- Modifié
A BlackDruid et novo009,
La question des impressions est une bonne illustration de la sécurité: il faut écrire dans un répertoire qui est bien protégé mais pour lequel un utilisateur lambda n'a pas les droits utiles. Si on lui confère les droits root, il bénéficierait ainsi de droits allant très au-delà de ce qui est nécessaire pour l'impression. On passe donc pas un utilisateur spécifique, ayant les droits sur le répertoire et sur ce répertoire seulement, et dont l'utilisateur hérite des droits. Et cet utilisateur spécifique n'a pas de shell de connexion en sorte que, si l'on invoque une connexion en son nom, on ne pourra rien en faire. Voilà pour le mécanisme.
La question au point de départ était: connexion en session graphique sous root. Puis elle a dévié en : il n'est pas nécessaire d'avoir un utilisateur root. Puis elle a obliqué encore sur le thème: sur un système bien administré, on n'a pas besoin de root voire d'autres utilisateurs que l'utilisateur principal. Puis elle a encore dévié ... Sans considérer les déclarations à l'emporte-pièce, les affirmations non étayées (cybervirem va maintenant expliquer comme depuis le net on peut voir que root est en session et accéder aux droits root) et j'en passe.
L'effet est effectivement assez négatif mais on ne doit pas supporter les approximations ou oukazes sans explication aucune.
Je regrette simplement d'avoir voulu expliquer pas à pas:
1- que le connexion en session graphique de root ne génère pas en soi de trou de sécurité supplémentaire mais ouvre un risque complémentaire, en particulier quand on utilise des logiciels tels que des navigateurs,
2- que la connexion sous root est quoi qu'il en soit nécessaire à l'administration d'un système et ne doit certainement être proscrite a priori,
3- que de toute façon, un utilisateur root existe ( l'ambiguité des propos tenus par cybervirem... allez, relisez, ça suffira)
4- que des mécanismes complexes sont mis en place pour éviter que des utilisateurs n'héritent de droits root pour certaines tâches (impression, mail sur un système ...) et puissent ainsi, de facto, bénéficier de droits exorbitants compte tenu de ce dont ils auraient effectivement besoin; d'où la création d'utilisateurs spécifiques et j'ai illustré avec l'impression.
Pour le reste, je ne tenterai pas d'expliquer à cybervirem que ses ls -l (sur un /dev ... ça ne signifie pas grand chose ....) ne prouvent rien. Un fichier -une ressource- peut appartenir à root mais cela ne dit certainement pas comment ce fichier peut être exploité. D'ailleurs, si l'on fait ls -l /bin/ls, on trouve:
-rwxr-xr-x 1 root root 93560 sep 28 14:32 /bin/ls
est-ce à dire qu'un utilisateur lambda ne peut pas lancer ls?
Il faut donc expliquer le détail des mécanismes de sécurité, posément et en comprenant préalablement comment cela fonctionne, sans asséner un fatras de têtes de chapitre sans développement .
Nota: pour SELinux. Je lis "Une commande malicieuse pourrait parfaitement, si pas de selinux, attaquer les .text ou .data du démon, par exemple... et tu lui fais faire autre chose à ton démon... qui est root !". D'abord, tous les daemons ne sont pas root fort heureusement (voir l'extrait du /etc/passwd qui montre des daemons ... non root); ensuite SELinux définit à grand trait des ressources pour des programmes. Si ces programmes sont pervertis, ils peuvent parfaitement agir sur leurs ressources sans que SELinux n'y voit rien à redire. Par contre, ils seront confinés et c'est l'apport de SELinux. Voici, de façon rapide, une illustration d'une affirmation mal étayée ... dont un tutorial ne devrait pouvoir s'accommoder.
Je ne répondrai pas à cybervirem, en l'état de ses motivations et quelles que soient ses éructations (les spécimens sont visibles un peu plus haut). Par contre, je répondrai volontiers aux demandes de précisions et remarques de ceux qui ont pris la peine d'argumenter ou questionner.
La question des impressions est une bonne illustration de la sécurité: il faut écrire dans un répertoire qui est bien protégé mais pour lequel un utilisateur lambda n'a pas les droits utiles. Si on lui confère les droits root, il bénéficierait ainsi de droits allant très au-delà de ce qui est nécessaire pour l'impression. On passe donc pas un utilisateur spécifique, ayant les droits sur le répertoire et sur ce répertoire seulement, et dont l'utilisateur hérite des droits. Et cet utilisateur spécifique n'a pas de shell de connexion en sorte que, si l'on invoque une connexion en son nom, on ne pourra rien en faire. Voilà pour le mécanisme.
La question au point de départ était: connexion en session graphique sous root. Puis elle a dévié en : il n'est pas nécessaire d'avoir un utilisateur root. Puis elle a obliqué encore sur le thème: sur un système bien administré, on n'a pas besoin de root voire d'autres utilisateurs que l'utilisateur principal. Puis elle a encore dévié ... Sans considérer les déclarations à l'emporte-pièce, les affirmations non étayées (cybervirem va maintenant expliquer comme depuis le net on peut voir que root est en session et accéder aux droits root) et j'en passe.
L'effet est effectivement assez négatif mais on ne doit pas supporter les approximations ou oukazes sans explication aucune.
Je regrette simplement d'avoir voulu expliquer pas à pas:
1- que le connexion en session graphique de root ne génère pas en soi de trou de sécurité supplémentaire mais ouvre un risque complémentaire, en particulier quand on utilise des logiciels tels que des navigateurs,
2- que la connexion sous root est quoi qu'il en soit nécessaire à l'administration d'un système et ne doit certainement être proscrite a priori,
3- que de toute façon, un utilisateur root existe ( l'ambiguité des propos tenus par cybervirem... allez, relisez, ça suffira)
4- que des mécanismes complexes sont mis en place pour éviter que des utilisateurs n'héritent de droits root pour certaines tâches (impression, mail sur un système ...) et puissent ainsi, de facto, bénéficier de droits exorbitants compte tenu de ce dont ils auraient effectivement besoin; d'où la création d'utilisateurs spécifiques et j'ai illustré avec l'impression.
Pour le reste, je ne tenterai pas d'expliquer à cybervirem que ses ls -l (sur un /dev ... ça ne signifie pas grand chose ....) ne prouvent rien. Un fichier -une ressource- peut appartenir à root mais cela ne dit certainement pas comment ce fichier peut être exploité. D'ailleurs, si l'on fait ls -l /bin/ls, on trouve:
-rwxr-xr-x 1 root root 93560 sep 28 14:32 /bin/ls
est-ce à dire qu'un utilisateur lambda ne peut pas lancer ls?
Il faut donc expliquer le détail des mécanismes de sécurité, posément et en comprenant préalablement comment cela fonctionne, sans asséner un fatras de têtes de chapitre sans développement .
Nota: pour SELinux. Je lis "Une commande malicieuse pourrait parfaitement, si pas de selinux, attaquer les .text ou .data du démon, par exemple... et tu lui fais faire autre chose à ton démon... qui est root !". D'abord, tous les daemons ne sont pas root fort heureusement (voir l'extrait du /etc/passwd qui montre des daemons ... non root); ensuite SELinux définit à grand trait des ressources pour des programmes. Si ces programmes sont pervertis, ils peuvent parfaitement agir sur leurs ressources sans que SELinux n'y voit rien à redire. Par contre, ils seront confinés et c'est l'apport de SELinux. Voici, de façon rapide, une illustration d'une affirmation mal étayée ... dont un tutorial ne devrait pouvoir s'accommoder.
Je ne répondrai pas à cybervirem, en l'état de ses motivations et quelles que soient ses éructations (les spécimens sont visibles un peu plus haut). Par contre, je répondrai volontiers aux demandes de précisions et remarques de ceux qui ont pris la peine d'argumenter ou questionner.
