Suite au thread lanc=E9 par jipe (hier) qui avait perdu son mot de passe ro=
ot,=20
on a vu qu'il existait plusieurs solution pour modifier celui-ci sans=20
forc=E9ment =EAtre administrateur de la machine et =E7a, c'est un gros trou=
b=E9ant=20
qui pourrait ouvrir la porte =E0 toute sorte de pratiques par des personnes=
mal=20
intentionn=E9es. J'ai donc pens=E9 qu'il serait utile de cr=E9er un topic p=
our=20
montrer des solution permettant d'emp=EAcher la modification du mot de pass=
e=20
root aussi facilement.
En ce qui me concerne, je conais 2 m=E9thodes :
1 - Pour emp=EAcher la modification des options de d=E9marage qui permetten=
t de se=20
connecter sans saisir le mot de passe, il faut cr=E9er un mot de passe pour=
=20
GRUB, ainsi, chaque fois qu'on voudra modifier une entr=E9e du GRUB, un mot=
de=20
passe sera demand=E9. Il sera donc impossible =E0 quelqu'un qui ne connait =
pas le=20
mot de passe d'ajouter les option single ou init=3D/bin/bash au noyau.
Vous trouverez plus de d=E9tails sur les mot de passe dans la documentation=
de=20
GRUB.
2 - Pour emp=EAcher =E0 n'importe qui poss=E9dant un live cd de monter sa=20
partition / pour la "chrooter", il faut crypter celle-ci. La seule m=E9thod=
e de=20
cryptage que je connais et que j'utilise, c'est LUKS mais peut-=EAtre qu'il=
en=20
existe d'autre.
ATTENTION : GRUB (VERSION < 2) NE PEUT POUR LE MOMENT PAS BOOTER SUR DES=20
PARTITIONS CRYPT=C9ES. DONC, SI VOUS VOULEZ CRYPTER VOTRE PARTION /, IL FAU=
DRA=20
CR=C9ER UNE PARTITION /boot A PART. CETTE PARTITION DEVRA =CATRE FORMAT=C9E=
EN EXT2=20
OU EXT3 OU TOUT AUTRE TYPE DE PARTITION ACC=C9SSIBLE PAR GRUB.
Je ne sais pas s'il existe d'autres m=E9thode perm=E9ttant d'emp=EAcher la=
=20
modification du mot de passe root (par n'importe qui). Si oui, j'aimerai bi=
en=20
que ceux qui la connaissent nous la fasse partager.
--nextPart1350091.HWSccS9XYK
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Basile STARYNKEVITCH
YOUNOUSS Abba Soungui wrote:
Suite au thread lancé par jipe (hier) qui avait perdu son mot de passe root, on a vu qu'il existait plusieurs solution pour modifier celui-ci sans forcément être administrateur de la machine et ça, c'est un gros trou béant qui pourrait ouvrir la porte à toute sorte de pratiques par des personnes mal intentionnées.
Bof.
Il n'y a pas vraiment de trou de sécurité.
Une machine à laquelle on a physiquement accès est *toujours* "pénétrable".
L'accès physique (à la machine, à son bouton reset, à sa carte mère, à son CDROM de redémarrage,à son clavier principal...) offre par définition la possibilité de réinstaller ou accéder aux données (à moins d'un système de fichier crypté).
Si on tient à la sécurité, la première des sécurités est d'interdire l'accès physique (par des moyens *extra*-informatiques: porte blindée, chiens de garde, ...) et ensuite seulement on se préoccupe de protection.
Et concernant les personnes mal intentionnées, n'oublions pas tout simplement les textes de loi. L'accès non autorisé à un système d'information est punissable en soi.
A contrario, en tant que consommateur et acheteur d'équipement informatique, il m'est important, quand j'achète un PC, d'avoir l'assurance de pouvoir le contrôler le mieux possible (et donc les BIOS tatoués, les DRMs, me paraissent très négatifs).
Donc l'administrateur système qui veut empécher l'accès à un ordinateur par des personnes malintentionnées doit d'abord restreindre l'accès physique... Se cantonner à des mesures logicielles (BIOS, GRUB, Linux, ...) est illusoire.
Cordialement
-- Basile STARYNKEVITCH http://starynkevitch.net/Basile/ email: basile<at>starynkevitch<dot>net mobile: +33 6 8501 2359 8, rue de la Faiencerie, 92340 Bourg La Reine, France *** opinions {are only mines, sont seulement les miennes} ***
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
YOUNOUSS Abba Soungui wrote:
Suite au thread lancé par jipe (hier) qui avait perdu son mot de passe root,
on a vu qu'il existait plusieurs solution pour modifier celui-ci sans
forcément être administrateur de la machine et ça, c'est un gros trou béant
qui pourrait ouvrir la porte à toute sorte de pratiques par des personnes mal
intentionnées.
Bof.
Il n'y a pas vraiment de trou de sécurité.
Une machine à laquelle on a physiquement accès est *toujours* "pénétrable".
L'accès physique (à la machine, à son bouton reset, à sa carte mère, à
son CDROM de redémarrage,à son clavier principal...) offre par
définition la possibilité de réinstaller ou accéder aux données (à moins
d'un système de fichier crypté).
Si on tient à la sécurité, la première des sécurités est d'interdire
l'accès physique (par des moyens *extra*-informatiques: porte blindée,
chiens de garde, ...) et ensuite seulement on se préoccupe de protection.
Et concernant les personnes mal intentionnées, n'oublions pas tout
simplement les textes de loi. L'accès non autorisé à un système
d'information est punissable en soi.
A contrario, en tant que consommateur et acheteur d'équipement
informatique, il m'est important, quand j'achète un PC, d'avoir
l'assurance de pouvoir le contrôler le mieux possible (et donc les BIOS
tatoués, les DRMs, me paraissent très négatifs).
Donc l'administrateur système qui veut empécher l'accès à un ordinateur
par des personnes malintentionnées doit d'abord restreindre l'accès
physique...
Se cantonner à des mesures logicielles (BIOS, GRUB, Linux, ...) est
illusoire.
Cordialement
--
Basile STARYNKEVITCH http://starynkevitch.net/Basile/
email: basile<at>starynkevitch<dot>net mobile: +33 6 8501 2359
8, rue de la Faiencerie, 92340 Bourg La Reine, France
*** opinions {are only mines, sont seulement les miennes} ***
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Suite au thread lancé par jipe (hier) qui avait perdu son mot de passe root, on a vu qu'il existait plusieurs solution pour modifier celui-ci sans forcément être administrateur de la machine et ça, c'est un gros trou béant qui pourrait ouvrir la porte à toute sorte de pratiques par des personnes mal intentionnées.
Bof.
Il n'y a pas vraiment de trou de sécurité.
Une machine à laquelle on a physiquement accès est *toujours* "pénétrable".
L'accès physique (à la machine, à son bouton reset, à sa carte mère, à son CDROM de redémarrage,à son clavier principal...) offre par définition la possibilité de réinstaller ou accéder aux données (à moins d'un système de fichier crypté).
Si on tient à la sécurité, la première des sécurités est d'interdire l'accès physique (par des moyens *extra*-informatiques: porte blindée, chiens de garde, ...) et ensuite seulement on se préoccupe de protection.
Et concernant les personnes mal intentionnées, n'oublions pas tout simplement les textes de loi. L'accès non autorisé à un système d'information est punissable en soi.
A contrario, en tant que consommateur et acheteur d'équipement informatique, il m'est important, quand j'achète un PC, d'avoir l'assurance de pouvoir le contrôler le mieux possible (et donc les BIOS tatoués, les DRMs, me paraissent très négatifs).
Donc l'administrateur système qui veut empécher l'accès à un ordinateur par des personnes malintentionnées doit d'abord restreindre l'accès physique... Se cantonner à des mesures logicielles (BIOS, GRUB, Linux, ...) est illusoire.
Cordialement
-- Basile STARYNKEVITCH http://starynkevitch.net/Basile/ email: basile<at>starynkevitch<dot>net mobile: +33 6 8501 2359 8, rue de la Faiencerie, 92340 Bourg La Reine, France *** opinions {are only mines, sont seulement les miennes} ***
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
François Cerbelle
YOUNOUSS Abba Soungui a écrit : [...]
Je ne sais pas s'il existe d'autres méthode perméttant d'empêcher la modification du mot de passe root (par n'importe qui). Si oui, j'aimerai bien que ceux qui la connaissent nous la fasse partager.
Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de ne pas avoir de mot de passe pour root, comme proposé dans l'installation "expert". Seuls les utilisateurs déclarés dans sudoers peuvent lancer des commandes (choisies) en tant que root (pourquoi pas un shell avec 'sudo -i').
Charlie pourra toujours le modifier, tu pourras toujours te connecter...
Le chat et la souris
Fanfan
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
YOUNOUSS Abba Soungui a écrit :
[...]
Je ne sais pas s'il existe d'autres méthode perméttant d'empêcher la
modification du mot de passe root (par n'importe qui). Si oui, j'aimerai bien
que ceux qui la connaissent nous la fasse partager.
Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de
ne pas avoir de mot de passe pour root, comme proposé dans
l'installation "expert". Seuls les utilisateurs déclarés dans sudoers
peuvent lancer des commandes (choisies) en tant que root (pourquoi pas
un shell avec 'sudo -i').
Charlie pourra toujours le modifier, tu pourras toujours te connecter...
Le chat et la souris
Fanfan
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Je ne sais pas s'il existe d'autres méthode perméttant d'empêcher la modification du mot de passe root (par n'importe qui). Si oui, j'aimerai bien que ceux qui la connaissent nous la fasse partager.
Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de ne pas avoir de mot de passe pour root, comme proposé dans l'installation "expert". Seuls les utilisateurs déclarés dans sudoers peuvent lancer des commandes (choisies) en tant que root (pourquoi pas un shell avec 'sudo -i').
Charlie pourra toujours le modifier, tu pourras toujours te connecter...
Le chat et la souris
Fanfan
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
François Cerbelle
YOUNOUSS Abba Soungui a écrit : [...]
Je ne sais pas s'il existe d'autres méthode perméttant d'empêcher la modification du mot de passe root (par n'importe qui). Si oui, j'aimerai bien que ceux qui la connaissent nous la fasse partager.
Je pense que si tu veux obtenir ce résultat il faut que tu aies un cryptage mais cela implique ta présence physique devant la console en cas de (re)démarrage.
Sinon, si la partition n'est pas chiffrée, tu ne pourra jamais vraiment empecher Charlie d'accéder au contenu de ton disque à partir du moment où il a un accès physique à la machine (UC). Je suppose un accès physique à l'UC car tu parles de te protéger contre les live CD (USB) qui nécessitent un tel accès.
Si ton UC est dans une salle blanche protégée physiquement contre les accès et que la console est déportée (KVM ou autre), tu as peut etre une chance si Charlie ne peut accéder qu'à la console.
Fanfan
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
YOUNOUSS Abba Soungui a écrit :
[...]
Je ne sais pas s'il existe d'autres méthode perméttant d'empêcher la
modification du mot de passe root (par n'importe qui). Si oui, j'aimerai bien
que ceux qui la connaissent nous la fasse partager.
Je pense que si tu veux obtenir ce résultat il faut que tu aies un
cryptage mais cela implique ta présence physique devant la console en
cas de (re)démarrage.
Sinon, si la partition n'est pas chiffrée, tu ne pourra jamais vraiment
empecher Charlie d'accéder au contenu de ton disque à partir du moment
où il a un accès physique à la machine (UC). Je suppose un accès
physique à l'UC car tu parles de te protéger contre les live CD (USB)
qui nécessitent un tel accès.
Si ton UC est dans une salle blanche protégée physiquement contre les
accès et que la console est déportée (KVM ou autre), tu as peut etre une
chance si Charlie ne peut accéder qu'à la console.
Fanfan
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Je ne sais pas s'il existe d'autres méthode perméttant d'empêcher la modification du mot de passe root (par n'importe qui). Si oui, j'aimerai bien que ceux qui la connaissent nous la fasse partager.
Je pense que si tu veux obtenir ce résultat il faut que tu aies un cryptage mais cela implique ta présence physique devant la console en cas de (re)démarrage.
Sinon, si la partition n'est pas chiffrée, tu ne pourra jamais vraiment empecher Charlie d'accéder au contenu de ton disque à partir du moment où il a un accès physique à la machine (UC). Je suppose un accès physique à l'UC car tu parles de te protéger contre les live CD (USB) qui nécessitent un tel accès.
Si ton UC est dans une salle blanche protégée physiquement contre les accès et que la console est déportée (KVM ou autre), tu as peut etre une chance si Charlie ne peut accéder qu'à la console.
Fanfan
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
François Boisson
Le Sun, 26 Apr 2009 22:15:59 +0200 François Cerbelle a écrit:
Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de ne pas avoir de mot de passe pour root, comme proposé dans l'installation "expert". Seuls les utilisateurs déclarés dans sudoers peuvent lancer des commandes (choisies) en tant que root (pourquoi pas un shell avec 'sudo -i').
Charlie pourra toujours le modifier, tu pourras toujours te connecter...
Pas vraiment, les méthodes permettant de modifier le mot de passe root permettent aussi de mettre un mot de passe root (et de modifier celui d'un utilisateur). Un accès physique à une machine permet de tout faire.
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Le Sun, 26 Apr 2009 22:15:59 +0200
François Cerbelle <francois@cerbelle.net> a écrit:
Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de
ne pas avoir de mot de passe pour root, comme proposé dans
l'installation "expert". Seuls les utilisateurs déclarés dans sudoers
peuvent lancer des commandes (choisies) en tant que root (pourquoi pas
un shell avec 'sudo -i').
Charlie pourra toujours le modifier, tu pourras toujours te connecter...
Pas vraiment, les méthodes permettant de modifier le mot de passe root
permettent aussi de mettre un mot de passe root (et de modifier celui d'un
utilisateur). Un accès physique à une machine permet de tout faire.
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Le Sun, 26 Apr 2009 22:15:59 +0200 François Cerbelle a écrit:
Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de ne pas avoir de mot de passe pour root, comme proposé dans l'installation "expert". Seuls les utilisateurs déclarés dans sudoers peuvent lancer des commandes (choisies) en tant que root (pourquoi pas un shell avec 'sudo -i').
Charlie pourra toujours le modifier, tu pourras toujours te connecter...
Pas vraiment, les méthodes permettant de modifier le mot de passe root permettent aussi de mettre un mot de passe root (et de modifier celui d'un utilisateur). Un accès physique à une machine permet de tout faire.
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
.:: Alfred Sawaya ::.
La protection physique de la machine n'est pas a omettre. Il est important de protéger sa machine contre les accès physiques non autorisés et le vol. C'est même plus important que crypter la partition root. Et ca évite le problème du liveCD.
François Boisson a écrit :
Le Sun, 26 Apr 2009 22:15:59 +0200 François Cerbelle a écrit:
Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de ne pas avoir de mot de passe pour root, comme proposé dans l'installation "expert". Seuls les utilisateurs déclarés dans sudoers peuvent lancer des commandes (choisies) en tant que root (pourquoi pas un shell avec 'sudo -i').
Charlie pourra toujours le modifier, tu pourras toujours te connecter...
Pas vraiment, les méthodes permettant de modifier le mot de passe root permettent aussi de mettre un mot de passe root (et de modifier celui d'un utilisateur). Un accès physique à une machine permet de tout faire.
François Boisson
--
-- | .:: Alfred Sawaya ::. | --
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
La protection physique de la machine n'est pas a omettre. Il est
important de protéger sa machine contre les accès physiques non
autorisés et le vol. C'est même plus important que crypter la partition
root. Et ca évite le problème du liveCD.
François Boisson a écrit :
Le Sun, 26 Apr 2009 22:15:59 +0200
François Cerbelle <francois@cerbelle.net> a écrit:
Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de
ne pas avoir de mot de passe pour root, comme proposé dans
l'installation "expert". Seuls les utilisateurs déclarés dans sudoers
peuvent lancer des commandes (choisies) en tant que root (pourquoi pas
un shell avec 'sudo -i').
Charlie pourra toujours le modifier, tu pourras toujours te connecter...
Pas vraiment, les méthodes permettant de modifier le mot de passe root
permettent aussi de mettre un mot de passe root (et de modifier celui d'un
utilisateur). Un accès physique à une machine permet de tout faire.
François Boisson
--
--
|
.:: Alfred Sawaya ::.
|
--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
La protection physique de la machine n'est pas a omettre. Il est important de protéger sa machine contre les accès physiques non autorisés et le vol. C'est même plus important que crypter la partition root. Et ca évite le problème du liveCD.
François Boisson a écrit :
Le Sun, 26 Apr 2009 22:15:59 +0200 François Cerbelle a écrit:
Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de ne pas avoir de mot de passe pour root, comme proposé dans l'installation "expert". Seuls les utilisateurs déclarés dans sudoers peuvent lancer des commandes (choisies) en tant que root (pourquoi pas un shell avec 'sudo -i').
Charlie pourra toujours le modifier, tu pourras toujours te connecter...
Pas vraiment, les méthodes permettant de modifier le mot de passe root permettent aussi de mettre un mot de passe root (et de modifier celui d'un utilisateur). Un accès physique à une machine permet de tout faire.
François Boisson
--
-- | .:: Alfred Sawaya ::. | --
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
.:: Alfred Sawaya ::.
De plus, pour protéger le mot de passe root, si c'est vraiment crucial pour vous, utilisez une authentification forte (rfid, bluetooth, clé usb, empreinte digitale, etc...).
Perso, j'utilise mon téléphone portable, via bluetooth. Je dois au préalable connecter mon téléphone à mon ordinateur pour m'authentifier. Cette méthode n'est pas sans risque évidemment (suffit de changer quelques fichiers dans pam et hop, ou de spoofer l'adresse mac de mon téléphone, qui est écrite dans /etc/security/bluescan.conf).
[mode aventurier on] Après il est possible de déloger ces fichiers de configuration sur une clé usb, et de mettre un script pour les utiliser au plug de la clé (j'en avais fait un comme ca, on attend le plug d'une clé usb avec un numéro de série précis, quand elle est insérée, on la monte, et on fait un lien symbolique de /etc/security/bluescan.conf par exemple, vers celui qui est sur la clé. Quand on enleve la clé, hop, plus de soucis.) [mode aventurier off]
Par contre pour un serveur, la protection de l'accès physique est vraiment cruciale, indispensable, obligatoire et tout ce que vous voulez, donc le problème de la partition crypter se pose moins. On se soucis surtout des accès distants.
François Boisson a écrit :
Le Sun, 26 Apr 2009 22:15:59 +0200 François Cerbelle a écrit:
Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de ne pas avoir de mot de passe pour root, comme proposé dans l'installation "expert". Seuls les utilisateurs déclarés dans sudoers peuvent lancer des commandes (choisies) en tant que root (pourquoi pas un shell avec 'sudo -i').
Charlie pourra toujours le modifier, tu pourras toujours te connecter...
Pas vraiment, les méthodes permettant de modifier le mot de passe root permettent aussi de mettre un mot de passe root (et de modifier celui d'un utilisateur). Un accès physique à une machine permet de tout faire.
François Boisson
--
-- | .:: Alfred Sawaya ::. | --
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
De plus, pour protéger le mot de passe root, si c'est vraiment crucial
pour vous, utilisez une authentification forte (rfid, bluetooth, clé
usb, empreinte digitale, etc...).
Perso, j'utilise mon téléphone portable, via bluetooth. Je dois au
préalable connecter mon téléphone à mon ordinateur pour m'authentifier.
Cette méthode n'est pas sans risque évidemment (suffit de changer
quelques fichiers dans pam et hop, ou de spoofer l'adresse mac de mon
téléphone, qui est écrite dans /etc/security/bluescan.conf).
[mode aventurier on]
Après il est possible de déloger ces fichiers de configuration sur une
clé usb, et de mettre un script pour les utiliser au plug de la clé
(j'en avais fait un comme ca, on attend le plug d'une clé usb avec un
numéro de série précis, quand elle est insérée, on la monte, et on fait
un lien symbolique de /etc/security/bluescan.conf par exemple, vers
celui qui est sur la clé. Quand on enleve la clé, hop, plus de soucis.)
[mode aventurier off]
Par contre pour un serveur, la protection de l'accès physique est
vraiment cruciale, indispensable, obligatoire et tout ce que vous
voulez, donc le problème de la partition crypter se pose moins. On se
soucis surtout des accès distants.
François Boisson a écrit :
Le Sun, 26 Apr 2009 22:15:59 +0200
François Cerbelle <francois@cerbelle.net> a écrit:
Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de
ne pas avoir de mot de passe pour root, comme proposé dans
l'installation "expert". Seuls les utilisateurs déclarés dans sudoers
peuvent lancer des commandes (choisies) en tant que root (pourquoi pas
un shell avec 'sudo -i').
Charlie pourra toujours le modifier, tu pourras toujours te connecter...
Pas vraiment, les méthodes permettant de modifier le mot de passe root
permettent aussi de mettre un mot de passe root (et de modifier celui d'un
utilisateur). Un accès physique à une machine permet de tout faire.
François Boisson
--
--
|
.:: Alfred Sawaya ::.
|
--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
De plus, pour protéger le mot de passe root, si c'est vraiment crucial pour vous, utilisez une authentification forte (rfid, bluetooth, clé usb, empreinte digitale, etc...).
Perso, j'utilise mon téléphone portable, via bluetooth. Je dois au préalable connecter mon téléphone à mon ordinateur pour m'authentifier. Cette méthode n'est pas sans risque évidemment (suffit de changer quelques fichiers dans pam et hop, ou de spoofer l'adresse mac de mon téléphone, qui est écrite dans /etc/security/bluescan.conf).
[mode aventurier on] Après il est possible de déloger ces fichiers de configuration sur une clé usb, et de mettre un script pour les utiliser au plug de la clé (j'en avais fait un comme ca, on attend le plug d'une clé usb avec un numéro de série précis, quand elle est insérée, on la monte, et on fait un lien symbolique de /etc/security/bluescan.conf par exemple, vers celui qui est sur la clé. Quand on enleve la clé, hop, plus de soucis.) [mode aventurier off]
Par contre pour un serveur, la protection de l'accès physique est vraiment cruciale, indispensable, obligatoire et tout ce que vous voulez, donc le problème de la partition crypter se pose moins. On se soucis surtout des accès distants.
François Boisson a écrit :
Le Sun, 26 Apr 2009 22:15:59 +0200 François Cerbelle a écrit:
Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de ne pas avoir de mot de passe pour root, comme proposé dans l'installation "expert". Seuls les utilisateurs déclarés dans sudoers peuvent lancer des commandes (choisies) en tant que root (pourquoi pas un shell avec 'sudo -i').
Charlie pourra toujours le modifier, tu pourras toujours te connecter...
Pas vraiment, les méthodes permettant de modifier le mot de passe root permettent aussi de mettre un mot de passe root (et de modifier celui d'un utilisateur). Un accès physique à une machine permet de tout faire.
François Boisson
--
-- | .:: Alfred Sawaya ::. | --
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
fconangl
YOUNOUSS Abba Soungui a écrit :
Suite au thread lancé par jipe (hier) qui avait perdu son mot de passe root, on a vu qu'il existait plusieurs solution pour modifier celui-ci sans forcément être administrateur de la machine et ça, c'est un gros trou béant qui pourrait ouvrir la porte à toute sorte de pratiques par des personnes mal intentionnées. J'ai donc pensé qu'il serait utile de créer un topic pour montrer des solution permettant d'empêcher la modification du mot de passe root aussi facilement. En ce qui me concerne, je conais 2 méthodes :
1 - Pour empêcher la modification des options de démarage qui permettent de se connecter sans saisir le mot de passe, il faut créer un mot de passe pour GRUB, ainsi, chaque fois qu'on voudra modifier une entrée du GRUB, un mot de passe sera demandé. Il sera donc impossible à quelqu'un qui ne connait pas le mot de passe d'ajouter les option single ou init=/bin/bash au noyau. Vous trouverez plus de détails sur les mot de passe dans la documentation de GRUB.
2 - Pour empêcher à n'importe qui possédant un live cd de monter sa partition / pour la "chrooter", il faut crypter celle-ci. La seule méthode de cryptage que je connais et que j'utilise, c'est LUKS mais peut-être qu'il en existe d'autre. ATTENTION : GRUB (VERSION < 2) NE PEUT POUR LE MOMENT PAS BOOTER SUR DES PARTITIONS CRYPTÉES. DONC, SI VOUS VOULEZ CRYPTER VOTRE PARTION /, IL FAUDRA CRÉER UNE PARTITION /boot A PART. CETTE PARTITION DEVRA ÊTRE FORMATÉE EN EXT2 OU EXT3 OU TOUT AUTRE TYPE DE PARTITION ACCÉSSIBLE PAR GRUB.
Je ne sais pas s'il existe d'autres méthode perméttant d'empêcher la modification du mot de passe root (par n'importe qui). Si oui, j'aimerai bien que ceux qui la connaissent nous la fasse partager.
Bonjour, Empêcher le boot sur un media externe et protéger le bios par mot de passe? Cordialement.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
YOUNOUSS Abba Soungui a écrit :
Suite au thread lancé par jipe (hier) qui avait perdu son mot de passe root,
on a vu qu'il existait plusieurs solution pour modifier celui-ci sans
forcément être administrateur de la machine et ça, c'est un gros trou béant
qui pourrait ouvrir la porte à toute sorte de pratiques par des personnes mal
intentionnées. J'ai donc pensé qu'il serait utile de créer un topic pour
montrer des solution permettant d'empêcher la modification du mot de passe
root aussi facilement.
En ce qui me concerne, je conais 2 méthodes :
1 - Pour empêcher la modification des options de démarage qui permettent de se
connecter sans saisir le mot de passe, il faut créer un mot de passe pour
GRUB, ainsi, chaque fois qu'on voudra modifier une entrée du GRUB, un mot de
passe sera demandé. Il sera donc impossible à quelqu'un qui ne connait pas le
mot de passe d'ajouter les option single ou init=/bin/bash au noyau.
Vous trouverez plus de détails sur les mot de passe dans la documentation de
GRUB.
2 - Pour empêcher à n'importe qui possédant un live cd de monter sa
partition / pour la "chrooter", il faut crypter celle-ci. La seule méthode de
cryptage que je connais et que j'utilise, c'est LUKS mais peut-être qu'il en
existe d'autre.
ATTENTION : GRUB (VERSION < 2) NE PEUT POUR LE MOMENT PAS BOOTER SUR DES
PARTITIONS CRYPTÉES. DONC, SI VOUS VOULEZ CRYPTER VOTRE PARTION /, IL FAUDRA
CRÉER UNE PARTITION /boot A PART. CETTE PARTITION DEVRA ÊTRE FORMATÉE EN EXT2
OU EXT3 OU TOUT AUTRE TYPE DE PARTITION ACCÉSSIBLE PAR GRUB.
Je ne sais pas s'il existe d'autres méthode perméttant d'empêcher la
modification du mot de passe root (par n'importe qui). Si oui, j'aimerai bien
que ceux qui la connaissent nous la fasse partager.
Bonjour,
Empêcher le boot sur un media externe et protéger le bios par mot de passe?
Cordialement.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Suite au thread lancé par jipe (hier) qui avait perdu son mot de passe root, on a vu qu'il existait plusieurs solution pour modifier celui-ci sans forcément être administrateur de la machine et ça, c'est un gros trou béant qui pourrait ouvrir la porte à toute sorte de pratiques par des personnes mal intentionnées. J'ai donc pensé qu'il serait utile de créer un topic pour montrer des solution permettant d'empêcher la modification du mot de passe root aussi facilement. En ce qui me concerne, je conais 2 méthodes :
1 - Pour empêcher la modification des options de démarage qui permettent de se connecter sans saisir le mot de passe, il faut créer un mot de passe pour GRUB, ainsi, chaque fois qu'on voudra modifier une entrée du GRUB, un mot de passe sera demandé. Il sera donc impossible à quelqu'un qui ne connait pas le mot de passe d'ajouter les option single ou init=/bin/bash au noyau. Vous trouverez plus de détails sur les mot de passe dans la documentation de GRUB.
2 - Pour empêcher à n'importe qui possédant un live cd de monter sa partition / pour la "chrooter", il faut crypter celle-ci. La seule méthode de cryptage que je connais et que j'utilise, c'est LUKS mais peut-être qu'il en existe d'autre. ATTENTION : GRUB (VERSION < 2) NE PEUT POUR LE MOMENT PAS BOOTER SUR DES PARTITIONS CRYPTÉES. DONC, SI VOUS VOULEZ CRYPTER VOTRE PARTION /, IL FAUDRA CRÉER UNE PARTITION /boot A PART. CETTE PARTITION DEVRA ÊTRE FORMATÉE EN EXT2 OU EXT3 OU TOUT AUTRE TYPE DE PARTITION ACCÉSSIBLE PAR GRUB.
Je ne sais pas s'il existe d'autres méthode perméttant d'empêcher la modification du mot de passe root (par n'importe qui). Si oui, j'aimerai bien que ceux qui la connaissent nous la fasse partager.
Bonjour, Empêcher le boot sur un media externe et protéger le bios par mot de passe? Cordialement.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS