vCMRJ4M7NcJtE » que d'essayer tous les
mots de passe possibles avec « openssl passwd » jusqu'à obtenir
« vCMRJ4M7NcJtE ».

C'est aussi pour cette raison que si un utilisateur oublie son mot de
passe, tu n'as pas d'autre choix que de lui en mettre un nouveau.

--
Benoit Izac
Vivien MOREAU
Le #20979651
On 2010-01-15, Rasmus wrote:

OK, je comprends que le mot de passe utilisateur est codé (hashed)
avant d'être stocké; mai qui dit code dit clé, et la clé est bien
stockée sur le disque, non?



Non, le souci vient de ta traduction de hashed en « codé ».
Renseignes-toi sur ce procédé, par exemple sur Wikipédia.

Tu vas me répondre que le fichier qui contient les clés est caché qqpart
sur le disque, accessible uniquement en root; mais si je démarre avec un
CD live, ou si j'installe par exemple une autre distrib', je ne peux pas
avoir accès au disque?



Si.

C'est d'ailleurs pour cette raison que l'on dit que la plupart
des sécurités ne servent à rien si l'attaquant a un accès
physique à la machine. Je ne vois que le chiffrement intégral du
disque pour y résister pendant un ( plus ou moins long ) temps.
Mais bonjour la simplicité du bouzin.

--
Vivien MOREAU / vpm

« Unix is simple. It just takes a genius to understand its simplicity »
Dennis M. Ritchie
Erwan David
Le #20980171
Rasmus
Vivien MOREAU a écrit :
On 2010-01-13, Rasmus wrote:

Bonjour à tous,

On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut
pas bidouiller les fichiers d'un autre utilisateur, qu'il faut être
Root pour pouvoir bricoler dans le PC etc...



Je n'irais pas jusqu'à dire « super sûr ». Il est relativement
sûr, oui, si les utilisateurs ne font pas n'importe quoi.

Pour le reste, c'est vrai. Modulo le point ci-dessus.

Mais les mots de passe, ils sont bien quelque-part sur le disque non?
Alors, comment peut on garantir la sécurité du système?



Les mots de passe ne sont pas stocké, en général. C'est leur
hash qui l'est.

De plus, le fichier stockant ces hashs est habituellement
indisponible en lecture pour les simples utilisateurs.



OK, je comprends que le mot de passe utilisateur est codé (hashed)
avant d'être stocké; mai qui dit code dit clé, et la clé est bien
stockée sur le disque, non?



Non un hash n'est pas un chiffrement.
Un hash est une fonction qui mélange les données, mais ne permet pas de
retrouver les données de départ.

En fait quand tu définis ton mot de passe, on tire un aléas (le sel).
on calcule f(sel,mot de passe) = hp, et on stocke sel & hp

Pour vérifier que tu entre le bon mot de passe, on czalcule
f(sel,tentative) et on vérifie s'il est égal ou non à hp.

Bien sûr f ne doit pas être n'importe quelle fonction : on ne doit pas
pouvoir retrouver mot de passe à partir de hp, et il faut que la
probabilité que f(sel,tentative)=f(sel,mot de passe) alors que tentative
!= mot de passe soit extrèmement faible.

--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Vincent Verdon
Le #20982161
Bonsoir,

Rasmus a écrit :
Bonjour à tous,

On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas
bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root
pour pouvoir bricoler dans le PC etc...

Mais les mots de passe, ils sont bien quelque-part sur le disque non?


Oui, ils sont stockés dans le fichier /etc/shadow habituellement. Les
comptes utilisateurs sont définis eux, dans le fichier /etc/passwd qui
porte ce nom car à l'origine il servait également à stocker les mots de
passe. Pour des raisons de sécurité, on a séparé les choses et interdit
l'accès au fichier /etc/shadow aux utilisateurs autres que root, même si
les mots de passes sont stockés sous forme hachée (md5 fréquemment).

Alors, comment peut on garantir la sécurité du système?


Déjà répondu par les autres intervenants : il est plutôt sûr si l'on n'a
pas d'accès physique à la machine, pas sûr si l'on peut y introduire un
CD de boot...

Amicalement, Vincent Verdon
Luc.Habert.00__arjf
Le #20982261
Rasmus :

mais si je démarre avec un CD live, ou si j'installe par exemple une autre
distrib', je ne peux pas avoir accès au disque?



Si, bien sûr. Mézalors, tu n'as même pas besoin des mots de passe des gens
pour faire tout ce que tu veux de la machine. C'est pour ça que je parlais
de cryptage généralisé, lorsque l'on veut se protéger contre les
utilisateurs locaux.
Rasmus
Le #20983921
Vivien MOREAU a écrit :
On 2010-01-15, Rasmus wrote:

OK, je comprends que le mot de passe utilisateur est codé (hashed)
avant d'être stocké; mai qui dit code dit clé, et la clé est bien
stockée sur le disque, non?



Non, le souci vient de ta traduction de hashed en « codé ».
Renseignes-toi sur ce procédé, par exemple sur Wikipédia.

Tu vas me répondre que le fichier qui contient les clés est caché qqpart
sur le disque, accessible uniquement en root; mais si je démarre avec un
CD live, ou si j'installe par exemple une autre distrib', je ne peux pas
avoir accès au disque?



Si.

C'est d'ailleurs pour cette raison que l'on dit que la plupart
des sécurités ne servent à rien si l'attaquant a un accès
physique à la machine. Je ne vois que le chiffrement intégral du
disque pour y résister pendant un ( plus ou moins long ) temps.
Mais bonjour la simplicité du bouzin.



>OK, compris merci de vos réponses
Ras'
Publicité
Poster une réponse
Anonyme