Sujet=A0: Re: Prot=E9ger la modification du mot de passe root
Date=A0: dimanche 26 avril 2009
De=A0: deny <deny@monaco.net>
=C0=A0: yasalos@yahoo.fr
Le 04/26/2009 02:30 PM, en cette journ=E9e de printemps *YOUNOUSS Abba=20
Soungui* a =E9crit avec ses petits doigts tout muscl=E9s :
> Suite au thread lanc=E9 par jipe (hier) qui avait perdu son mot de passe =
root,=20
> on a vu qu'il existait plusieurs solution pour modifier celui-ci sans=20
> forc=E9ment =EAtre administrateur de la machine et =E7a, c'est un gros tr=
ou b=E9ant=20
> qui pourrait ouvrir la porte =E0 toute sorte de pratiques par des personn=
es=20
mal=20
> intentionn=E9es. J'ai donc pens=E9 qu'il serait utile de cr=E9er un topic=
pour=20
> montrer des solution permettant d'emp=EAcher la modification du mot de pa=
sse=20
> root aussi facilement.
> En ce qui me concerne, je conais 2 m=E9thodes :
>=20
> 1 - Pour emp=EAcher la modification des options de d=E9marage qui permett=
ent de=20
se=20
> connecter sans saisir le mot de passe, il faut cr=E9er un mot de passe po=
ur=20
> GRUB, ainsi, chaque fois qu'on voudra modifier une entr=E9e du GRUB, un m=
ot de=20
> passe sera demand=E9. Il sera donc impossible =E0 quelqu'un qui ne connai=
t pas=20
le=20
> mot de passe d'ajouter les option single ou init=3D/bin/bash au noyau.
> Vous trouverez plus de d=E9tails sur les mot de passe dans la documentati=
on de=20
> GRUB.
>=20
mettre un mot de passe bios, pour eviter de booter sur la machine depuis=20
un cd live
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Sujet : Re: Protéger la modification du mot de passe root Date : dimanche 26 avril 2009 De : deny À :
<SNIP>
pourquoi ne pas utiliser une partition cryptée avec un passhrase différent du root.
même avec un init=/bin/bash impossible de booter sans le passphrase...:)
Et tu fais comment sur un serveur hébergé à 500 km de chez toi ?? Bon d'accord, un serveur n'est pas censé rebooter tous les jours, mais quand même: les mises à jour noyau existent (et les pannes électriques aussi) ;-)
JB
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
franck a écrit :
YOUNOUSS Abba Soungui wrote:
---------- Message transmis ----------
Sujet : Re: Protéger la modification du mot de passe root
Date : dimanche 26 avril 2009
De : deny <deny@monaco.net>
À : yasalos@yahoo.fr
<SNIP>
pourquoi ne pas utiliser une partition cryptée avec un passhrase
différent du root.
même avec un init=/bin/bash impossible de booter sans le passphrase...:)
Et tu fais comment sur un serveur hébergé à 500 km de chez toi ??
Bon d'accord, un serveur n'est pas censé rebooter tous les jours, mais
quand même: les mises à jour noyau existent (et les pannes électriques
aussi) ;-)
JB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Sujet : Re: Protéger la modification du mot de passe root Date : dimanche 26 avril 2009 De : deny À :
<SNIP>
pourquoi ne pas utiliser une partition cryptée avec un passhrase différent du root.
même avec un init=/bin/bash impossible de booter sans le passphrase...:)
Et tu fais comment sur un serveur hébergé à 500 km de chez toi ?? Bon d'accord, un serveur n'est pas censé rebooter tous les jours, mais quand même: les mises à jour noyau existent (et les pannes électriques aussi) ;-)
JB
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
mouss
Debian User French a écrit :
franck a écrit :
<SNIP>
pourquoi ne pas utiliser une partition cryptée avec un passhrase différent du root.
même avec un init=/bin/bash impossible de booter sans le passphrase...:)
Et tu fais comment sur un serveur hébergé à 500 km de chez toi ??
Bein, faut déménager. y aura bien des centre d'hébergement avec suites, bistrot, flipper/baby/..., ... et des fûts de bière rackables ;-p
Bon d'accord, un serveur n'est pas censé rebooter tous les jours, mais quand même: les mises à jour noyau existent (et les pannes électriques aussi) ;-)
"Mieux vaut être à plusieurs sur une bonne affaire que tout seul sur une mauvaise" (Tristan Bernard).
Plus "sérieusement", comme dans tous les domaines, la pertinence d'une protection doit être évaluée en fonction de la valeur de ce qu'on protège, du coût de la protection, et du résultat de la dite protection.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Debian User French a écrit :
franck a écrit :
<SNIP>
pourquoi ne pas utiliser une partition cryptée avec un passhrase
différent du root.
même avec un init=/bin/bash impossible de booter sans le passphrase...:)
Et tu fais comment sur un serveur hébergé à 500 km de chez toi ??
Bein, faut déménager. y aura bien des centre d'hébergement avec suites,
bistrot, flipper/baby/..., ... et des fûts de bière rackables ;-p
Bon d'accord, un serveur n'est pas censé rebooter tous les jours, mais
quand même: les mises à jour noyau existent (et les pannes électriques
aussi) ;-)
"Mieux vaut être à plusieurs sur une bonne affaire que tout seul sur une
mauvaise" (Tristan Bernard).
Plus "sérieusement", comme dans tous les domaines, la pertinence d'une
protection doit être évaluée en fonction de la valeur de ce qu'on
protège, du coût de la protection, et du résultat de la dite protection.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
pourquoi ne pas utiliser une partition cryptée avec un passhrase différent du root.
même avec un init=/bin/bash impossible de booter sans le passphrase...:)
Et tu fais comment sur un serveur hébergé à 500 km de chez toi ??
Bein, faut déménager. y aura bien des centre d'hébergement avec suites, bistrot, flipper/baby/..., ... et des fûts de bière rackables ;-p
Bon d'accord, un serveur n'est pas censé rebooter tous les jours, mais quand même: les mises à jour noyau existent (et les pannes électriques aussi) ;-)
"Mieux vaut être à plusieurs sur une bonne affaire que tout seul sur une mauvaise" (Tristan Bernard).
Plus "sérieusement", comme dans tous les domaines, la pertinence d'une protection doit être évaluée en fonction de la valeur de ce qu'on protège, du coût de la protection, et du résultat de la dite protection.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
François Cerbelle
> Justement le problème, c'est qu'il est possible de modifier le mot de passe root sans le connaitre (et il existe plusieurs méthodes pour ça). Le but de cette discussion est justement de trouver des parades pour empêcher ça. HS:Euh... pour le type qui connaît le mot de passe root, on est obligé de le fusiller ou on peut aussi le poignarder?
Hum... Citer tout l'historique (8 Ko) est il nécessaire ? Mon écran ne fait que 600 pixels de haut et l'ascenseur devient bien long pour une si petite réponse... ;-)
Fanfan
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
> Justement le problème, c'est qu'il est possible de modifier le mot de passe
root sans le connaitre (et il existe plusieurs méthodes pour ça). Le but de
cette discussion est justement de trouver des parades pour empêcher ça.
HS:Euh... pour le type qui connaît le mot de passe root, on est obligé de le
fusiller ou on peut aussi le poignarder?
Hum... Citer tout l'historique (8 Ko) est il nécessaire ? Mon écran ne
fait que 600 pixels de haut et l'ascenseur devient bien long pour une si
petite réponse... ;-)
Fanfan
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
> Justement le problème, c'est qu'il est possible de modifier le mot de passe root sans le connaitre (et il existe plusieurs méthodes pour ça). Le but de cette discussion est justement de trouver des parades pour empêcher ça. HS:Euh... pour le type qui connaît le mot de passe root, on est obligé de le fusiller ou on peut aussi le poignarder?
Hum... Citer tout l'historique (8 Ko) est il nécessaire ? Mon écran ne fait que 600 pixels de haut et l'ascenseur devient bien long pour une si petite réponse... ;-)
Fanfan
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Jean Baptiste
mouss a écrit :
Debian User French a écrit :
franck a écrit :
<SNIP>
pourquoi ne pas utiliser une partition cryptée avec un passhrase différent du root.
même avec un init=/bin/bash impossible de booter sans le passphrase...:)
Et tu fais comment sur un serveur hébergé à 500 km de chez toi ??
Bein, faut déménager. y aura bien des centre d'hébergement avec suites, bistrot, flipper/baby/..., ... et des fûts de bière rackables ;-p
Ça c'est une idée :-) Pis planquer la bière dans les gaines de ventil', comme ça elle est toujours fraiche :-p
Bon d'accord, un serveur n'est pas censé rebooter tous les jours, mais quand même: les mises à jour noyau existent (et les pannes électriques aussi) ;-)
"Mieux vaut être à plusieurs sur une bonne affaire que tout seul sur une mauvaise" (Tristan Bernard). Plus "sérieusement", comme dans tous les domaines, la pertinence d'une protection doit être évaluée en fonction de la valeur de ce qu'on protège, du coût de la protection, et du résultat de la dite protection.
Je suis bien d'accord, mais ce "détail" a été un peu omis tout au long du fil de discussion.
JB
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
mouss a écrit :
Debian User French a écrit :
franck a écrit :
<SNIP>
pourquoi ne pas utiliser une partition cryptée avec un passhrase
différent du root.
même avec un init=/bin/bash impossible de booter sans le passphrase...:)
Et tu fais comment sur un serveur hébergé à 500 km de chez toi ??
Bein, faut déménager. y aura bien des centre d'hébergement avec suites,
bistrot, flipper/baby/..., ... et des fûts de bière rackables ;-p
Ça c'est une idée :-)
Pis planquer la bière dans les gaines de ventil', comme ça elle est
toujours fraiche :-p
Bon d'accord, un serveur n'est pas censé rebooter tous les jours, mais
quand même: les mises à jour noyau existent (et les pannes électriques
aussi) ;-)
"Mieux vaut être à plusieurs sur une bonne affaire que tout seul sur une
mauvaise" (Tristan Bernard).
Plus "sérieusement", comme dans tous les domaines, la pertinence d'une
protection doit être évaluée en fonction de la valeur de ce qu'on
protège, du coût de la protection, et du résultat de la dite protection.
Je suis bien d'accord, mais ce "détail" a été un peu omis tout au long
du fil de discussion.
JB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
pourquoi ne pas utiliser une partition cryptée avec un passhrase différent du root.
même avec un init=/bin/bash impossible de booter sans le passphrase...:)
Et tu fais comment sur un serveur hébergé à 500 km de chez toi ??
Bein, faut déménager. y aura bien des centre d'hébergement avec suites, bistrot, flipper/baby/..., ... et des fûts de bière rackables ;-p
Ça c'est une idée :-) Pis planquer la bière dans les gaines de ventil', comme ça elle est toujours fraiche :-p
Bon d'accord, un serveur n'est pas censé rebooter tous les jours, mais quand même: les mises à jour noyau existent (et les pannes électriques aussi) ;-)
"Mieux vaut être à plusieurs sur une bonne affaire que tout seul sur une mauvaise" (Tristan Bernard). Plus "sérieusement", comme dans tous les domaines, la pertinence d'une protection doit être évaluée en fonction de la valeur de ce qu'on protège, du coût de la protection, et du résultat de la dite protection.
Je suis bien d'accord, mais ce "détail" a été un peu omis tout au long du fil de discussion.
JB
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Vera Mickael
>> pourquoi ne pas utiliser une partition cryptée avec un passhrase différent du root.
même avec un init=/bin/bash impossible de booter sans le passphrase...:)
Et tu fais comment sur un serveur hébergé à 500 km de chez toi ?? Bon d'accord, un serveur n'est pas censé rebooter tous les jours, mais quand même: les mises à jour noyau existent (et les pannes électriques aussi) ;-)
Les machines DELL proposent la carte DRAC (Dell Remote Access Card):
- redémarrage d'une machine sans passer par le système d'exploitation, utile si ce dernier est complètement bloqué
- redirection de la sortie vidéo, il est ainsi possible d'accéder à distance au bios par exemple où aux premières lignes du boot de l'OS, utile si la machine ne boote pas
Nous avons des serveurs équipés de cette carte mais je n'ai jamais pratiqué, je suppose que cela permet par exemple d'accéder au menu grub et permet de saisir les mots de passes pour les partitions cryptées.
Autre supposition, ce système doit être sécurisé.
Mickaël
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
>> pourquoi ne pas utiliser une partition cryptée avec un passhrase
différent du root.
même avec un init=/bin/bash impossible de booter sans le passphrase...:)
Et tu fais comment sur un serveur hébergé à 500 km de chez toi ??
Bon d'accord, un serveur n'est pas censé rebooter tous les jours, mais
quand même: les mises à jour noyau existent (et les pannes électriques
aussi) ;-)
Les machines DELL proposent la carte DRAC (Dell Remote
Access Card):
- redémarrage d'une machine sans passer par le système
d'exploitation, utile si ce dernier est complètement bloqué
- redirection de la sortie vidéo, il est ainsi possible
d'accéder à distance au bios par exemple où aux premières
lignes du boot de l'OS, utile si la machine ne boote pas
Nous avons des serveurs équipés de cette carte mais je n'ai
jamais pratiqué, je suppose que cela permet par exemple
d'accéder au menu grub et permet de saisir les mots de
passes pour les partitions cryptées.
Autre supposition, ce système doit être sécurisé.
Mickaël
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
>> pourquoi ne pas utiliser une partition cryptée avec un passhrase différent du root.
même avec un init=/bin/bash impossible de booter sans le passphrase...:)
Et tu fais comment sur un serveur hébergé à 500 km de chez toi ?? Bon d'accord, un serveur n'est pas censé rebooter tous les jours, mais quand même: les mises à jour noyau existent (et les pannes électriques aussi) ;-)
Les machines DELL proposent la carte DRAC (Dell Remote Access Card):
- redémarrage d'une machine sans passer par le système d'exploitation, utile si ce dernier est complètement bloqué
- redirection de la sortie vidéo, il est ainsi possible d'accéder à distance au bios par exemple où aux premières lignes du boot de l'OS, utile si la machine ne boote pas
Nous avons des serveurs équipés de cette carte mais je n'ai jamais pratiqué, je suppose que cela permet par exemple d'accéder au menu grub et permet de saisir les mots de passes pour les partitions cryptées.
Autre supposition, ce système doit être sécurisé.
Mickaël
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
