oui,oui j'aime bien les actions/ouvrage de référence... pas les choses synthétiques... Et pan, sur le nez !...

SELinux, est très bien conçu mais, comme tu disais si bien, un yum install neurones est plus que nécessaire

Bon, retour ce soir, on part jouer avec le vent, ici, il fait super beau et ça souffle un peu...

Cordialement
Bonjour tout le monde
moi je suis un novice donc je ne pourrai pas dire les pour et les contres
mais je crois que si la personne demande à se connecter en root c est son droit ,la mise en garde lui a été
donné normale s il passe outre c est également son choix .
Apres ce qu il lui arrive tant pis pour lui il aura été avertit mais on doit en aucun cas dire NON car un forum
est lieu d aide , d explication, d echange de savoir etc... et je pense que c est le but premier d'un forum.
@+

ps:je ne juge personne je vous rassure d autant plus que je suis jeune sur ce forum en tant qu enregistrer
par contre je le suis depuis la sortie de FC5 et c est ici que ma FC5 fonctionne à merveille grace à vous tous
que cela continue dans la joie et la bonne humeur
cybervirem wrote:je persiste et signe : aucune utilisation des groupes et users : fais ls -l /usr/bin et suis les liens /etc/alter*
erent

Les liens pour alternatives ne démontrent rien et ne sont pas directement liés à la sécurité mais à la gestion de différents programmes (par exemple, on va choisir la version de java qui s'exécutera à l'invocation de java. Dans le tutorial sur java, alternatives est utilisé). Il faut lire le man alternatives pour mieux comprendre le mécanisme.

Les utilisateurs et groupes créés par défaut permettent de mettre en oeuvre des mécanismes de sécurité. Illustration brêve à partir d'un extrait de /etc/passwd
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rpm:x:37:37::/var/lib/rpm:/sbin/nologin
avahi:x:70:70:Avahi daemon:/:/sbin/nologin
rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
On créé un utilisateur nobody, qui n'a pas de shell de connexion. Si un utilisateur se connecte sous le compte nobody, il ne pourra exploiter un shell. Cet utilisateur est par exemple exploité pour permettre des connexions simples au travers de samba, dans un répertoire public.

mail peut écrire dans le répertoire /var/spool/mail

On voit d'ailleurs comment les répertoires spool sont agencés: 
# ls -l /var/spool
total 96
drwxr-xr-x 2 root   root   4096 oct 21 15:53 anacron
drwx------ 3 daemon daemon 4096 oct 21 15:34 at
drwxrwx--- 2 smmsp  smmsp  4096 oct 28 10:29 clientmqueue
drwx------ 2 root   root   4096 sep  5 14:14 cron
drwx--x--- 3 root   lp     4096 oct 25 19:51 cups
drwxr-xr-x 2 root   root   4096 oct 11 00:06 lpd
drwxrwxr-x 2 root   mail   4096 oct 21 15:54 mail
drwx------ 2 root   mail   4096 sep  5 15:27 mqueue
drwxr-xr-x 2 rpm    rpm    4096 sep  7 13:05 repackage
drwxrwxrwt 2 root   root   4096 sep  2 04:59 samba
drwxr-x--- 2 squid  squid  4096 oct  2 12:17 squid
drwxrwxrwt 2 root   root   4096 jui 19 17:25 vbox
Le répertoire mail est possédé par root et le groupe mail, auquel appartient mail, peut y écrire; les autres utilisateurs ne peuvent y écrire. Ainsi un utilisateur lambda ne pourra écrire directement (écrire dans le répertoire spool) mais devra passer par la médiation d'un autre utilisateur qui lui, pourra écrire dans le répertoire mais ne disposera d'aucun shell de connexion. Quiconque pourrait s'arroger les droits sur mail ne pourra donc exploiter ces droits pour se balader dans le système ...

Le même raisonnement peut être tenu pour l'impression (voir cups et lp). Aucun utilisateur (hors root) ne peut écrire directement dans le spool (pour imprimer) et passe par une médiation.

D'autres utilisateurs que les utilisateurs courants ou root doivent donc exister sur un système pour en permettre la mise en oeuvre de façon sécurisée.

Voilà, voilà.

Un tutorial s'impose de plus en plus, au vu de ce fil, pour expliquer certains mécanismes et éviter les affirmations non fondées ou mal qualifiées (au mieux).
Un tutorial s'impose de plus en plus, au vu de ce fil, pour expliquer certains mécanismes et éviter les affirmations non fondées ou mal qualifiées (au mieux).
Un tutoriel s'est surtout toujours impose pour les gens qui (comme moi) ne connaisse pratiquement rien et aimeraient apprendre.

Apres savoir lequel a raison, je vous avoue que j'en ai un peu rien a foutre, du moment que chacun y apprend quelque chose.

C'est quand meme etonnant -et surtout triste- de voir a quel point une discussion qui part en live pour "Ubuntu c mieu ke FC" est vite fermee en comparaison d'une discussion ou des gens d'une meme comunaute s'insultent a tout va... 🙁
Je suis franchement déçu par le manque de maturité dont vous faites preuve. Je ne pensait pas qu'il été possible de s'engueuler comme ça sur un forum (où du moins sur Fedora-fr) pour finir avec un joli:"on va faire un tuto ensemble!!!

Serieusement les gars, vous auriez pas pus faire ça par mail, ou au moins en plus cool. A l'heure où notre site est boostée par la sortie de FC6, on voit deux mecs en train de s'insulter... si on rajoute la discussion engagée contre Ubuntu, bel image pour le forum... je sui s même étonné qu'un modo n'y ai pas mis son nez pour calmer tous ça...
@herrib :plus lourd que toi on meurt !
$ type lp
/usr/bin/lp
$ ls -l /usr/bin/lp
lrwxrwxrwx 1 root root 26 sep 25 23:33 /usr/bin/lp -> /etc/alternatives/print-lp
$ ls -l /etc/alternatives/print-lp
lrwxrwxrwx 1 root root 16 oct  5 12:37 /etc/alternatives/print-lp -> /usr/bin/lp.cups
$ ls -l /usr/bin/lp.cups
-rwxr-xr-x 1 root root 17948 sep 23 01:18 /usr/bin/lp.cups
Te faut-il un dessin ?
Peu importe si t'as un groupe lp, ta commande appartient à ROOT ! alors qu'elle devrait appartenir à lp, c'était mon propos ! Non seulement t'es nul, en plus t'es hors sujet !

Pour mail, c'est pareil, la commande /bin/mail appartient à ROOT ! Ca ne préserve d'absolument RIEN de la faire appartenir au groupe mail, c'est au user mail qu'elle doit appartenir !!
Aucun utilisateur (hors root) ne peut écrire directement dans le spool (pour imprimer) et passe par une médiation.
"Hors root", eh oui mon gros, c'est la le problème !

J'en ai un peu marre, va faire piscine !

Fait croire ou laisse croire que t'es un crack...
Va parader sur les autres sites !
Tout ce que que tu veux.

Je n'ai qu'une chose à dire : en sécurité, t'es un gros nul !

J'attends de voir ton tuto... original j'espère, car compiler des commandes pompées à droite à gauche, tout le monde sait faire !

Va faire le beau auprès de ceux qui crois (encore?) en tes compétences, moi j'ai plus rien à prouver depuis longtemps déjà !

Et surtout ferme ta gueule quand t'es pas sûr.

Je te propose un truc : tu prends un parc, tu l'adminsitres comme tu viens de présenter tes idées sur la sécurité, et je tente de le craquer !

Si je réussi c'est que t'es une grosse m*** en sécurité (ce dont je ne doute plus) !

Si je ne réussi pas, je réviserai, peut-être, mon jugement (en fonction de ce que je trouverai) !

A bonne entendeur, salut !

Et pas de tuto avec un lourdo qui cherche à se sauver la face, va te planquer !
@cybervirem
je me fous complétement de savoir qui de toi ou herrib a raison, si vous voulez vous insulter FAITES LE EN PRIVÉ!!!
Vous êtes deux gamins qui se disputent : "C'est pas moi qui ai commencé, c'est l'autre, c'est pas ma faute à moi" Quand il y a une bagarre, qu'importe celui qui a commencé, les deux se battent.
@starmad88 : c'est mon âme de guerrier... 😉 et je ne supporte pas que des lourds assènent des contre vérités !

Ajout : peut-être est-il possible de déplacer ce thread dans le bistrot...
"Redacteurs Wiki", ce seraient pas ces gens super cales qui devraient nous apprndre plein de trucs et montrer l'exemple sur les forums ?
Pas nécessairement, la preuve :


<--------------------------------------------------


:hammer:
Ben quoi Yannick, pas d'enervement dans tes propos, pas d'insultes gratuites, un peu d'humour... Si si, tu confirme bien ce que j'ai dit plus haut, TOI... 😉
D'accord, mais est-ce que j'apprends quelque chose (à d'autres personnes), sinon ? :-D
Bizarre quand même que ça dérive autant pour une histoire qui n'aurait quand même pas dut arrivé!

Franchement? c'est pas vrai?
Je trouve rien de bizarre, c'est un combat de ring sur un sujet chaud, et sensible !
Bon, mes doigts ont un peu fourché... Mais bon, c'est pas moi qu'ai commencé... 😉

Cordialement

Ajout : pis ça change des réponses automatiques... 😉
Mais bon, c'est pas moi qu'ai commencé...
T'as raison defends-toi !

Surtout que le mechant herrib il fait rien qu'a t'embeter !

Tu as dit etre le doyen ? On dirait pas 🙁
@bochecha : y avait un clin d'oeil à la fin de mon "c'est pas moi..." , et doyen ça veut pas dire inerte ou modéré !-)
.
Bon une fois la tornade passée, là, explique moi calmement en quoi ca représente une brèche de sécurité çà, parce que je comprends pas du tout:

lrwxrwxrwx 1 root root 16 oct 5 12:37 /etc/alternatives/print-lp -> /usr/bin/lp.cups
$ ls -l /usr/bin/lp.cups
-rwxr-xr-x 1 root root 17948 sep 23 01:18 /usr/bin/lp.cups

on s'occupe pas des droits sur les liens qui n'ont pas de signification ok ? donc ce qui nous occupe c'est bien les droits sur l'exécutable
-rwxr-xr-x 1 root root 17948 sep 23 01:18 /usr/bin/lp.cups

Or partout les droits sur un processus sont ceux de celui qui a lancé la commande non ? donc si la commande est lancée par un user lambda, il n'hérite pas des droits root, il ne pourra pas pour autant aller écrire là où çà lui est interdit ok ? Dans le cas présent il va écrire dans une imprimante que laquelle il n'a que le droit d'usage, sans pouvoir modifier quoique ce soit aux règlages ou autres.

Il en irait tout différenmment si les droits étaient -rwsr-xr-x, car là le trou de sécurité serait béant avec le setuid.

Ou j'ai pas compris ?