à l'installation d'une debian testing par netinst puis rajouter
progressivement les paquets dont j'ai réellement besoin,
je constate que la permission sur les programmes binaires sont trop
permissives 755.
L'idée est de rendre ses fichiers restrictives (700 m'irait très bien
sauf si vous pensez que celà créerait des problèmes divers d'accès).
Par après et en fonction des besoins j'aimerais utiliser le fichiers
sudeoers afin d'ajouter des accès bien controlés (user, machine
programmes, options d'execution ....
Est-ce que c'est possible de changer les permissions du systemes sans
causer des degats. (je prends quand meme un certain degré de risque car
j'ai mon systeme installé sur divers partitions:)
Je n'ose pas utiliser quelque chose comme :
chercher tous les fichiers binaires à partir de la racine ou juste
dans /usr/bin /usr/sbin /sbin ... ???
changer les droits
Je sais qu'une question sur les droits a été posé il y un certain temps,
mais je n'arrive pas à la trouver,
Merci à tous les linuxiens et debianistes en particuliers.
Bayrouni
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Sylvain Sauvage
Vendredi 18 novembre 2005, 10:16:07 CET, Bayrouni a écrit :
Bonjour à tous,
'jour,
[...] L'idée est de rendre ses fichiers restrictives (700 m'irait très bien sauf si vous pensez que celà créerait des problèmes divers d'accè s).
Par après et en fonction des besoins j'aimerais utiliser le fichiers sudeoers afin d'ajouter des accès bien controlés (user, machine programmes, options d'execution ....
En clair : pour des raisons de sécurité, tu veux éviter qu'un utilisateur lance quelque programme que ce soit sous son identité propre mais tu veux lui donner des droits root en lui permettant de les lancer en tant que root ? Ou alors tu as aussi pensé à modifier l'uid/gid des programmes mais tu as oublié de nous le dire ?
Est-ce que c'est possible de changer les permissions du systemes sans causer des degats.
Oui. Mais beaucoup de boulot pour une paranoïa pas forcément justifi ée. C'est juste pour t'amuser ou tu as une raison de ne pas confiance à tes utilisateurs et aux autres techniques de restriction/surveillance (ulimit, quotas, acct, etc.) ?
(je prends quand meme un certain degré de risque car j'ai mon systeme installé sur divers partitions:)
Quel est le rapport entre les partitions et les permissions ? Une fois les partitions montées (par root), c'est quasiment transparent pour l'utilisateur, surtout en ce qui concerne l'utilisation des programmes.
Je n'ose pas utiliser quelque chose comme : chercher tous les fichiers binaires à partir de la racine ou juste dans /usr/bin /usr/sbin /sbin ... ???
Et pourquoi pas les scripts (ba)sh, les fichiers perl, python, ruby...
changer les droits
Et pourquoi pas aussi le groupe/l'utilisateur...
[...]
Tu peux aussi remplacer le shell de tes utilisateurs pour qu'il vérifie les programmes utilisés et leurs arguments. Je ne sais pas si un tel shell existe mais ça serait sans doute plus intéressant à développer que de s'embêter à - modifier les droits et les uid/gid ; - écrire le fichier sudoers ; - remodifier tous les droits à chaque mise à jour des paquets.
-- Sylvain Sauvage
Vendredi 18 novembre 2005, 10:16:07 CET, Bayrouni a écrit :
Bonjour à tous,
'jour,
[...]
L'idée est de rendre ses fichiers restrictives (700 m'irait très bien
sauf si vous pensez que celà créerait des problèmes divers d'accè s).
Par après et en fonction des besoins j'aimerais utiliser le fichiers
sudeoers afin d'ajouter des accès bien controlés (user, machine
programmes, options d'execution ....
En clair : pour des raisons de sécurité, tu veux éviter qu'un
utilisateur lance quelque programme que ce soit sous son identité propre
mais tu veux lui donner des droits root en lui permettant de les lancer
en tant que root ?
Ou alors tu as aussi pensé à modifier l'uid/gid des programmes mais tu
as oublié de nous le dire ?
Est-ce que c'est possible de changer les permissions du systemes sans
causer des degats.
Oui. Mais beaucoup de boulot pour une paranoïa pas forcément justifi ée.
C'est juste pour t'amuser ou tu as une raison de ne pas confiance à tes
utilisateurs et aux autres techniques de restriction/surveillance
(ulimit, quotas, acct, etc.) ?
(je prends quand meme un certain degré de risque car
j'ai mon systeme installé sur divers partitions:)
Quel est le rapport entre les partitions et les permissions ?
Une fois les partitions montées (par root), c'est quasiment transparent
pour l'utilisateur, surtout en ce qui concerne l'utilisation des
programmes.
Je n'ose pas utiliser quelque chose comme :
chercher tous les fichiers binaires à partir de la racine ou juste
dans /usr/bin /usr/sbin /sbin ... ???
Et pourquoi pas les scripts (ba)sh, les fichiers perl, python, ruby...
changer les droits
Et pourquoi pas aussi le groupe/l'utilisateur...
[...]
Tu peux aussi remplacer le shell de tes utilisateurs pour qu'il vérifie
les programmes utilisés et leurs arguments.
Je ne sais pas si un tel shell existe mais ça serait sans doute plus
intéressant à développer que de s'embêter à
- modifier les droits et les uid/gid ;
- écrire le fichier sudoers ;
- remodifier tous les droits à chaque mise à jour des paquets.
Vendredi 18 novembre 2005, 10:16:07 CET, Bayrouni a écrit :
Bonjour à tous,
'jour,
[...] L'idée est de rendre ses fichiers restrictives (700 m'irait très bien sauf si vous pensez que celà créerait des problèmes divers d'accè s).
Par après et en fonction des besoins j'aimerais utiliser le fichiers sudeoers afin d'ajouter des accès bien controlés (user, machine programmes, options d'execution ....
En clair : pour des raisons de sécurité, tu veux éviter qu'un utilisateur lance quelque programme que ce soit sous son identité propre mais tu veux lui donner des droits root en lui permettant de les lancer en tant que root ? Ou alors tu as aussi pensé à modifier l'uid/gid des programmes mais tu as oublié de nous le dire ?
Est-ce que c'est possible de changer les permissions du systemes sans causer des degats.
Oui. Mais beaucoup de boulot pour une paranoïa pas forcément justifi ée. C'est juste pour t'amuser ou tu as une raison de ne pas confiance à tes utilisateurs et aux autres techniques de restriction/surveillance (ulimit, quotas, acct, etc.) ?
(je prends quand meme un certain degré de risque car j'ai mon systeme installé sur divers partitions:)
Quel est le rapport entre les partitions et les permissions ? Une fois les partitions montées (par root), c'est quasiment transparent pour l'utilisateur, surtout en ce qui concerne l'utilisation des programmes.
Je n'ose pas utiliser quelque chose comme : chercher tous les fichiers binaires à partir de la racine ou juste dans /usr/bin /usr/sbin /sbin ... ???
Et pourquoi pas les scripts (ba)sh, les fichiers perl, python, ruby...
changer les droits
Et pourquoi pas aussi le groupe/l'utilisateur...
[...]
Tu peux aussi remplacer le shell de tes utilisateurs pour qu'il vérifie les programmes utilisés et leurs arguments. Je ne sais pas si un tel shell existe mais ça serait sans doute plus intéressant à développer que de s'embêter à - modifier les droits et les uid/gid ; - écrire le fichier sudoers ; - remodifier tous les droits à chaque mise à jour des paquets.
-- Sylvain Sauvage
Bayrouni
Bon peut-être que je n'ai pas pu bien expliquer le problème, et puis se baser uniquement sur sudoers n'est pas une solution dans le sens de la sécurité. entre temps j'ai cherché dans google, j'ai trouvé certaine choses, comme enlever tous suid et guid.
Il y a probablement plus à faire dans un systeme linux en general et debian (et autres) en particulier
Bayrouni
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bon peut-être que je n'ai pas pu bien expliquer le problème,
et puis se baser uniquement sur sudoers n'est pas une solution dans le
sens de la sécurité.
entre temps j'ai cherché dans google, j'ai trouvé certaine choses,
comme enlever tous suid et guid.
Il y a probablement plus à faire dans un systeme linux en general et
debian (et autres) en particulier
Bayrouni
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Bon peut-être que je n'ai pas pu bien expliquer le problème, et puis se baser uniquement sur sudoers n'est pas une solution dans le sens de la sécurité. entre temps j'ai cherché dans google, j'ai trouvé certaine choses, comme enlever tous suid et guid.
Il y a probablement plus à faire dans un systeme linux en general et debian (et autres) en particulier
Bayrouni
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Sylvain Sauvage
Vendredi 18 novembre 2005, 18:09:11 CET, Bayrouni a écrit :
Bon peut-être que je n'ai pas pu bien expliquer le problème, et puis se baser uniquement sur sudoers n'est pas une solution dans le sens de la sécurité.
J'avoue avoir été un peu ironique : tout mettre en 700, c'est un peu comme nier l'existence des droits unix.
entre temps j'ai cherché dans google, j'ai trouvé certaine choses, comme enlever tous suid et guid.
En général debconf demande si l'on veut ou non installer un programme suid ou non en prévenant pourquoi (risques / inconvénients). En général (encore), les droits par défaut des paquets debian sont s ûrs (sans être paranoïaques).
Il y a probablement plus à faire dans un systeme linux en general et debian (et autres) en particulier
Il y a un howto « Securing Debian ». ("securing debian howto" dans ton moteur de recherche préféré)
Tu peux aussi regarder des programmes/paquets comme Bastille.
Mais la meilleure protection contre les utilisateurs, c'est l'éducation et la confiance (être trop méfiant et ne pas respecter les personnes qui dépendent de soi est la meilleure façon de les inciter à enfreindre l es règles).
-- Sylvain Sauvage
Vendredi 18 novembre 2005, 18:09:11 CET, Bayrouni a écrit :
Bon peut-être que je n'ai pas pu bien expliquer le problème,
et puis se baser uniquement sur sudoers n'est pas une solution dans le
sens de la sécurité.
J'avoue avoir été un peu ironique : tout mettre en 700, c'est un peu
comme nier l'existence des droits unix.
entre temps j'ai cherché dans google, j'ai trouvé certaine choses,
comme enlever tous suid et guid.
En général debconf demande si l'on veut ou non installer un programme
suid ou non en prévenant pourquoi (risques / inconvénients).
En général (encore), les droits par défaut des paquets debian sont s ûrs
(sans être paranoïaques).
Il y a probablement plus à faire dans un systeme linux en general et
debian (et autres) en particulier
Il y a un howto « Securing Debian ». ("securing debian howto" dans ton
moteur de recherche préféré)
Tu peux aussi regarder des programmes/paquets comme Bastille.
Mais la meilleure protection contre les utilisateurs, c'est l'éducation
et la confiance (être trop méfiant et ne pas respecter les personnes qui
dépendent de soi est la meilleure façon de les inciter à enfreindre l es
règles).
Vendredi 18 novembre 2005, 18:09:11 CET, Bayrouni a écrit :
Bon peut-être que je n'ai pas pu bien expliquer le problème, et puis se baser uniquement sur sudoers n'est pas une solution dans le sens de la sécurité.
J'avoue avoir été un peu ironique : tout mettre en 700, c'est un peu comme nier l'existence des droits unix.
entre temps j'ai cherché dans google, j'ai trouvé certaine choses, comme enlever tous suid et guid.
En général debconf demande si l'on veut ou non installer un programme suid ou non en prévenant pourquoi (risques / inconvénients). En général (encore), les droits par défaut des paquets debian sont s ûrs (sans être paranoïaques).
Il y a probablement plus à faire dans un systeme linux en general et debian (et autres) en particulier
Il y a un howto « Securing Debian ». ("securing debian howto" dans ton moteur de recherche préféré)
Tu peux aussi regarder des programmes/paquets comme Bastille.
Mais la meilleure protection contre les utilisateurs, c'est l'éducation et la confiance (être trop méfiant et ne pas respecter les personnes qui dépendent de soi est la meilleure façon de les inciter à enfreindre l es règles).
-- Sylvain Sauvage
Bayrouni
Sylvain Sauvage wrote:
Vendredi 18 novembre 2005, 18:09:11 CET, Bayrouni a écrit :
Bon peut-être que je n'ai pas pu bien expliquer le problème, et puis se baser uniquement sur sudoers n'est pas une solution dans le sens de la sécurité.
J'avoue avoir été un peu ironique : tout mettre en 700, c'est un peu comme nier l'existence des droits unix.
entre temps j'ai cherché dans google, j'ai trouvé certaine choses, comme enlever tous suid et guid.
En général debconf demande si l'on veut ou non installer un programme suid ou non en prévenant pourquoi (risques / inconvénients). En général (encore), les droits par défaut des paquets debian sont sûrs (sans être paranoïaques).
Il y a probablement plus à faire dans un systeme linux en general et debian (et autres) en particulier
Il y a un howto « Securing Debian ». ("securing debian howto" dans ton moteur de recherche préféré)
Tu peux aussi regarder des programmes/paquets comme Bastille.
Mais la meilleure protection contre les utilisateurs, c'est l'éducation et la confiance (être trop méfiant et ne pas respecter les personnes qui dépendent de soi est la meilleure façon de les inciter à enfreindre les règles).
oui, je suis d'accord avec toi. et comme tu le dis debconf m'avais posé des questions, je tiendrai à ce la prochaine fois j'en serai plus que sensible :)
et je vais consulter le howto Securing debian, de suite
Merci Bayrouni
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Sylvain Sauvage wrote:
Vendredi 18 novembre 2005, 18:09:11 CET, Bayrouni a écrit :
Bon peut-être que je n'ai pas pu bien expliquer le problème,
et puis se baser uniquement sur sudoers n'est pas une solution dans le
sens de la sécurité.
J'avoue avoir été un peu ironique : tout mettre en 700, c'est un peu
comme nier l'existence des droits unix.
entre temps j'ai cherché dans google, j'ai trouvé certaine choses,
comme enlever tous suid et guid.
En général debconf demande si l'on veut ou non installer un programme
suid ou non en prévenant pourquoi (risques / inconvénients).
En général (encore), les droits par défaut des paquets debian sont sûrs
(sans être paranoïaques).
Il y a probablement plus à faire dans un systeme linux en general et
debian (et autres) en particulier
Il y a un howto « Securing Debian ». ("securing debian howto" dans ton
moteur de recherche préféré)
Tu peux aussi regarder des programmes/paquets comme Bastille.
Mais la meilleure protection contre les utilisateurs, c'est l'éducation
et la confiance (être trop méfiant et ne pas respecter les personnes qui
dépendent de soi est la meilleure façon de les inciter à enfreindre les
règles).
oui, je suis d'accord avec toi. et comme tu le dis debconf m'avais posé
des questions,
je tiendrai à ce la prochaine fois j'en serai plus que sensible :)
et je vais consulter le howto Securing debian, de suite
Merci
Bayrouni
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vendredi 18 novembre 2005, 18:09:11 CET, Bayrouni a écrit :
Bon peut-être que je n'ai pas pu bien expliquer le problème, et puis se baser uniquement sur sudoers n'est pas une solution dans le sens de la sécurité.
J'avoue avoir été un peu ironique : tout mettre en 700, c'est un peu comme nier l'existence des droits unix.
entre temps j'ai cherché dans google, j'ai trouvé certaine choses, comme enlever tous suid et guid.
En général debconf demande si l'on veut ou non installer un programme suid ou non en prévenant pourquoi (risques / inconvénients). En général (encore), les droits par défaut des paquets debian sont sûrs (sans être paranoïaques).
Il y a probablement plus à faire dans un systeme linux en general et debian (et autres) en particulier
Il y a un howto « Securing Debian ». ("securing debian howto" dans ton moteur de recherche préféré)
Tu peux aussi regarder des programmes/paquets comme Bastille.
Mais la meilleure protection contre les utilisateurs, c'est l'éducation et la confiance (être trop méfiant et ne pas respecter les personnes qui dépendent de soi est la meilleure façon de les inciter à enfreindre les règles).
oui, je suis d'accord avec toi. et comme tu le dis debconf m'avais posé des questions, je tiendrai à ce la prochaine fois j'en serai plus que sensible :)
et je vais consulter le howto Securing debian, de suite
Merci Bayrouni
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Frédéric Bothamy
* Bayrouni [2005-11-18 21:08] :
Sylvain Sauvage wrote:
[...]
>Il y a un howto « Securing Debian ». ("securing debian howto" dans ton >moteur de recherche préféré)
[...]
et je vais consulter le howto Securing debian, de suite
Si tu trouves des fautes dans la traduction française, n'oublie pas de les faire remonter (à moi directement ou à la liste debian-l10n-french).
Fred
-- Comment poser les questions de manière intelligente ? http://www.gnurou.org/Writing/SmartQuestionsFr Comment signaler efficacement un bug ? http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
