J'ai découvert avec plaisir sur MacOS X l'application "terminal" qui me
donne accès à un shell, mais comment faire pour devenir root ?? la
commande su me demande le password de root et ce n'est pas le meme que le
mien :-( Je suis pourtant administrateur de la machine nom de ... !!
Quand on voit certains linuxiens qui, parce qu'il ne maitrise pas les droits d'accès unix, se loggue 'root' avec utilisation de X-Window, de navigateur, etc... C'est plus pratique !
Bah... on peut aussi se connecter root sur certains serveurs avec système de fenêtrage. On n'est pas obligé de se contenter du vt100 sur le port série.
Certains trucs genre gestionnaire de paquetage à la kde sont plus pratiques à mettre en oeuvre en étant root quand on fait un tas de modifs.
Mais c'est une heresie. Je ne connais pas ce gestionnaire graphique, mais il devrait fonctionner en mode utilisateur normal et ne demander le mot de passe de sudoer que pour mettre a jour les paquets.
-- Saïd.
FiLH wrote:
Quand on voit certains linuxiens qui, parce qu'il ne maitrise pas les droits
d'accès unix, se loggue 'root' avec utilisation de X-Window, de navigateur,
etc... C'est plus pratique !
Bah... on peut aussi se connecter root sur certains serveurs avec
système de fenêtrage. On n'est pas obligé de se contenter du vt100 sur
le port série.
Certains trucs genre gestionnaire de paquetage à la kde sont plus
pratiques à mettre en oeuvre en étant root quand on fait un tas de
modifs.
Mais c'est une heresie. Je ne connais pas ce gestionnaire graphique,
mais il devrait fonctionner en mode utilisateur normal et ne demander le
mot de passe de sudoer que pour mettre a jour les paquets.
Quand on voit certains linuxiens qui, parce qu'il ne maitrise pas les droits d'accès unix, se loggue 'root' avec utilisation de X-Window, de navigateur, etc... C'est plus pratique !
Bah... on peut aussi se connecter root sur certains serveurs avec système de fenêtrage. On n'est pas obligé de se contenter du vt100 sur le port série.
Certains trucs genre gestionnaire de paquetage à la kde sont plus pratiques à mettre en oeuvre en étant root quand on fait un tas de modifs.
Mais c'est une heresie. Je ne connais pas ce gestionnaire graphique, mais il devrait fonctionner en mode utilisateur normal et ne demander le mot de passe de sudoer que pour mettre a jour les paquets.
-- Saïd.
FiLH
Saïd writes:
FiLH wrote:
Quand on voit certains linuxiens qui, parce qu'il ne maitrise pas les droits d'accès unix, se loggue 'root' avec utilisation de X-Window, de navigateur, etc... C'est plus pratique ! Bah... on peut aussi se connecter root sur certains serveurs avec
système de fenêtrage. On n'est pas obligé de se contenter du vt100 sur le port série. Certains trucs genre gestionnaire de paquetage à la kde sont plus pratiques à mettre en oeuvre en étant root quand on fait un tas de modifs.
Mais c'est une heresie. Je ne connais pas ce gestionnaire graphique
Au moins. man xauth
Et puis les comptes non root ne sont pas forcément créés à cette étape. Surtout si ils ne sont pas locaux à la machine et qu'on est justement en train d'ajouter les paquetages pour se faire :)
FiLH
-- FiLH photography. A taste of freedom in a conventional world. Web: http://www.filh.org e-mail FAQ fr.rec.photo : http://frp.parisv.com/ Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
Saïd <saidNo@spaMquatramaran.ens.france> writes:
FiLH wrote:
Quand on voit certains linuxiens qui, parce qu'il ne maitrise pas les droits
d'accès unix, se loggue 'root' avec utilisation de X-Window, de navigateur,
etc... C'est plus pratique !
Bah... on peut aussi se connecter root sur certains serveurs avec
système de fenêtrage. On n'est pas obligé de se contenter du vt100 sur
le port série. Certains trucs genre gestionnaire de paquetage à la
kde sont plus
pratiques à mettre en oeuvre en étant root quand on fait un tas de
modifs.
Mais c'est une heresie. Je ne connais pas ce gestionnaire
graphique
Au moins.
man xauth
Et puis les comptes non root ne sont pas forcément créés à cette
étape. Surtout si ils ne sont pas locaux à la machine et qu'on est
justement en train d'ajouter les paquetages pour se faire :)
FiLH
--
FiLH photography. A taste of freedom in a conventional world.
Web: http://www.filh.org e-mail filh@filh.org
FAQ fr.rec.photo : http://frp.parisv.com/
Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
Quand on voit certains linuxiens qui, parce qu'il ne maitrise pas les droits d'accès unix, se loggue 'root' avec utilisation de X-Window, de navigateur, etc... C'est plus pratique ! Bah... on peut aussi se connecter root sur certains serveurs avec
système de fenêtrage. On n'est pas obligé de se contenter du vt100 sur le port série. Certains trucs genre gestionnaire de paquetage à la kde sont plus pratiques à mettre en oeuvre en étant root quand on fait un tas de modifs.
Mais c'est une heresie. Je ne connais pas ce gestionnaire graphique
Au moins. man xauth
Et puis les comptes non root ne sont pas forcément créés à cette étape. Surtout si ils ne sont pas locaux à la machine et qu'on est justement en train d'ajouter les paquetages pour se faire :)
FiLH
-- FiLH photography. A taste of freedom in a conventional world. Web: http://www.filh.org e-mail FAQ fr.rec.photo : http://frp.parisv.com/ Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
Mais c'est une heresie. Je ne connais pas ce gestionnaire graphique
Au moins. man xauth
??????????????????????
Et puis les comptes non root ne sont pas forcément créés à cette étape. Surtout si ils ne sont pas locaux à la machine et qu'on est justement en train d'ajouter les paquetages pour se faire :)
Ah parce qu'il y a des linux qui s'installent en mode graphique. Tres bien. Mais ca n'empeche pas l'outil de pouvoir encuite etre lance en mode utilisateur simple.
Mais c'est une heresie. Je ne connais pas ce gestionnaire
graphique
Au moins.
man xauth
??????????????????????
Et puis les comptes non root ne sont pas forcément créés à cette
étape. Surtout si ils ne sont pas locaux à la machine et qu'on est
justement en train d'ajouter les paquetages pour se faire :)
Ah parce qu'il y a des linux qui s'installent en mode graphique. Tres
bien. Mais ca n'empeche pas l'outil de pouvoir encuite etre lance en
mode utilisateur simple.
Mais c'est une heresie. Je ne connais pas ce gestionnaire graphique
Au moins. man xauth
??????????????????????
Et puis les comptes non root ne sont pas forcément créés à cette étape. Surtout si ils ne sont pas locaux à la machine et qu'on est justement en train d'ajouter les paquetages pour se faire :)
Ah parce qu'il y a des linux qui s'installent en mode graphique. Tres bien. Mais ca n'empeche pas l'outil de pouvoir encuite etre lance en mode utilisateur simple.
Mais c'est une heresie. Je ne connais pas ce gestionnaire graphique Au moins. man xauth
??????????????????????
Le fichier Xauthority se gère avec une commande qui s'appelle xauth Faire une copie de .Xauthoritity est pas mal bourin (Ça écrase notamment les valeurs courantes). xauth list et xauth merge c'est mieux.
Et puis les comptes non root ne sont pas forcément créés à cette étape. Surtout si ils ne sont pas locaux à la machine et qu'on est justement en train d'ajouter les paquetages pour se faire :)
Ah parce qu'il y a des linux qui s'installent en mode graphique.
Disons qu'il existe des gui pour les genstionnaires de paquetage.
Tres bien. Mais ca n'empeche pas l'outil de pouvoir encuite etre lance en mode utilisateur simple.
Ensuite tu fais juste un apt-get update :)
FiLH
-- FiLH photography. A taste of freedom in a conventional world. Web: http://www.filh.org e-mail FAQ fr.rec.photo : http://frp.parisv.com/ Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
Mais c'est une heresie. Je ne connais pas ce gestionnaire
graphique
Au moins. man xauth
??????????????????????
Le fichier Xauthority se gère avec une commande qui s'appelle xauth
Faire une copie de .Xauthoritity est pas mal bourin (Ça écrase
notamment les valeurs courantes).
xauth list et xauth merge c'est mieux.
Et puis les comptes non root ne sont pas forcément créés à cette
étape. Surtout si ils ne sont pas locaux à la machine et qu'on est
justement en train d'ajouter les paquetages pour se faire :)
Ah parce qu'il y a des linux qui s'installent en mode graphique.
Disons qu'il existe des gui pour les genstionnaires de paquetage.
Tres bien. Mais ca n'empeche pas l'outil de pouvoir encuite etre lance
en mode utilisateur simple.
Ensuite tu fais juste un apt-get update :)
FiLH
--
FiLH photography. A taste of freedom in a conventional world.
Web: http://www.filh.org e-mail filh@filh.org
FAQ fr.rec.photo : http://frp.parisv.com/
Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
Mais c'est une heresie. Je ne connais pas ce gestionnaire graphique Au moins. man xauth
??????????????????????
Le fichier Xauthority se gère avec une commande qui s'appelle xauth Faire une copie de .Xauthoritity est pas mal bourin (Ça écrase notamment les valeurs courantes). xauth list et xauth merge c'est mieux.
Et puis les comptes non root ne sont pas forcément créés à cette étape. Surtout si ils ne sont pas locaux à la machine et qu'on est justement en train d'ajouter les paquetages pour se faire :)
Ah parce qu'il y a des linux qui s'installent en mode graphique.
Disons qu'il existe des gui pour les genstionnaires de paquetage.
Tres bien. Mais ca n'empeche pas l'outil de pouvoir encuite etre lance en mode utilisateur simple.
Ensuite tu fais juste un apt-get update :)
FiLH
-- FiLH photography. A taste of freedom in a conventional world. Web: http://www.filh.org e-mail FAQ fr.rec.photo : http://frp.parisv.com/ Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
Mais c'est une heresie. Je ne connais pas ce gestionnaire graphique
Au moins. man xauth
??????????????????????
Le fichier Xauthority se gère avec une commande qui s'appelle xauth Faire une copie de .Xauthoritity est pas mal bourin (Ça écrase notamment les valeurs courantes). xauth list et xauth merge c'est mieux.
Etant donne que root n'est pas cense lancer une cession X11 et qu'on est soi-meme le root de sa machine perso...
Mais c'est une heresie. Je ne connais pas ce gestionnaire
graphique
Au moins. man xauth
??????????????????????
Le fichier Xauthority se gère avec une commande qui s'appelle xauth
Faire une copie de .Xauthoritity est pas mal bourin (Ça écrase
notamment les valeurs courantes).
xauth list et xauth merge c'est mieux.
Etant donne que root n'est pas cense lancer une cession X11 et qu'on est
soi-meme le root de sa machine perso...
Mais c'est une heresie. Je ne connais pas ce gestionnaire graphique
Au moins. man xauth
??????????????????????
Le fichier Xauthority se gère avec une commande qui s'appelle xauth Faire une copie de .Xauthoritity est pas mal bourin (Ça écrase notamment les valeurs courantes). xauth list et xauth merge c'est mieux.
Etant donne que root n'est pas cense lancer une cession X11 et qu'on est soi-meme le root de sa machine perso...
-- Saïd.
FiLH
Saïd writes:
FiLH wrote:
Saïd writes:
?????????????????????? Le fichier Xauthority se gère avec une commande qui s'appelle xauth
Faire une copie de .Xauthoritity est pas mal bourin (Ça écrase notamment les valeurs courantes). xauth list et xauth merge c'est mieux.
Etant donne que root n'est pas cense lancer une cession X11
Allons bon ! Je viens d'expliquer qu'il existe des cas où il n'y a pas d'autres comptes sur la machine.
Sans compter le cas de certains serveurs où je ne vois pas trop la différence entre une session sous X11 et sur un vt100 (sinon que c'est plus pratique pour certains outils d'administration conçus pour X).
et qu'on est soi-meme le root de sa machine perso...
Les machines ne sont pas forcément des machines perso. Heureusement encore que mes utilisateurs ne sont pas root sur les machinces clientes !
FiLH
-- FiLH photography. A taste of freedom in a conventional world. Web: http://www.filh.org e-mail FAQ fr.rec.photo : http://frp.parisv.com/ Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
Saïd <saidNo@spaMquatramaran.ens.france> writes:
FiLH wrote:
Saïd <saidNo@spaMquatramaran.ens.france> writes:
??????????????????????
Le fichier Xauthority se gère avec une commande qui s'appelle xauth
Faire une copie de .Xauthoritity est pas mal bourin (Ça écrase
notamment les valeurs courantes).
xauth list et xauth merge c'est mieux.
Etant donne que root n'est pas cense lancer une cession X11
Allons bon ! Je viens d'expliquer qu'il existe des cas où il n'y a pas
d'autres comptes sur la machine.
Sans compter le cas de certains serveurs où je ne vois pas trop la
différence entre une session sous X11 et sur un vt100 (sinon que c'est
plus pratique pour certains outils d'administration conçus pour X).
et qu'on
est soi-meme le root de sa machine perso...
Les machines ne sont pas forcément des machines perso. Heureusement
encore que mes utilisateurs ne sont pas root sur les machinces
clientes !
FiLH
--
FiLH photography. A taste of freedom in a conventional world.
Web: http://www.filh.org e-mail filh@filh.org
FAQ fr.rec.photo : http://frp.parisv.com/
Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
?????????????????????? Le fichier Xauthority se gère avec une commande qui s'appelle xauth
Faire une copie de .Xauthoritity est pas mal bourin (Ça écrase notamment les valeurs courantes). xauth list et xauth merge c'est mieux.
Etant donne que root n'est pas cense lancer une cession X11
Allons bon ! Je viens d'expliquer qu'il existe des cas où il n'y a pas d'autres comptes sur la machine.
Sans compter le cas de certains serveurs où je ne vois pas trop la différence entre une session sous X11 et sur un vt100 (sinon que c'est plus pratique pour certains outils d'administration conçus pour X).
et qu'on est soi-meme le root de sa machine perso...
Les machines ne sont pas forcément des machines perso. Heureusement encore que mes utilisateurs ne sont pas root sur les machinces clientes !
FiLH
-- FiLH photography. A taste of freedom in a conventional world. Web: http://www.filh.org e-mail FAQ fr.rec.photo : http://frp.parisv.com/ Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
Paul Gaborit
À (at) 21 Oct 2004 14:13:48 +0200, FiLH écrivait (wrote):
Non. Ce n'est pas un outil de sécurité, c'est un outil pour étendre un peu les possibilité d'action de certains utilisateurs.
Expliquez-nous comment vous faites la même chose *de* *manière* *sécurisée* sans utiliser 'sudo'.
PS: en tous cas, bravo pour le troll, il devient vraiment poilu ;-)
-- Paul Gaborit - <http://www.enstimac.fr/~gaborit/>
À (at) 21 Oct 2004 14:13:48 +0200,
FiLH <filh@filh.org> écrivait (wrote):
Non. Ce n'est pas un outil de sécurité, c'est un outil pour étendre un
peu les possibilité d'action de certains utilisateurs.
Expliquez-nous comment vous faites la même chose *de* *manière* *sécurisée*
sans utiliser 'sudo'.
PS: en tous cas, bravo pour le troll, il devient vraiment poilu ;-)
--
Paul Gaborit - <http://www.enstimac.fr/~gaborit/>
À (at) 21 Oct 2004 14:13:48 +0200, FiLH écrivait (wrote):
Non. Ce n'est pas un outil de sécurité, c'est un outil pour étendre un peu les possibilité d'action de certains utilisateurs.
Expliquez-nous comment vous faites la même chose *de* *manière* *sécurisée* sans utiliser 'sudo'.
PS: en tous cas, bravo pour le troll, il devient vraiment poilu ;-)
-- Paul Gaborit - <http://www.enstimac.fr/~gaborit/>
FiLH
Paul Gaborit writes:
À (at) 21 Oct 2004 14:13:48 +0200, FiLH écrivait (wrote):
Non. Ce n'est pas un outil de sécurité, c'est un outil pour étendre un peu les possibilité d'action de certains utilisateurs.
Expliquez-nous comment vous faites la même chose *de* *manière* *sécurisée* sans utiliser 'sudo'.
On peut considérer les choses dans deux sens :
- soit on a un utilisateur normal sans droit particulier, et l'utilisation de sudo permet d'étendre ses possibilités. Auquel cas je dis que sudo n'est pas ici un outil de sécurité, mais un outil qui permet d'étendre les possibilités d'un utilisateur, sans modifier les conditions de sécurités : on n'est pas PLUS sécurisé que quand il n'effectuait pas ces tâches.
- soit on avait un utilisateur admin et on restreint ses possibilités avec sudo. Mais là c'était la situation précédente qui était foireuse.
Je vois les choses dans le premier cas.
PS: en tous cas, bravo pour le troll, il devient vraiment poilu ;-)
L'expérience de quelques sites prétendument sécurisés à l'aide d'une floppée d'outils et piratés par des oublis tous cons m'a rendu très méfiant quand à pas mal de quincaillerie, et très dubitatif quant à certains discours assez dogmatiques.
D'autre part j'attends toujours votre solution en cas d'admin indélicat qui sniffe les mots de passes des autres admins, ou qui installe un rootkit. Je ne toujours vois pas ici en quoi la multiplication des comptes admins augmente la sécurité.
FiLH
-- FiLH photography. A taste of freedom in a conventional world. Web: http://www.filh.org e-mail FAQ fr.rec.photo : http://frp.parisv.com/ Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
Paul Gaborit <Paul.Gaborit@invalid.invalid> writes:
À (at) 21 Oct 2004 14:13:48 +0200,
FiLH <filh@filh.org> écrivait (wrote):
Non. Ce n'est pas un outil de sécurité, c'est un outil pour étendre un
peu les possibilité d'action de certains utilisateurs.
Expliquez-nous comment vous faites la même chose *de* *manière* *sécurisée*
sans utiliser 'sudo'.
On peut considérer les choses dans deux sens :
- soit on a un utilisateur normal sans droit particulier, et
l'utilisation de sudo permet d'étendre ses possibilités. Auquel cas je
dis que sudo n'est pas ici un outil de sécurité, mais un outil qui
permet d'étendre les possibilités d'un utilisateur, sans modifier les
conditions de sécurités : on n'est pas PLUS sécurisé que quand il
n'effectuait pas ces tâches.
- soit on avait un utilisateur admin et on restreint ses possibilités
avec sudo. Mais là c'était la situation précédente qui était foireuse.
Je vois les choses dans le premier cas.
PS: en tous cas, bravo pour le troll, il devient vraiment poilu ;-)
L'expérience de quelques sites prétendument sécurisés à l'aide d'une
floppée d'outils et piratés par des oublis tous cons m'a rendu très
méfiant quand à pas mal de quincaillerie, et très dubitatif quant à
certains discours assez dogmatiques.
D'autre part j'attends toujours votre solution en cas d'admin
indélicat qui sniffe les mots de passes des autres admins, ou qui
installe un rootkit. Je ne toujours vois pas ici en quoi la
multiplication des comptes admins augmente la sécurité.
FiLH
--
FiLH photography. A taste of freedom in a conventional world.
Web: http://www.filh.org e-mail filh@filh.org
FAQ fr.rec.photo : http://frp.parisv.com/
Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
À (at) 21 Oct 2004 14:13:48 +0200, FiLH écrivait (wrote):
Non. Ce n'est pas un outil de sécurité, c'est un outil pour étendre un peu les possibilité d'action de certains utilisateurs.
Expliquez-nous comment vous faites la même chose *de* *manière* *sécurisée* sans utiliser 'sudo'.
On peut considérer les choses dans deux sens :
- soit on a un utilisateur normal sans droit particulier, et l'utilisation de sudo permet d'étendre ses possibilités. Auquel cas je dis que sudo n'est pas ici un outil de sécurité, mais un outil qui permet d'étendre les possibilités d'un utilisateur, sans modifier les conditions de sécurités : on n'est pas PLUS sécurisé que quand il n'effectuait pas ces tâches.
- soit on avait un utilisateur admin et on restreint ses possibilités avec sudo. Mais là c'était la situation précédente qui était foireuse.
Je vois les choses dans le premier cas.
PS: en tous cas, bravo pour le troll, il devient vraiment poilu ;-)
L'expérience de quelques sites prétendument sécurisés à l'aide d'une floppée d'outils et piratés par des oublis tous cons m'a rendu très méfiant quand à pas mal de quincaillerie, et très dubitatif quant à certains discours assez dogmatiques.
D'autre part j'attends toujours votre solution en cas d'admin indélicat qui sniffe les mots de passes des autres admins, ou qui installe un rootkit. Je ne toujours vois pas ici en quoi la multiplication des comptes admins augmente la sécurité.
FiLH
-- FiLH photography. A taste of freedom in a conventional world. Web: http://www.filh.org e-mail FAQ fr.rec.photo : http://frp.parisv.com/ Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
Paul Gaborit
À (at) 21 Oct 2004 18:00:22 +0200, FiLH écrivait (wrote):
- soit on a un utilisateur normal sans droit particulier, et l'utilisation de sudo permet d'étendre ses possibilités. Auquel cas je dis que sudo n'est pas ici un outil de sécurité, mais un outil qui permet d'étendre les possibilités d'un utilisateur, sans modifier les conditions de sécurités : on n'est pas PLUS sécurisé que quand il n'effectuait pas ces tâches.
De mon point de vue, dans ce cas, 'sudo' participe bien à la sécurité puisque les solutions autres passaient toutes soit par de mauvaise solutions soit l'écriture d'un programme qui, en fait, faisait la même chose que 'sudo' mais de manière moins générale et configurable.
L'expérience de quelques sites prétendument sécurisés à l'aide d'une floppée d'outils et piratés par des oublis tous cons m'a rendu très méfiant quand à pas mal de quincaillerie, et très dubitatif quant à certains discours assez dogmatiques.
Ça c'est bien vrai. Mais la multiplication de gardes-fous permet (parfois) de minimise les conséquences des petites erreurs que tout le monde faite un jour.
D'autre part j'attends toujours votre solution en cas d'admin indélicat qui sniffe les mots de passes des autres admins, ou qui installe un rootkit. Je ne toujours vois pas ici en quoi la multiplication des comptes admins augmente la sécurité.
De toutes manières, en supposant qu'il existe un 'admin' indélicat, on peut imaginer tellement de choses que la seule solution vraiment 'secure' consiste à tout réinstaller. Dans l'absolu, il faudrait même changer tout le hard auquel il a eu accès physiquement car il a peut-être installé un processeur ou un circuit ressemblant comme deux gouttes à l'original mais qui contient en fait une bombe logicielle ou une backdoor (*). Ce n'est évidemment pas faisable dans la vraie vie.
La sécurité totale n'existe pas.
(*) Cette backdoor existe déjà. Elle a été programmée à la demande de la NSA dans tous les processeurs Intel et Motorola/IBM. On a déjà eu un indice de son existence lors de la découverte du bug des divisions dans les pentium. Mais, silence, personne ne le sait sauf nous ! ;-)
-- Paul Gaborit - <http://www.enstimac.fr/~gaborit/>
À (at) 21 Oct 2004 18:00:22 +0200,
FiLH <filh@filh.org> écrivait (wrote):
- soit on a un utilisateur normal sans droit particulier, et
l'utilisation de sudo permet d'étendre ses possibilités. Auquel cas je
dis que sudo n'est pas ici un outil de sécurité, mais un outil qui
permet d'étendre les possibilités d'un utilisateur, sans modifier les
conditions de sécurités : on n'est pas PLUS sécurisé que quand il
n'effectuait pas ces tâches.
De mon point de vue, dans ce cas, 'sudo' participe bien à la sécurité puisque
les solutions autres passaient toutes soit par de mauvaise solutions soit
l'écriture d'un programme qui, en fait, faisait la même chose que 'sudo' mais
de manière moins générale et configurable.
L'expérience de quelques sites prétendument sécurisés à l'aide d'une
floppée d'outils et piratés par des oublis tous cons m'a rendu très
méfiant quand à pas mal de quincaillerie, et très dubitatif quant à
certains discours assez dogmatiques.
Ça c'est bien vrai. Mais la multiplication de gardes-fous permet (parfois) de
minimise les conséquences des petites erreurs que tout le monde faite un jour.
D'autre part j'attends toujours votre solution en cas d'admin
indélicat qui sniffe les mots de passes des autres admins, ou qui
installe un rootkit. Je ne toujours vois pas ici en quoi la
multiplication des comptes admins augmente la sécurité.
De toutes manières, en supposant qu'il existe un 'admin' indélicat, on peut
imaginer tellement de choses que la seule solution vraiment 'secure' consiste
à tout réinstaller. Dans l'absolu, il faudrait même changer tout le hard
auquel il a eu accès physiquement car il a peut-être installé un processeur ou
un circuit ressemblant comme deux gouttes à l'original mais qui contient en
fait une bombe logicielle ou une backdoor (*). Ce n'est évidemment pas
faisable dans la vraie vie.
La sécurité totale n'existe pas.
(*) Cette backdoor existe déjà. Elle a été programmée à la demande de la NSA
dans tous les processeurs Intel et Motorola/IBM. On a déjà eu un indice de
son existence lors de la découverte du bug des divisions dans les
pentium. Mais, silence, personne ne le sait sauf nous ! ;-)
--
Paul Gaborit - <http://www.enstimac.fr/~gaborit/>
À (at) 21 Oct 2004 18:00:22 +0200, FiLH écrivait (wrote):
- soit on a un utilisateur normal sans droit particulier, et l'utilisation de sudo permet d'étendre ses possibilités. Auquel cas je dis que sudo n'est pas ici un outil de sécurité, mais un outil qui permet d'étendre les possibilités d'un utilisateur, sans modifier les conditions de sécurités : on n'est pas PLUS sécurisé que quand il n'effectuait pas ces tâches.
De mon point de vue, dans ce cas, 'sudo' participe bien à la sécurité puisque les solutions autres passaient toutes soit par de mauvaise solutions soit l'écriture d'un programme qui, en fait, faisait la même chose que 'sudo' mais de manière moins générale et configurable.
L'expérience de quelques sites prétendument sécurisés à l'aide d'une floppée d'outils et piratés par des oublis tous cons m'a rendu très méfiant quand à pas mal de quincaillerie, et très dubitatif quant à certains discours assez dogmatiques.
Ça c'est bien vrai. Mais la multiplication de gardes-fous permet (parfois) de minimise les conséquences des petites erreurs que tout le monde faite un jour.
D'autre part j'attends toujours votre solution en cas d'admin indélicat qui sniffe les mots de passes des autres admins, ou qui installe un rootkit. Je ne toujours vois pas ici en quoi la multiplication des comptes admins augmente la sécurité.
De toutes manières, en supposant qu'il existe un 'admin' indélicat, on peut imaginer tellement de choses que la seule solution vraiment 'secure' consiste à tout réinstaller. Dans l'absolu, il faudrait même changer tout le hard auquel il a eu accès physiquement car il a peut-être installé un processeur ou un circuit ressemblant comme deux gouttes à l'original mais qui contient en fait une bombe logicielle ou une backdoor (*). Ce n'est évidemment pas faisable dans la vraie vie.
La sécurité totale n'existe pas.
(*) Cette backdoor existe déjà. Elle a été programmée à la demande de la NSA dans tous les processeurs Intel et Motorola/IBM. On a déjà eu un indice de son existence lors de la découverte du bug des divisions dans les pentium. Mais, silence, personne ne le sait sauf nous ! ;-)
-- Paul Gaborit - <http://www.enstimac.fr/~gaborit/>
FiLH
Paul Gaborit writes:
À (at) 21 Oct 2004 18:00:22 +0200, FiLH écrivait (wrote):
D'autre part j'attends toujours votre solution en cas d'admin indélicat qui sniffe les mots de passes des autres admins, ou qui installe un rootkit. Je ne toujours vois pas ici en quoi la multiplication des comptes admins augmente la sécurité.
De toutes manières, en supposant qu'il existe un 'admin' indélicat, on peut imaginer tellement de choses que la seule solution vraiment 'secure' consiste
C'est bien ce que je veux dire : dire que des comptes admins plutôt qu'un seul compte root permet de gagner en sécurité c'est vrai uniquement dans le cas d'admins honnêtes. En gros c'est comme un air bag qui ne sert que si on n'a pas d'accidents :)
FiLH
-- FiLH photography. A taste of freedom in a conventional world. Web: http://www.filh.org e-mail FAQ fr.rec.photo : http://frp.parisv.com/ Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
Paul Gaborit <Paul.Gaborit@invalid.invalid> writes:
À (at) 21 Oct 2004 18:00:22 +0200,
FiLH <filh@filh.org> écrivait (wrote):
D'autre part j'attends toujours votre solution en cas d'admin
indélicat qui sniffe les mots de passes des autres admins, ou qui
installe un rootkit. Je ne toujours vois pas ici en quoi la
multiplication des comptes admins augmente la sécurité.
De toutes manières, en supposant qu'il existe un 'admin' indélicat, on peut
imaginer tellement de choses que la seule solution vraiment 'secure' consiste
C'est bien ce que je veux dire : dire que des comptes admins plutôt
qu'un seul compte root permet de gagner en sécurité c'est vrai
uniquement dans le cas d'admins honnêtes. En gros c'est comme un air
bag qui ne sert que si on n'a pas d'accidents :)
FiLH
--
FiLH photography. A taste of freedom in a conventional world.
Web: http://www.filh.org e-mail filh@filh.org
FAQ fr.rec.photo : http://frp.parisv.com/
Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
À (at) 21 Oct 2004 18:00:22 +0200, FiLH écrivait (wrote):
D'autre part j'attends toujours votre solution en cas d'admin indélicat qui sniffe les mots de passes des autres admins, ou qui installe un rootkit. Je ne toujours vois pas ici en quoi la multiplication des comptes admins augmente la sécurité.
De toutes manières, en supposant qu'il existe un 'admin' indélicat, on peut imaginer tellement de choses que la seule solution vraiment 'secure' consiste
C'est bien ce que je veux dire : dire que des comptes admins plutôt qu'un seul compte root permet de gagner en sécurité c'est vrai uniquement dans le cas d'admins honnêtes. En gros c'est comme un air bag qui ne sert que si on n'a pas d'accidents :)
FiLH
-- FiLH photography. A taste of freedom in a conventional world. Web: http://www.filh.org e-mail FAQ fr.rec.photo : http://frp.parisv.com/ Sitafoto la photo a Bordeaux : http://sitafoto.free.fr/
