riri wrote:j'ai toujours pas la réponse...
bon je vais formater en attendant
et peut être qu'après la réponse sera poster...
je ne veux pas un débat :
je veux seulement retrouver mon root
comme j'y étais lors de ma première installation
la psycho philo info m'ennuie
et si quelqu'un peut me dire (comme la première réponse)
comment m'y connecter je serais content et je continuerais peut être fc6
sinon je retournerais en sudo sous edgy
à la longue on s'y fait
SI TU UTISLISE GDMSETUP!
birdel mais faut le dire combiens de fois???
Je reste sans voix ....
Pas possible ! quelqu'un de sérieux t'expliquera qu'une fois le système installé... root n'est plus indispensable, si la politique de sécurité et les polices qui vont avec ont été correctement établies !
L'installation des rpm, la création des utilisateurs, les sauvegardes système, la gestion éventuelle des quotas .... à chaque fois, "root est indispensable" (je frémis d'écrire une telle banalité). Sans parler de la gestion des ressources déléguées par root aux utilisateurs (réseaux par exemple).

Je crois réellement utile d'entreprendre un tutorial qui pose les notions de sécurité de base et d'administration d'un système, avec application au cas de Fedora.

On aura alors progressé et je ne doute que notre ami de 30 ans quittera son état de borgne et aveugle pour mieux apprécier Fedora et respecter les quelques utilisateurs qui postent des questions sur ce forum (c'était d'ailleurs le point de départ; j'espère que riri, qui s'est fait étriller de façon éhontée, aura obtenu réponse à ses questions).
Bonjour Nouvo9,

Je pense entreprendre un tutorial, pour FC6, concernant la sécurité, qui visera à:

* poser les règles de base (et notamment décrire la logique de la sécurité sous Linux et les ajouts par Fedora -SELinux en particulier; ce sera synthétique et des liens seront proposés pour qui souhaiterait approfondir)
* proposer quelques règles complémentaires pour réduire les risques: les clés pour les rpm, les cas d'utilisation de root les risques associés;
* recommander certains réglages (pare feu par exemple).

La succession de messages fait effectivement un peu désordre mais au point de départ, il y avait une question utilisateur et des réponses abruptes et peu éclairées (concernant la connexion graphique ...).

Pour le tutorial, j'ai lancé quelques sondes vers des posteurs réguliers et pondérés.

A plus.
Hi,
Celà dit, je crois plus en la pédagogie et la prévention que sur l'interdiction.
C'est ce que j'ai longtemps cru... Force est de constater aujourd'hui que l'ingénierie sociale peut être perpétrée très efficacement... Se protéger des attaques externes, on sait faire depuis belle lurette, se protéger de l'interne est beaucoup plus difficile, voire impossible sans système d'authentification digne de ce nom !
Le meilleur moyen est de limiter les actions aux stricts droits nécessaires pour administrer un domaine.

L'administrateur système est devenu secondaire (sans connotation péjorative) par rapport à l'administrateur de sécurité. Le rôle de se dernier est de valider qu'aucun admin système ne peut attenter à l'intégrité des données, d'une manière ou d'une autre.

NB un admin de sécurité, n'est pas un admin système... il s'occupe "simplement" de pondre des règles de sécurité, de les compiler et de les mettre en oeuvre... Si un admin système a un besoin, il en réfère à l'admin secu qui modifiera les règles le cas échéant.

Malheuresement, Fédora est livrée avec tout appartenant à root groupe root...
ça n'est pas grave tant qu'on ne la retrouve pas dans les sociétés... ça n'est pas le cas...

Cordialement
@herrib :
* poser les règles de base (et notamment décrire la logique de la sécurité sous Linux et les ajouts par Fedora -SELinux en particulier;
'chuis dessu aussi, on peut peut-être bosser ensemble... Encore faut-il avoir les sources des règles proposées dans FC... ça n'est pas le cas...

Ajout : et en plus seul targeted et livré de base, pour strict, il faut se débrouillé tout seul...

Cordialement
cybervirem wrote:Hi, Malheuresement, Fédora est livrée avec tout appartenant à root groupe root...
ça n'est pas grave tant qu'on ne la retrouve pas dans les sociétés... ça n'est pas le cas...
Cordialement
Pas vraiment. Des groupes et utilisateurs spécifiques sont créés par défaut. Mais bon ...
@herrib : des groupes et user spécifiques, oui,oui mais qui ne sont pas utilisés...
Mais si, regarde bien la liste: lp; halt, ...
je persiste et signe : aucune utilisation des groupes et users : fais ls -l /usr/bin et suis les liens /etc/alter*
.
A vous lire, je constate que vous êtes d'accord, alors si vous mettez autant d'énergie à pondre un beau tuto (non, ce n'est pas le pluriel de tutal, dsl) sur la sécurité que vous en avez mis a bastonner, les users de ce site auront un modèle de référence.
oui,oui j'aime bien les actions/ouvrage de référence... pas les choses synthétiques... Et pan, sur le nez !...

SELinux, est très bien conçu mais, comme tu disais si bien, un yum install neurones est plus que nécessaire

Bon, retour ce soir, on part jouer avec le vent, ici, il fait super beau et ça souffle un peu...

Cordialement
Bonjour tout le monde
moi je suis un novice donc je ne pourrai pas dire les pour et les contres
mais je crois que si la personne demande à se connecter en root c est son droit ,la mise en garde lui a été
donné normale s il passe outre c est également son choix .
Apres ce qu il lui arrive tant pis pour lui il aura été avertit mais on doit en aucun cas dire NON car un forum
est lieu d aide , d explication, d echange de savoir etc... et je pense que c est le but premier d'un forum.
@+

ps:je ne juge personne je vous rassure d autant plus que je suis jeune sur ce forum en tant qu enregistrer
par contre je le suis depuis la sortie de FC5 et c est ici que ma FC5 fonctionne à merveille grace à vous tous
que cela continue dans la joie et la bonne humeur
cybervirem wrote:je persiste et signe : aucune utilisation des groupes et users : fais ls -l /usr/bin et suis les liens /etc/alter*
erent

Les liens pour alternatives ne démontrent rien et ne sont pas directement liés à la sécurité mais à la gestion de différents programmes (par exemple, on va choisir la version de java qui s'exécutera à l'invocation de java. Dans le tutorial sur java, alternatives est utilisé). Il faut lire le man alternatives pour mieux comprendre le mécanisme.

Les utilisateurs et groupes créés par défaut permettent de mettre en oeuvre des mécanismes de sécurité. Illustration brêve à partir d'un extrait de /etc/passwd
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rpm:x:37:37::/var/lib/rpm:/sbin/nologin
avahi:x:70:70:Avahi daemon:/:/sbin/nologin
rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
On créé un utilisateur nobody, qui n'a pas de shell de connexion. Si un utilisateur se connecte sous le compte nobody, il ne pourra exploiter un shell. Cet utilisateur est par exemple exploité pour permettre des connexions simples au travers de samba, dans un répertoire public.

mail peut écrire dans le répertoire /var/spool/mail

On voit d'ailleurs comment les répertoires spool sont agencés: 
# ls -l /var/spool
total 96
drwxr-xr-x 2 root   root   4096 oct 21 15:53 anacron
drwx------ 3 daemon daemon 4096 oct 21 15:34 at
drwxrwx--- 2 smmsp  smmsp  4096 oct 28 10:29 clientmqueue
drwx------ 2 root   root   4096 sep  5 14:14 cron
drwx--x--- 3 root   lp     4096 oct 25 19:51 cups
drwxr-xr-x 2 root   root   4096 oct 11 00:06 lpd
drwxrwxr-x 2 root   mail   4096 oct 21 15:54 mail
drwx------ 2 root   mail   4096 sep  5 15:27 mqueue
drwxr-xr-x 2 rpm    rpm    4096 sep  7 13:05 repackage
drwxrwxrwt 2 root   root   4096 sep  2 04:59 samba
drwxr-x--- 2 squid  squid  4096 oct  2 12:17 squid
drwxrwxrwt 2 root   root   4096 jui 19 17:25 vbox
Le répertoire mail est possédé par root et le groupe mail, auquel appartient mail, peut y écrire; les autres utilisateurs ne peuvent y écrire. Ainsi un utilisateur lambda ne pourra écrire directement (écrire dans le répertoire spool) mais devra passer par la médiation d'un autre utilisateur qui lui, pourra écrire dans le répertoire mais ne disposera d'aucun shell de connexion. Quiconque pourrait s'arroger les droits sur mail ne pourra donc exploiter ces droits pour se balader dans le système ...

Le même raisonnement peut être tenu pour l'impression (voir cups et lp). Aucun utilisateur (hors root) ne peut écrire directement dans le spool (pour imprimer) et passe par une médiation.

D'autres utilisateurs que les utilisateurs courants ou root doivent donc exister sur un système pour en permettre la mise en oeuvre de façon sécurisée.

Voilà, voilà.

Un tutorial s'impose de plus en plus, au vu de ce fil, pour expliquer certains mécanismes et éviter les affirmations non fondées ou mal qualifiées (au mieux).
Un tutorial s'impose de plus en plus, au vu de ce fil, pour expliquer certains mécanismes et éviter les affirmations non fondées ou mal qualifiées (au mieux).
Un tutoriel s'est surtout toujours impose pour les gens qui (comme moi) ne connaisse pratiquement rien et aimeraient apprendre.

Apres savoir lequel a raison, je vous avoue que j'en ai un peu rien a foutre, du moment que chacun y apprend quelque chose.

C'est quand meme etonnant -et surtout triste- de voir a quel point une discussion qui part en live pour "Ubuntu c mieu ke FC" est vite fermee en comparaison d'une discussion ou des gens d'une meme comunaute s'insultent a tout va... 🙁
Je suis franchement déçu par le manque de maturité dont vous faites preuve. Je ne pensait pas qu'il été possible de s'engueuler comme ça sur un forum (où du moins sur Fedora-fr) pour finir avec un joli:"on va faire un tuto ensemble!!!

Serieusement les gars, vous auriez pas pus faire ça par mail, ou au moins en plus cool. A l'heure où notre site est boostée par la sortie de FC6, on voit deux mecs en train de s'insulter... si on rajoute la discussion engagée contre Ubuntu, bel image pour le forum... je sui s même étonné qu'un modo n'y ai pas mis son nez pour calmer tous ça...
@herrib :plus lourd que toi on meurt !
$ type lp
/usr/bin/lp
$ ls -l /usr/bin/lp
lrwxrwxrwx 1 root root 26 sep 25 23:33 /usr/bin/lp -> /etc/alternatives/print-lp
$ ls -l /etc/alternatives/print-lp
lrwxrwxrwx 1 root root 16 oct  5 12:37 /etc/alternatives/print-lp -> /usr/bin/lp.cups
$ ls -l /usr/bin/lp.cups
-rwxr-xr-x 1 root root 17948 sep 23 01:18 /usr/bin/lp.cups
Te faut-il un dessin ?
Peu importe si t'as un groupe lp, ta commande appartient à ROOT ! alors qu'elle devrait appartenir à lp, c'était mon propos ! Non seulement t'es nul, en plus t'es hors sujet !

Pour mail, c'est pareil, la commande /bin/mail appartient à ROOT ! Ca ne préserve d'absolument RIEN de la faire appartenir au groupe mail, c'est au user mail qu'elle doit appartenir !!
Aucun utilisateur (hors root) ne peut écrire directement dans le spool (pour imprimer) et passe par une médiation.
"Hors root", eh oui mon gros, c'est la le problème !

J'en ai un peu marre, va faire piscine !

Fait croire ou laisse croire que t'es un crack...
Va parader sur les autres sites !
Tout ce que que tu veux.

Je n'ai qu'une chose à dire : en sécurité, t'es un gros nul !

J'attends de voir ton tuto... original j'espère, car compiler des commandes pompées à droite à gauche, tout le monde sait faire !

Va faire le beau auprès de ceux qui crois (encore?) en tes compétences, moi j'ai plus rien à prouver depuis longtemps déjà !

Et surtout ferme ta gueule quand t'es pas sûr.

Je te propose un truc : tu prends un parc, tu l'adminsitres comme tu viens de présenter tes idées sur la sécurité, et je tente de le craquer !

Si je réussi c'est que t'es une grosse m*** en sécurité (ce dont je ne doute plus) !

Si je ne réussi pas, je réviserai, peut-être, mon jugement (en fonction de ce que je trouverai) !

A bonne entendeur, salut !

Et pas de tuto avec un lourdo qui cherche à se sauver la face, va te planquer !
@cybervirem
je me fous complétement de savoir qui de toi ou herrib a raison, si vous voulez vous insulter FAITES LE EN PRIVÉ!!!
Vous êtes deux gamins qui se disputent : "C'est pas moi qui ai commencé, c'est l'autre, c'est pas ma faute à moi" Quand il y a une bagarre, qu'importe celui qui a commencé, les deux se battent.