Bonjour =E0 tous,
Comment faire pour qu'un utilisateur ne puisse pas remonter dans
l'abroressence, qu'il soit limit=E9 =E0 son r=E9pertoire ?
J'ai essay=E9 rbash mais c pas fiable : il lui suffit de faire vim
/root/n'importe quel fichier=20
et ca fonctionne.
Comment faire pour qu'un utilisateur ne puisse pas remonter dans l'abroressence, qu'il soit limité à son répertoire ?
chroot
TiChou
Dans le message <news:, ** tapota sur f.c.o.l.configuration :
Bonjour à tous,
Bonsoir,
Juste une remarque sur ce qui suit.
Comment faire pour qu'un utilisateur ne puisse pas remonter dans l'abroressence, qu'il soit limité à son répertoire ? J'ai essayé rbash mais c pas fiable : il lui suffit de faire vim /root/n'importe quel fichier et ca fonctionne.
Depuis quand le répertoire /root est accessible en lecture aux autres utilisateurs ?
$ chmod 700 /root
-- TiChou
Dans le message
<news:1133300100.731981.147510@o13g2000cwo.googlegroups.com>,
*contact@easy-security.net* tapota sur f.c.o.l.configuration :
Bonjour à tous,
Bonsoir,
Juste une remarque sur ce qui suit.
Comment faire pour qu'un utilisateur ne puisse pas remonter dans
l'abroressence, qu'il soit limité à son répertoire ?
J'ai essayé rbash mais c pas fiable : il lui suffit de faire vim
/root/n'importe quel fichier
et ca fonctionne.
Depuis quand le répertoire /root est accessible en lecture aux autres
utilisateurs ?
Dans le message <news:, ** tapota sur f.c.o.l.configuration :
Bonjour à tous,
Bonsoir,
Juste une remarque sur ce qui suit.
Comment faire pour qu'un utilisateur ne puisse pas remonter dans l'abroressence, qu'il soit limité à son répertoire ? J'ai essayé rbash mais c pas fiable : il lui suffit de faire vim /root/n'importe quel fichier et ca fonctionne.
Depuis quand le répertoire /root est accessible en lecture aux autres utilisateurs ?
$ chmod 700 /root
-- TiChou
Matthieu Moy
"TiChou" writes:
Depuis quand le répertoire /root est accessible en lecture aux autres utilisateurs ?
C'est le cas par défaut chez moi. Ou est le problème ?
(chez moi, y'a autant dire rien dans /root)
-- Matthieu
"TiChou" <gro.uohcit@uohcit> writes:
Depuis quand le répertoire /root est accessible en lecture aux autres
utilisateurs ?
C'est le cas par défaut chez moi. Ou est le problème ?
Depuis quand le répertoire /root est accessible en lecture aux autres utilisateurs ?
$ chmod 700 /root
Euh, pourquoi au juste? C'est à chaque admin de savoir ce qu'il met dedans et de décider en conscience si il veut le paranoifier.
TiChou
Dans le message <news:, *Matthieu Moy* tapota sur f.c.o.l.configuration :
Depuis quand le répertoire /root est accessible en lecture aux autres utilisateurs ?
C'est le cas par défaut chez moi. Ou est le problème ?
Le problème est que les utilisateurs n'ont rien à y faire dedans pour des raisons de sécurité assez évidentes. Ce répertoire est destiné à l'administrateur de la machine dans lequel il y stocke généralement ses outils, des fichiers de configuration et son profile qui, s'ils sont lus, peuvent révéler des informations cruciales mettant alors en danger la sécurité du système et de la machine. Par exemple, il n'est pas rare, sur certaines machines, de retrouver dans le fichier historique du shell des mots de passe saisis maladroitement.
(chez moi, y'a autant dire rien dans /root)
$ vi /root/.bash_history
-- TiChou
Dans le message <news:vpqlkz7oy4t.fsf@ecrins.imag.fr>,
*Matthieu Moy* tapota sur f.c.o.l.configuration :
Depuis quand le répertoire /root est accessible en lecture aux autres
utilisateurs ?
C'est le cas par défaut chez moi. Ou est le problème ?
Le problème est que les utilisateurs n'ont rien à y faire dedans pour des
raisons de sécurité assez évidentes.
Ce répertoire est destiné à l'administrateur de la machine dans lequel il y
stocke généralement ses outils, des fichiers de configuration et son profile
qui, s'ils sont lus, peuvent révéler des informations cruciales mettant
alors en danger la sécurité du système et de la machine.
Par exemple, il n'est pas rare, sur certaines machines, de retrouver dans le
fichier historique du shell des mots de passe saisis maladroitement.
Dans le message <news:, *Matthieu Moy* tapota sur f.c.o.l.configuration :
Depuis quand le répertoire /root est accessible en lecture aux autres utilisateurs ?
C'est le cas par défaut chez moi. Ou est le problème ?
Le problème est que les utilisateurs n'ont rien à y faire dedans pour des raisons de sécurité assez évidentes. Ce répertoire est destiné à l'administrateur de la machine dans lequel il y stocke généralement ses outils, des fichiers de configuration et son profile qui, s'ils sont lus, peuvent révéler des informations cruciales mettant alors en danger la sécurité du système et de la machine. Par exemple, il n'est pas rare, sur certaines machines, de retrouver dans le fichier historique du shell des mots de passe saisis maladroitement.
(chez moi, y'a autant dire rien dans /root)
$ vi /root/.bash_history
-- TiChou
TiChou
Dans le message <news:dmimro$13s2$, *Luc Habert* tapota sur f.c.o.l.configuration :
Depuis quand le répertoire /root est accessible en lecture aux autres utilisateurs ?
$ chmod 700 /root
Euh, pourquoi au juste? C'est à chaque admin de savoir ce qu'il met dedans et de décider en conscience si il veut le paranoifier.
Donnez moi une bonne raison pour que le répertoire /root soit accessible aux autres.
-- TiChou
Dans le message <news:dmimro$13s2$1@nef.ens.fr>,
*Luc Habert* tapota sur f.c.o.l.configuration :
Depuis quand le répertoire /root est accessible en lecture aux autres
utilisateurs ?
$ chmod 700 /root
Euh, pourquoi au juste? C'est à chaque admin de savoir ce qu'il met
dedans et de décider en conscience si il veut le paranoifier.
Donnez moi une bonne raison pour que le répertoire /root soit accessible aux
autres.
Dans le message <news:dminki$18rv$, *Luc Habert* tapota sur f.c.o.l.configuration :
Donnez moi une bonne raison pour que le répertoire /root soit accessible aux autres.
Je peux retourner l'argument.
D'accord, mais j'attends d'abord votre réponse. ;-)
Tout dépend de ce qu'on y met...
Ce qui a généralement besoin d'être protégé par exemple.
-- TiChou
lhabert
"TiChou" :
Par exemple, il n'est pas rare, sur certaines machines, de retrouver dans le fichier historique du shell des mots de passe saisis maladroitement.
Ah? Enfin moi perso je ne garde pas d'historique, je n'en vois vraiment pas l'intéret. Et puis c'est valable tout autant pour les simples utilisateurs, est-ce qu'il faut pour autant mettre leur home en parano?
Quant aux fichiers de conf de root, bah désolé, savoir que mon $EDITOR est emacs, que je suis en locale en_US mais juste pour LC_CTYPE, et que j'active l'option sh_word_split de zsh, je pense que ça fait une belle jambe aux wanabe crackers.
"TiChou" :
Par exemple, il n'est pas rare, sur certaines machines, de retrouver dans le
fichier historique du shell des mots de passe saisis maladroitement.
Ah? Enfin moi perso je ne garde pas d'historique, je n'en vois vraiment pas
l'intéret. Et puis c'est valable tout autant pour les simples utilisateurs,
est-ce qu'il faut pour autant mettre leur home en parano?
Quant aux fichiers de conf de root, bah désolé, savoir que mon $EDITOR est
emacs, que je suis en locale en_US mais juste pour LC_CTYPE, et que j'active
l'option sh_word_split de zsh, je pense que ça fait une belle jambe aux
wanabe crackers.
Par exemple, il n'est pas rare, sur certaines machines, de retrouver dans le fichier historique du shell des mots de passe saisis maladroitement.
Ah? Enfin moi perso je ne garde pas d'historique, je n'en vois vraiment pas l'intéret. Et puis c'est valable tout autant pour les simples utilisateurs, est-ce qu'il faut pour autant mettre leur home en parano?
Quant aux fichiers de conf de root, bah désolé, savoir que mon $EDITOR est emacs, que je suis en locale en_US mais juste pour LC_CTYPE, et que j'active l'option sh_word_split de zsh, je pense que ça fait une belle jambe aux wanabe crackers.
lhabert
"TiChou" :
Tout dépend de ce qu'on y met...
Ce qui a généralement besoin d'être protégé par exemple.
Si c'est ce qu'on fait, alors oui il faut le protéger. Sinon, non. Les portes ouvertes prennent cher. Et je pense qu'il y a autant d'usage de /root que d'admins. Et il y en a qui n'ont pas de /root du tout et qui ne s'en portent pas plus mal.
"TiChou" :
Tout dépend de ce qu'on y met...
Ce qui a généralement besoin d'être protégé par exemple.
Si c'est ce qu'on fait, alors oui il faut le protéger. Sinon, non. Les
portes ouvertes prennent cher. Et je pense qu'il y a autant d'usage de /root
que d'admins. Et il y en a qui n'ont pas de /root du tout et qui ne s'en
portent pas plus mal.
Ce qui a généralement besoin d'être protégé par exemple.
Si c'est ce qu'on fait, alors oui il faut le protéger. Sinon, non. Les portes ouvertes prennent cher. Et je pense qu'il y a autant d'usage de /root que d'admins. Et il y en a qui n'ont pas de /root du tout et qui ne s'en portent pas plus mal.
