Bon voici mon problème;
sous mdk j'ai quatre utilisateur avec chacun un mot de passe et un
cinquième en root
j'ai une partition de sauvegarde avec des répertoires protégé pour
certain utilisateur en groupe
Bon le problème est ici, pour le fun avec le CDlive j'ouvre une console
j'écris "su" <entrée>
et
j'écris "konqueror" <entrée>
et la je peu allé ou je veux sur le disque dur et même pas de besoin de
mot de passe
La question est ici
y a t'il un moyen pour empêché n'importe qui avec un CDLive knoppix de
venir tripoté mes fichiés ou même le bon fonctionnement du système.
Dans le message <news:crivog$4fq$, *JRD* tapota sur f.c.o.l.configuration :
Par expérience, accés physique à la machine = accés administrateur, super-administrateur, root, etc, à la machine. Même le BIOS ne peux rien y faire (démontage du capot et reset physique du BIOS).
On peut même, sur certaines cartes mères, supprimer le mot de passe du BIOS depuis un utilitaire DOS.
On doit aussi pouvoir sous Linux, puisqu'il est dans une flash... A partir de là, tout est permis !
On Thu, 06 Jan 2005 14:31:06 +0100, TiChou wrote:
Dans le message <news:crivog$4fq$1@home.psynfo.org>,
*JRD* tapota sur f.c.o.l.configuration :
Par expérience, accés physique à la machine = accés administrateur,
super-administrateur, root, etc, à la machine.
Même le BIOS ne peux rien y faire (démontage du capot et reset
physique du BIOS).
On peut même, sur certaines cartes mères, supprimer le mot de passe du BIOS
depuis un utilitaire DOS.
On doit aussi pouvoir sous Linux, puisqu'il est dans une flash...
A partir de là, tout est permis !
Dans le message <news:crivog$4fq$, *JRD* tapota sur f.c.o.l.configuration :
Par expérience, accés physique à la machine = accés administrateur, super-administrateur, root, etc, à la machine. Même le BIOS ne peux rien y faire (démontage du capot et reset physique du BIOS).
On peut même, sur certaines cartes mères, supprimer le mot de passe du BIOS depuis un utilitaire DOS.
On doit aussi pouvoir sous Linux, puisqu'il est dans une flash... A partir de là, tout est permis !
Nicolas George
l'indien wrote in message :
On doit aussi pouvoir sous Linux, puisqu'il est dans une flash... A partir de là, tout est permis !
Rien n'est certain. Personnellement, si je devais concevoir une carte-mère, je mettrais un circuit de verrouillage des informations cruciales (BIOS, mot de passe), conçu de telle sorte qu'une fois activé, il ne puisse être désactivé que par une coupure de l'alimentation. Dans la séquence de boot, j'activerais ce verrou avant de passer la main à l'OS sauf si c'est explicitement demandé par l'opérateur, par saisie au clavier. Ainsi, aucun risque qu'un virus ne flashe le BIOS, par exemple.
Évidemment, il est peu probable que des cartes mères ainsi conçues existent. Mais c'est théoriquement et techniquement possible.
l'indien wrote in message <pan.2005.01.06.23.50.29.158574@magic.fr>:
On doit aussi pouvoir sous Linux, puisqu'il est dans une flash...
A partir de là, tout est permis !
Rien n'est certain. Personnellement, si je devais concevoir une carte-mère,
je mettrais un circuit de verrouillage des informations cruciales (BIOS, mot
de passe), conçu de telle sorte qu'une fois activé, il ne puisse être
désactivé que par une coupure de l'alimentation. Dans la séquence de boot,
j'activerais ce verrou avant de passer la main à l'OS sauf si c'est
explicitement demandé par l'opérateur, par saisie au clavier. Ainsi, aucun
risque qu'un virus ne flashe le BIOS, par exemple.
Évidemment, il est peu probable que des cartes mères ainsi conçues existent.
Mais c'est théoriquement et techniquement possible.
On doit aussi pouvoir sous Linux, puisqu'il est dans une flash... A partir de là, tout est permis !
Rien n'est certain. Personnellement, si je devais concevoir une carte-mère, je mettrais un circuit de verrouillage des informations cruciales (BIOS, mot de passe), conçu de telle sorte qu'une fois activé, il ne puisse être désactivé que par une coupure de l'alimentation. Dans la séquence de boot, j'activerais ce verrou avant de passer la main à l'OS sauf si c'est explicitement demandé par l'opérateur, par saisie au clavier. Ainsi, aucun risque qu'un virus ne flashe le BIOS, par exemple.
Évidemment, il est peu probable que des cartes mères ainsi conçues existent. Mais c'est théoriquement et techniquement possible.
Philippe Delsol
l'indien wrote in message :
On doit aussi pouvoir sous Linux, puisqu'il est dans une flash... A partir de là, tout est permis !
Rien n'est certain. Personnellement, si je devais concevoir une carte-mère, je mettrais un circuit de verrouillage des informations cruciales (BIOS, mot de passe), conçu de telle sorte qu'une fois activé, il ne puisse être désactivé que par une coupure de l'alimentation. Dans la séquence de boot, j'activerais ce verrou avant de passer la main à l'OS sauf si c'est explicitement demandé par l'opérateur, par saisie au clavier. Ainsi, aucun risque qu'un virus ne flashe le BIOS, par exemple.
Moi je laisserai la porte ouverte avec un postit sur l'écran indiquant le mdp de root et du bios. Rien de tel pour que le pirate se dise "quel con y croit peut être que je vais le croire" ! ;-)
Entre nous, y'en a qui parano à mort ... La sécurité ça paie et ça se paie c'est un peu comme l'AQ dont on sait qu'elle n'est là que pour amuser la galerie.
Évidemment, il est peu probable que des cartes mères ainsi conçues existent. Mais c'est théoriquement et techniquement possible.
-- Philippe
l'indien wrote in message <pan.2005.01.06.23.50.29.158574@magic.fr>:
On doit aussi pouvoir sous Linux, puisqu'il est dans une flash...
A partir de là, tout est permis !
Rien n'est certain. Personnellement, si je devais concevoir une carte-mère,
je mettrais un circuit de verrouillage des informations cruciales (BIOS, mot
de passe), conçu de telle sorte qu'une fois activé, il ne puisse être
désactivé que par une coupure de l'alimentation. Dans la séquence de boot,
j'activerais ce verrou avant de passer la main à l'OS sauf si c'est
explicitement demandé par l'opérateur, par saisie au clavier. Ainsi, aucun
risque qu'un virus ne flashe le BIOS, par exemple.
Moi je laisserai la porte ouverte avec un postit sur l'écran indiquant
le mdp de root et du bios.
Rien de tel pour que le pirate se dise "quel con y croit peut être que
je vais le croire" !
;-)
Entre nous, y'en a qui parano à mort ...
La sécurité ça paie et ça se paie c'est un peu comme l'AQ dont on sait
qu'elle n'est là que pour amuser la galerie.
Évidemment, il est peu probable que des cartes mères ainsi conçues existent.
Mais c'est théoriquement et techniquement possible.
On doit aussi pouvoir sous Linux, puisqu'il est dans une flash... A partir de là, tout est permis !
Rien n'est certain. Personnellement, si je devais concevoir une carte-mère, je mettrais un circuit de verrouillage des informations cruciales (BIOS, mot de passe), conçu de telle sorte qu'une fois activé, il ne puisse être désactivé que par une coupure de l'alimentation. Dans la séquence de boot, j'activerais ce verrou avant de passer la main à l'OS sauf si c'est explicitement demandé par l'opérateur, par saisie au clavier. Ainsi, aucun risque qu'un virus ne flashe le BIOS, par exemple.
Moi je laisserai la porte ouverte avec un postit sur l'écran indiquant le mdp de root et du bios. Rien de tel pour que le pirate se dise "quel con y croit peut être que je vais le croire" ! ;-)
Entre nous, y'en a qui parano à mort ... La sécurité ça paie et ça se paie c'est un peu comme l'AQ dont on sait qu'elle n'est là que pour amuser la galerie.
Évidemment, il est peu probable que des cartes mères ainsi conçues existent. Mais c'est théoriquement et techniquement possible.
-- Philippe
l'indien
On Thu, 06 Jan 2005 23:57:58 +0000, Nicolas George wrote:
l'indien wrote in message :
On doit aussi pouvoir sous Linux, puisqu'il est dans une flash... A partir de là, tout est permis !
Rien n'est certain. Personnellement, si je devais concevoir une carte-mère, je mettrais un circuit de verrouillage des informations cruciales (BIOS, mot de passe), conçu de telle sorte qu'une fois activé, il ne puisse être désactivé que par une coupure de l'alimentation. Dans la séquence de boot, j'activerais ce verrou avant de passer la main à l'OS sauf si c'est explicitement demandé par l'opérateur, par saisie au clavier. Ainsi, aucun risque qu'un virus ne flashe le BIOS, par exemple.
C'est vrai, mais si tu veux faire un PC, tu te dois de respecter les spécifications PC... Et je ne crois pas qu'elles permettent celà. Sinon, il y a beaucoup plus simple et entièrement soft (donc beaucoup moins couteux): il suffit de crypter la flash avec le mot de passe du BIOS. Ainsi, si le mot de passe est faux, le contenu de la flash n'est pas valide (et il suffit d'un CRC dans la zone cryptée pour s'en rendre compte) et le BIOS refuse l'accès au PC puisqu'il n'a pas les bons paramêtres pour le booter. Malheureusement, encore une fois, la spec PC ne permet pas celà...
Évidemment, il est peu probable que des cartes mères ainsi conçues existent. Mais c'est théoriquement et techniquement possible.
Oui, bien sur. En général, pour faire des boot sécurisé, on emploie une autre méthode, beaucoup plus fiable: la machine boote sur un microcontroleur qui embarque une flash non visible de l'extérieur. Ainsi, il peut vérifier l'intégrité de la machine et n'initialise le CPU principal (il pilote la ligne de RESET pour celà...) que si il est sur que tout va bien. Pour outrepasser une protection de ce genre, il faut aller intervenir directement sur le silicium, ce qui est difficile. Cette solution est très fiable et ne coute pratiquement rien: un microcontroleur de ce genre coute quelques dizaines de centimes d'euros... Le cout principal, c'est le soft de boot... De plus, ça marche sur n'importe quelle architecture (PC ou autre) et permet de sécuriser sans contrainte vis à vis des normes imposées. L'idéal est que ce CPU sécurisé soit embarqué sur le silicium du CPU principal, mais c'est plus cher...
On Thu, 06 Jan 2005 23:57:58 +0000, Nicolas George wrote:
l'indien wrote in message <pan.2005.01.06.23.50.29.158574@magic.fr>:
On doit aussi pouvoir sous Linux, puisqu'il est dans une flash...
A partir de là, tout est permis !
Rien n'est certain. Personnellement, si je devais concevoir une carte-mère,
je mettrais un circuit de verrouillage des informations cruciales (BIOS, mot
de passe), conçu de telle sorte qu'une fois activé, il ne puisse être
désactivé que par une coupure de l'alimentation. Dans la séquence de boot,
j'activerais ce verrou avant de passer la main à l'OS sauf si c'est
explicitement demandé par l'opérateur, par saisie au clavier. Ainsi, aucun
risque qu'un virus ne flashe le BIOS, par exemple.
C'est vrai, mais si tu veux faire un PC, tu te dois de respecter les
spécifications PC... Et je ne crois pas qu'elles permettent celà.
Sinon, il y a beaucoup plus simple et entièrement soft (donc beaucoup
moins couteux): il suffit de crypter la flash avec le mot de passe du BIOS.
Ainsi, si le mot de passe est faux, le contenu de la flash n'est pas
valide (et il suffit d'un CRC dans la zone cryptée pour s'en rendre
compte) et le BIOS refuse l'accès au PC puisqu'il n'a pas les bons
paramêtres pour le booter. Malheureusement, encore une fois, la spec PC
ne permet pas celà...
Évidemment, il est peu probable que des cartes mères ainsi conçues existent.
Mais c'est théoriquement et techniquement possible.
Oui, bien sur.
En général, pour faire des boot sécurisé, on emploie une autre
méthode, beaucoup plus fiable: la machine boote sur un microcontroleur
qui embarque une flash non visible de l'extérieur. Ainsi, il peut
vérifier l'intégrité de la machine et n'initialise le CPU principal
(il pilote la ligne de RESET pour celà...) que si il est sur que tout va
bien. Pour outrepasser une protection de ce genre, il faut aller
intervenir directement sur le silicium, ce qui est difficile. Cette
solution est très fiable et ne coute pratiquement rien: un
microcontroleur de ce genre coute quelques dizaines de centimes d'euros...
Le cout principal, c'est le soft de boot...
De plus, ça marche sur n'importe quelle architecture (PC ou autre) et
permet de sécuriser sans contrainte vis à vis des normes imposées.
L'idéal est que ce CPU sécurisé soit embarqué sur le silicium du CPU
principal, mais c'est plus cher...
On Thu, 06 Jan 2005 23:57:58 +0000, Nicolas George wrote:
l'indien wrote in message :
On doit aussi pouvoir sous Linux, puisqu'il est dans une flash... A partir de là, tout est permis !
Rien n'est certain. Personnellement, si je devais concevoir une carte-mère, je mettrais un circuit de verrouillage des informations cruciales (BIOS, mot de passe), conçu de telle sorte qu'une fois activé, il ne puisse être désactivé que par une coupure de l'alimentation. Dans la séquence de boot, j'activerais ce verrou avant de passer la main à l'OS sauf si c'est explicitement demandé par l'opérateur, par saisie au clavier. Ainsi, aucun risque qu'un virus ne flashe le BIOS, par exemple.
C'est vrai, mais si tu veux faire un PC, tu te dois de respecter les spécifications PC... Et je ne crois pas qu'elles permettent celà. Sinon, il y a beaucoup plus simple et entièrement soft (donc beaucoup moins couteux): il suffit de crypter la flash avec le mot de passe du BIOS. Ainsi, si le mot de passe est faux, le contenu de la flash n'est pas valide (et il suffit d'un CRC dans la zone cryptée pour s'en rendre compte) et le BIOS refuse l'accès au PC puisqu'il n'a pas les bons paramêtres pour le booter. Malheureusement, encore une fois, la spec PC ne permet pas celà...
Évidemment, il est peu probable que des cartes mères ainsi conçues existent. Mais c'est théoriquement et techniquement possible.
Oui, bien sur. En général, pour faire des boot sécurisé, on emploie une autre méthode, beaucoup plus fiable: la machine boote sur un microcontroleur qui embarque une flash non visible de l'extérieur. Ainsi, il peut vérifier l'intégrité de la machine et n'initialise le CPU principal (il pilote la ligne de RESET pour celà...) que si il est sur que tout va bien. Pour outrepasser une protection de ce genre, il faut aller intervenir directement sur le silicium, ce qui est difficile. Cette solution est très fiable et ne coute pratiquement rien: un microcontroleur de ce genre coute quelques dizaines de centimes d'euros... Le cout principal, c'est le soft de boot... De plus, ça marche sur n'importe quelle architecture (PC ou autre) et permet de sécuriser sans contrainte vis à vis des normes imposées. L'idéal est que ce CPU sécurisé soit embarqué sur le silicium du CPU principal, mais c'est plus cher...
