On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas
bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root
pour pouvoir bricoler dans le PC etc...
Mais les mots de passe, ils sont bien quelque-part sur le disque non?
Alors, comment peut on garantir la sécurité du système?
Mais les mots de passe, ils sont bien quelque-part sur le disque non? Alors, comment peut on garantir la sécurité du système?
Si l'attaquant n'a pas d'accès physique à la machine, il ne peut passer que par les droits que lui donne le système pour accéder à ce fichier. Si le système n'est pas trop cassé, seul root a le droit de le lire.
Si on veut se protéger contre les gens ayant accès physique à la machine, ça devient compliqué, il faut envisager du cryptage dans tous les sens, avec l'admin qui se déplace pour entrer la clef de décryptage au boot.
Au passage : ce ne sont pas directement les mots de passe qui sont stockés, mais un hachage dur à inverser, ce qui complique la tache de quelqu'un qui tomberait sur ce fichier.
Rasmus :
Mais les mots de passe, ils sont bien quelque-part sur le disque non?
Alors, comment peut on garantir la sécurité du système?
Si l'attaquant n'a pas d'accès physique à la machine, il ne peut passer que
par les droits que lui donne le système pour accéder à ce fichier. Si le
système n'est pas trop cassé, seul root a le droit de le lire.
Si on veut se protéger contre les gens ayant accès physique à la machine, ça
devient compliqué, il faut envisager du cryptage dans tous les sens, avec
l'admin qui se déplace pour entrer la clef de décryptage au boot.
Au passage : ce ne sont pas directement les mots de passe qui sont stockés,
mais un hachage dur à inverser, ce qui complique la tache de quelqu'un qui
tomberait sur ce fichier.
Mais les mots de passe, ils sont bien quelque-part sur le disque non? Alors, comment peut on garantir la sécurité du système?
Si l'attaquant n'a pas d'accès physique à la machine, il ne peut passer que par les droits que lui donne le système pour accéder à ce fichier. Si le système n'est pas trop cassé, seul root a le droit de le lire.
Si on veut se protéger contre les gens ayant accès physique à la machine, ça devient compliqué, il faut envisager du cryptage dans tous les sens, avec l'admin qui se déplace pour entrer la clef de décryptage au boot.
Au passage : ce ne sont pas directement les mots de passe qui sont stockés, mais un hachage dur à inverser, ce qui complique la tache de quelqu'un qui tomberait sur ce fichier.
Vivien MOREAU
On 2010-01-13, Rasmus wrote:
Bonjour à tous,
On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root pour pouvoir bricoler dans le PC etc...
Je n'irais pas jusqu'à dire « super sûr ». Il est relativement sûr, oui, si les utilisateurs ne font pas n'importe quoi.
Pour le reste, c'est vrai. Modulo le point ci-dessus.
Mais les mots de passe, ils sont bien quelque-part sur le disque non? Alors, comment peut on garantir la sécurité du système?
Les mots de passe ne sont pas stocké, en général. C'est leur hash qui l'est.
De plus, le fichier stockant ces hashs est habituellement indisponible en lecture pour les simples utilisateurs.
-- Vivien MOREAU / vpm
« Unix is simple. It just takes a genius to understand its simplicity » Dennis M. Ritchie
On 2010-01-13, Rasmus wrote:
Bonjour à tous,
On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas
bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root
pour pouvoir bricoler dans le PC etc...
Je n'irais pas jusqu'à dire « super sûr ». Il est relativement
sûr, oui, si les utilisateurs ne font pas n'importe quoi.
Pour le reste, c'est vrai. Modulo le point ci-dessus.
Mais les mots de passe, ils sont bien quelque-part sur le disque non?
Alors, comment peut on garantir la sécurité du système?
Les mots de passe ne sont pas stocké, en général. C'est leur
hash qui l'est.
De plus, le fichier stockant ces hashs est habituellement
indisponible en lecture pour les simples utilisateurs.
--
Vivien MOREAU / vpm
« Unix is simple. It just takes a genius to understand its simplicity »
Dennis M. Ritchie
On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root pour pouvoir bricoler dans le PC etc...
Je n'irais pas jusqu'à dire « super sûr ». Il est relativement sûr, oui, si les utilisateurs ne font pas n'importe quoi.
Pour le reste, c'est vrai. Modulo le point ci-dessus.
Mais les mots de passe, ils sont bien quelque-part sur le disque non? Alors, comment peut on garantir la sécurité du système?
Les mots de passe ne sont pas stocké, en général. C'est leur hash qui l'est.
De plus, le fichier stockant ces hashs est habituellement indisponible en lecture pour les simples utilisateurs.
-- Vivien MOREAU / vpm
« Unix is simple. It just takes a genius to understand its simplicity » Dennis M. Ritchie
moi-meme
Le Wed, 13 Jan 2010 23:43:02 +0100, Rasmus a écrit :
Bonjour à tous,
On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root pour pouvoir bricoler dans le PC etc...
Mais les mots de passe, ils sont bien quelque-part sur le disque non? Alors, comment peut on garantir la sécurité du système?
Ras'
<HS> Au début il y avait des gros systèmes multiutilisateurs.
Unix a été développé dessus. Une protection était nécessaire pour protéger un utilisateur des autres.
Linux est un Unix porté sur PC.
MS-DOS, Windows ça "vient" du PC (PERSONNAL Computeur). Cet aspect n'a pas envisagé au départ (logique). Ce problème est arrivé par Internet avec une possibilité d'intrusion par l'extérieur. (Au début il n'y avait que la disquette).
/HS>
Le Wed, 13 Jan 2010 23:43:02 +0100, Rasmus a écrit :
Bonjour à tous,
On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas
bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root
pour pouvoir bricoler dans le PC etc...
Mais les mots de passe, ils sont bien quelque-part sur le disque non?
Alors, comment peut on garantir la sécurité du système?
Ras'
<HS>
Au début il y avait des gros systèmes multiutilisateurs.
Unix a été développé dessus.
Une protection était nécessaire pour protéger un utilisateur des autres.
Linux est un Unix porté sur PC.
MS-DOS, Windows ça "vient" du PC (PERSONNAL Computeur).
Cet aspect n'a pas envisagé au départ (logique).
Ce problème est arrivé par Internet avec une possibilité d'intrusion par
l'extérieur. (Au début il n'y avait que la disquette).
Le Wed, 13 Jan 2010 23:43:02 +0100, Rasmus a écrit :
Bonjour à tous,
On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root pour pouvoir bricoler dans le PC etc...
Mais les mots de passe, ils sont bien quelque-part sur le disque non? Alors, comment peut on garantir la sécurité du système?
Ras'
<HS> Au début il y avait des gros systèmes multiutilisateurs.
Unix a été développé dessus. Une protection était nécessaire pour protéger un utilisateur des autres.
Linux est un Unix porté sur PC.
MS-DOS, Windows ça "vient" du PC (PERSONNAL Computeur). Cet aspect n'a pas envisagé au départ (logique). Ce problème est arrivé par Internet avec une possibilité d'intrusion par l'extérieur. (Au début il n'y avait que la disquette).
/HS>
Rasmus
Vivien MOREAU a écrit :
On 2010-01-13, Rasmus wrote:
Bonjour à tous,
On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root pour pouvoir bricoler dans le PC etc...
Je n'irais pas jusqu'à dire « super sûr ». Il est relativement sûr, oui, si les utilisateurs ne font pas n'importe quoi.
Pour le reste, c'est vrai. Modulo le point ci-dessus.
Mais les mots de passe, ils sont bien quelque-part sur le disque non? Alors, comment peut on garantir la sécurité du système?
Les mots de passe ne sont pas stocké, en général. C'est leur hash qui l'est.
De plus, le fichier stockant ces hashs est habituellement indisponible en lecture pour les simples utilisateurs.
OK, je comprends que le mot de passe utilisateur est codé (hashed) avant d'être stocké; mai qui dit code dit clé, et la clé est bien stockée sur le disque, non?
Tu vas me répondre que le fichier qui contient les clés est caché qqpart sur le disque, accessible uniquement en root; mais si je démarre avec un CD live, ou si j'installe par exemple une autre distrib', je ne peux pas avoir accès au disque?
Ras'
Vivien MOREAU a écrit :
On 2010-01-13, Rasmus wrote:
Bonjour à tous,
On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas
bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root
pour pouvoir bricoler dans le PC etc...
Je n'irais pas jusqu'à dire « super sûr ». Il est relativement
sûr, oui, si les utilisateurs ne font pas n'importe quoi.
Pour le reste, c'est vrai. Modulo le point ci-dessus.
Mais les mots de passe, ils sont bien quelque-part sur le disque non?
Alors, comment peut on garantir la sécurité du système?
Les mots de passe ne sont pas stocké, en général. C'est leur
hash qui l'est.
De plus, le fichier stockant ces hashs est habituellement
indisponible en lecture pour les simples utilisateurs.
OK, je comprends que le mot de passe utilisateur est codé (hashed)
avant d'être stocké; mai qui dit code dit clé, et la clé est bien
stockée sur le disque, non?
Tu vas me répondre que le fichier qui contient les clés est caché qqpart
sur le disque, accessible uniquement en root; mais si je démarre avec un
CD live, ou si j'installe par exemple une autre distrib', je ne peux pas
avoir accès au disque?
On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root pour pouvoir bricoler dans le PC etc...
Je n'irais pas jusqu'à dire « super sûr ». Il est relativement sûr, oui, si les utilisateurs ne font pas n'importe quoi.
Pour le reste, c'est vrai. Modulo le point ci-dessus.
Mais les mots de passe, ils sont bien quelque-part sur le disque non? Alors, comment peut on garantir la sécurité du système?
Les mots de passe ne sont pas stocké, en général. C'est leur hash qui l'est.
De plus, le fichier stockant ces hashs est habituellement indisponible en lecture pour les simples utilisateurs.
OK, je comprends que le mot de passe utilisateur est codé (hashed) avant d'être stocké; mai qui dit code dit clé, et la clé est bien stockée sur le disque, non?
Tu vas me répondre que le fichier qui contient les clés est caché qqpart sur le disque, accessible uniquement en root; mais si je démarre avec un CD live, ou si j'installe par exemple une autre distrib', je ne peux pas avoir accès au disque?
Ras'
Benoit Izac
Bonjour,
le 15/01/2010 à 14:22, Rasmus a écrit dans le message <4b506bfc$0$2045$ :
Les mots de passe ne sont pas stocké, en général. C'est leur hash qui l'est.
De plus, le fichier stockant ces hashs est habituellement indisponible en lecture pour les simples utilisateurs.
OK, je comprends que le mot de passe utilisateur est codé (hashed) avant d'être stocké; mai qui dit code dit clé, et la clé est bien stockée sur le disque, non?
Non c'est pas un chiffrement, c'est un hash : % print "mon_mot_de_passe" | openssl passwd -stdin vCMRJ4M7NcJtE
On sait faire « mon_mot_de_passe -> vCMRJ4M7NcJtE » mais on ne peut pas faire « vCMRJ4M7NcJtE -> mon_mot_de_passe ». C'est pourquoi tu n'as pas d'autre solution si tu connais « vCMRJ4M7NcJtE » que d'essayer tous les mots de passe possibles avec « openssl passwd » jusqu'à obtenir « vCMRJ4M7NcJtE ».
C'est aussi pour cette raison que si un utilisateur oublie son mot de passe, tu n'as pas d'autre choix que de lui en mettre un nouveau.
-- Benoit Izac
Bonjour,
le 15/01/2010 à 14:22, Rasmus a écrit dans le message
<4b506bfc$0$2045$426a74cc@news.free.fr> :
Les mots de passe ne sont pas stocké, en général. C'est leur
hash qui l'est.
De plus, le fichier stockant ces hashs est habituellement
indisponible en lecture pour les simples utilisateurs.
OK, je comprends que le mot de passe utilisateur est codé (hashed)
avant d'être stocké; mai qui dit code dit clé, et la clé est bien
stockée sur le disque, non?
Non c'est pas un chiffrement, c'est un hash :
% print "mon_mot_de_passe" | openssl passwd -stdin
vCMRJ4M7NcJtE
On sait faire « mon_mot_de_passe -> vCMRJ4M7NcJtE » mais on ne peut pas
faire « vCMRJ4M7NcJtE -> mon_mot_de_passe ». C'est pourquoi tu n'as pas
d'autre solution si tu connais « vCMRJ4M7NcJtE » que d'essayer tous les
mots de passe possibles avec « openssl passwd » jusqu'à obtenir
« vCMRJ4M7NcJtE ».
C'est aussi pour cette raison que si un utilisateur oublie son mot de
passe, tu n'as pas d'autre choix que de lui en mettre un nouveau.
le 15/01/2010 à 14:22, Rasmus a écrit dans le message <4b506bfc$0$2045$ :
Les mots de passe ne sont pas stocké, en général. C'est leur hash qui l'est.
De plus, le fichier stockant ces hashs est habituellement indisponible en lecture pour les simples utilisateurs.
OK, je comprends que le mot de passe utilisateur est codé (hashed) avant d'être stocké; mai qui dit code dit clé, et la clé est bien stockée sur le disque, non?
Non c'est pas un chiffrement, c'est un hash : % print "mon_mot_de_passe" | openssl passwd -stdin vCMRJ4M7NcJtE
On sait faire « mon_mot_de_passe -> vCMRJ4M7NcJtE » mais on ne peut pas faire « vCMRJ4M7NcJtE -> mon_mot_de_passe ». C'est pourquoi tu n'as pas d'autre solution si tu connais « vCMRJ4M7NcJtE » que d'essayer tous les mots de passe possibles avec « openssl passwd » jusqu'à obtenir « vCMRJ4M7NcJtE ».
C'est aussi pour cette raison que si un utilisateur oublie son mot de passe, tu n'as pas d'autre choix que de lui en mettre un nouveau.
-- Benoit Izac
Vivien MOREAU
On 2010-01-15, Rasmus wrote:
OK, je comprends que le mot de passe utilisateur est codé (hashed) avant d'être stocké; mai qui dit code dit clé, et la clé est bien stockée sur le disque, non?
Non, le souci vient de ta traduction de hashed en « codé ». Renseignes-toi sur ce procédé, par exemple sur Wikipédia.
Tu vas me répondre que le fichier qui contient les clés est caché qqpart sur le disque, accessible uniquement en root; mais si je démarre avec un CD live, ou si j'installe par exemple une autre distrib', je ne peux pas avoir accès au disque?
Si.
C'est d'ailleurs pour cette raison que l'on dit que la plupart des sécurités ne servent à rien si l'attaquant a un accès physique à la machine. Je ne vois que le chiffrement intégral du disque pour y résister pendant un ( plus ou moins long ) temps. Mais bonjour la simplicité du bouzin.
-- Vivien MOREAU / vpm
« Unix is simple. It just takes a genius to understand its simplicity » Dennis M. Ritchie
On 2010-01-15, Rasmus wrote:
OK, je comprends que le mot de passe utilisateur est codé (hashed)
avant d'être stocké; mai qui dit code dit clé, et la clé est bien
stockée sur le disque, non?
Non, le souci vient de ta traduction de hashed en « codé ».
Renseignes-toi sur ce procédé, par exemple sur Wikipédia.
Tu vas me répondre que le fichier qui contient les clés est caché qqpart
sur le disque, accessible uniquement en root; mais si je démarre avec un
CD live, ou si j'installe par exemple une autre distrib', je ne peux pas
avoir accès au disque?
Si.
C'est d'ailleurs pour cette raison que l'on dit que la plupart
des sécurités ne servent à rien si l'attaquant a un accès
physique à la machine. Je ne vois que le chiffrement intégral du
disque pour y résister pendant un ( plus ou moins long ) temps.
Mais bonjour la simplicité du bouzin.
--
Vivien MOREAU / vpm
« Unix is simple. It just takes a genius to understand its simplicity »
Dennis M. Ritchie
OK, je comprends que le mot de passe utilisateur est codé (hashed) avant d'être stocké; mai qui dit code dit clé, et la clé est bien stockée sur le disque, non?
Non, le souci vient de ta traduction de hashed en « codé ». Renseignes-toi sur ce procédé, par exemple sur Wikipédia.
Tu vas me répondre que le fichier qui contient les clés est caché qqpart sur le disque, accessible uniquement en root; mais si je démarre avec un CD live, ou si j'installe par exemple une autre distrib', je ne peux pas avoir accès au disque?
Si.
C'est d'ailleurs pour cette raison que l'on dit que la plupart des sécurités ne servent à rien si l'attaquant a un accès physique à la machine. Je ne vois que le chiffrement intégral du disque pour y résister pendant un ( plus ou moins long ) temps. Mais bonjour la simplicité du bouzin.
-- Vivien MOREAU / vpm
« Unix is simple. It just takes a genius to understand its simplicity » Dennis M. Ritchie
Erwan David
Rasmus écrivait :
Vivien MOREAU a écrit :
On 2010-01-13, Rasmus wrote:
Bonjour à tous,
On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root pour pouvoir bricoler dans le PC etc...
Je n'irais pas jusqu'à dire « super sûr ». Il est relativement sûr, oui, si les utilisateurs ne font pas n'importe quoi.
Pour le reste, c'est vrai. Modulo le point ci-dessus.
Mais les mots de passe, ils sont bien quelque-part sur le disque non? Alors, comment peut on garantir la sécurité du système?
Les mots de passe ne sont pas stocké, en général. C'est leur hash qui l'est.
De plus, le fichier stockant ces hashs est habituellement indisponible en lecture pour les simples utilisateurs.
OK, je comprends que le mot de passe utilisateur est codé (hashed) avant d'être stocké; mai qui dit code dit clé, et la clé est bien stockée sur le disque, non?
Non un hash n'est pas un chiffrement. Un hash est une fonction qui mélange les données, mais ne permet pas de retrouver les données de départ.
En fait quand tu définis ton mot de passe, on tire un aléas (le sel). on calcule f(sel,mot de passe) = hp, et on stocke sel & hp
Pour vérifier que tu entre le bon mot de passe, on czalcule f(sel,tentative) et on vérifie s'il est égal ou non à hp.
Bien sûr f ne doit pas être n'importe quelle fonction : on ne doit pas pouvoir retrouver mot de passe à partir de hp, et il faut que la probabilité que f(sel,tentative)=f(sel,mot de passe) alors que tentative != mot de passe soit extrèmement faible.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Rasmus <rasmus.fereto@free.fr> écrivait :
Vivien MOREAU a écrit :
On 2010-01-13, Rasmus wrote:
Bonjour à tous,
On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut
pas bidouiller les fichiers d'un autre utilisateur, qu'il faut être
Root pour pouvoir bricoler dans le PC etc...
Je n'irais pas jusqu'à dire « super sûr ». Il est relativement
sûr, oui, si les utilisateurs ne font pas n'importe quoi.
Pour le reste, c'est vrai. Modulo le point ci-dessus.
Mais les mots de passe, ils sont bien quelque-part sur le disque non?
Alors, comment peut on garantir la sécurité du système?
Les mots de passe ne sont pas stocké, en général. C'est leur
hash qui l'est.
De plus, le fichier stockant ces hashs est habituellement
indisponible en lecture pour les simples utilisateurs.
OK, je comprends que le mot de passe utilisateur est codé (hashed)
avant d'être stocké; mai qui dit code dit clé, et la clé est bien
stockée sur le disque, non?
Non un hash n'est pas un chiffrement.
Un hash est une fonction qui mélange les données, mais ne permet pas de
retrouver les données de départ.
En fait quand tu définis ton mot de passe, on tire un aléas (le sel).
on calcule f(sel,mot de passe) = hp, et on stocke sel & hp
Pour vérifier que tu entre le bon mot de passe, on czalcule
f(sel,tentative) et on vérifie s'il est égal ou non à hp.
Bien sûr f ne doit pas être n'importe quelle fonction : on ne doit pas
pouvoir retrouver mot de passe à partir de hp, et il faut que la
probabilité que f(sel,tentative)=f(sel,mot de passe) alors que tentative
!= mot de passe soit extrèmement faible.
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root pour pouvoir bricoler dans le PC etc...
Je n'irais pas jusqu'à dire « super sûr ». Il est relativement sûr, oui, si les utilisateurs ne font pas n'importe quoi.
Pour le reste, c'est vrai. Modulo le point ci-dessus.
Mais les mots de passe, ils sont bien quelque-part sur le disque non? Alors, comment peut on garantir la sécurité du système?
Les mots de passe ne sont pas stocké, en général. C'est leur hash qui l'est.
De plus, le fichier stockant ces hashs est habituellement indisponible en lecture pour les simples utilisateurs.
OK, je comprends que le mot de passe utilisateur est codé (hashed) avant d'être stocké; mai qui dit code dit clé, et la clé est bien stockée sur le disque, non?
Non un hash n'est pas un chiffrement. Un hash est une fonction qui mélange les données, mais ne permet pas de retrouver les données de départ.
En fait quand tu définis ton mot de passe, on tire un aléas (le sel). on calcule f(sel,mot de passe) = hp, et on stocke sel & hp
Pour vérifier que tu entre le bon mot de passe, on czalcule f(sel,tentative) et on vérifie s'il est égal ou non à hp.
Bien sûr f ne doit pas être n'importe quelle fonction : on ne doit pas pouvoir retrouver mot de passe à partir de hp, et il faut que la probabilité que f(sel,tentative)=f(sel,mot de passe) alors que tentative != mot de passe soit extrèmement faible.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Vincent Verdon
Bonsoir,
Rasmus a écrit :
Bonjour à tous,
On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root pour pouvoir bricoler dans le PC etc...
Mais les mots de passe, ils sont bien quelque-part sur le disque non?
Oui, ils sont stockés dans le fichier /etc/shadow habituellement. Les comptes utilisateurs sont définis eux, dans le fichier /etc/passwd qui porte ce nom car à l'origine il servait également à stocker les mots de passe. Pour des raisons de sécurité, on a séparé les choses et interdit l'accès au fichier /etc/shadow aux utilisateurs autres que root, même si les mots de passes sont stockés sous forme hachée (md5 fréquemment).
Alors, comment peut on garantir la sécurité du système?
Déjà répondu par les autres intervenants : il est plutôt sûr si l'on n'a pas d'accès physique à la machine, pas sûr si l'on peut y introduire un CD de boot...
Amicalement, Vincent Verdon
Bonsoir,
Rasmus a écrit :
Bonjour à tous,
On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas
bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root
pour pouvoir bricoler dans le PC etc...
Mais les mots de passe, ils sont bien quelque-part sur le disque non?
Oui, ils sont stockés dans le fichier /etc/shadow habituellement. Les
comptes utilisateurs sont définis eux, dans le fichier /etc/passwd qui
porte ce nom car à l'origine il servait également à stocker les mots de
passe. Pour des raisons de sécurité, on a séparé les choses et interdit
l'accès au fichier /etc/shadow aux utilisateurs autres que root, même si
les mots de passes sont stockés sous forme hachée (md5 fréquemment).
Alors, comment peut on garantir la sécurité du système?
Déjà répondu par les autres intervenants : il est plutôt sûr si l'on n'a
pas d'accès physique à la machine, pas sûr si l'on peut y introduire un
CD de boot...
On dit que Linux c'est un OS super sûr, qu'un utilisateur ne peut pas bidouiller les fichiers d'un autre utilisateur, qu'il faut être Root pour pouvoir bricoler dans le PC etc...
Mais les mots de passe, ils sont bien quelque-part sur le disque non?
Oui, ils sont stockés dans le fichier /etc/shadow habituellement. Les comptes utilisateurs sont définis eux, dans le fichier /etc/passwd qui porte ce nom car à l'origine il servait également à stocker les mots de passe. Pour des raisons de sécurité, on a séparé les choses et interdit l'accès au fichier /etc/shadow aux utilisateurs autres que root, même si les mots de passes sont stockés sous forme hachée (md5 fréquemment).
Alors, comment peut on garantir la sécurité du système?
Déjà répondu par les autres intervenants : il est plutôt sûr si l'on n'a pas d'accès physique à la machine, pas sûr si l'on peut y introduire un CD de boot...
Amicalement, Vincent Verdon
Luc.Habert.00__arjf
Rasmus :
mais si je démarre avec un CD live, ou si j'installe par exemple une autre distrib', je ne peux pas avoir accès au disque?
Si, bien sûr. Mézalors, tu n'as même pas besoin des mots de passe des gens pour faire tout ce que tu veux de la machine. C'est pour ça que je parlais de cryptage généralisé, lorsque l'on veut se protéger contre les utilisateurs locaux.
Rasmus :
mais si je démarre avec un CD live, ou si j'installe par exemple une autre
distrib', je ne peux pas avoir accès au disque?
Si, bien sûr. Mézalors, tu n'as même pas besoin des mots de passe des gens
pour faire tout ce que tu veux de la machine. C'est pour ça que je parlais
de cryptage généralisé, lorsque l'on veut se protéger contre les
utilisateurs locaux.
mais si je démarre avec un CD live, ou si j'installe par exemple une autre distrib', je ne peux pas avoir accès au disque?
Si, bien sûr. Mézalors, tu n'as même pas besoin des mots de passe des gens pour faire tout ce que tu veux de la machine. C'est pour ça que je parlais de cryptage généralisé, lorsque l'on veut se protéger contre les utilisateurs locaux.
Rasmus
Vivien MOREAU a écrit :
On 2010-01-15, Rasmus wrote:
OK, je comprends que le mot de passe utilisateur est codé (hashed) avant d'être stocké; mai qui dit code dit clé, et la clé est bien stockée sur le disque, non?
Non, le souci vient de ta traduction de hashed en « codé ». Renseignes-toi sur ce procédé, par exemple sur Wikipédia.
Tu vas me répondre que le fichier qui contient les clés est caché qqpart sur le disque, accessible uniquement en root; mais si je démarre avec un CD live, ou si j'installe par exemple une autre distrib', je ne peux pas avoir accès au disque?
Si.
C'est d'ailleurs pour cette raison que l'on dit que la plupart des sécurités ne servent à rien si l'attaquant a un accès physique à la machine. Je ne vois que le chiffrement intégral du disque pour y résister pendant un ( plus ou moins long ) temps. Mais bonjour la simplicité du bouzin.
>OK, compris merci de vos réponses Ras'
Vivien MOREAU a écrit :
On 2010-01-15, Rasmus wrote:
OK, je comprends que le mot de passe utilisateur est codé (hashed)
avant d'être stocké; mai qui dit code dit clé, et la clé est bien
stockée sur le disque, non?
Non, le souci vient de ta traduction de hashed en « codé ».
Renseignes-toi sur ce procédé, par exemple sur Wikipédia.
Tu vas me répondre que le fichier qui contient les clés est caché qqpart
sur le disque, accessible uniquement en root; mais si je démarre avec un
CD live, ou si j'installe par exemple une autre distrib', je ne peux pas
avoir accès au disque?
Si.
C'est d'ailleurs pour cette raison que l'on dit que la plupart
des sécurités ne servent à rien si l'attaquant a un accès
physique à la machine. Je ne vois que le chiffrement intégral du
disque pour y résister pendant un ( plus ou moins long ) temps.
Mais bonjour la simplicité du bouzin.
OK, je comprends que le mot de passe utilisateur est codé (hashed) avant d'être stocké; mai qui dit code dit clé, et la clé est bien stockée sur le disque, non?
Non, le souci vient de ta traduction de hashed en « codé ». Renseignes-toi sur ce procédé, par exemple sur Wikipédia.
Tu vas me répondre que le fichier qui contient les clés est caché qqpart sur le disque, accessible uniquement en root; mais si je démarre avec un CD live, ou si j'installe par exemple une autre distrib', je ne peux pas avoir accès au disque?
Si.
C'est d'ailleurs pour cette raison que l'on dit que la plupart des sécurités ne servent à rien si l'attaquant a un accès physique à la machine. Je ne vois que le chiffrement intégral du disque pour y résister pendant un ( plus ou moins long ) temps. Mais bonjour la simplicité du bouzin.
