C
cybervirem

  • 20 mars 2018
  • Inscrit 5 oct. 2006
  • 0 meilleure réponse
  • Rédacteur wiki Petit nouveau Adepte du forum Rédacteur potentiel
  • par défaut, en strict,
    NON ! en targeted, strict n'est dispo qu'en rpm à yumer ! Au moins avec FC5 !
  • non, non pas affligeant... ça compte ! Pas d'ma faute si t'es hors course !
  • Hi,
    Je pense que ce condensé de remarques résume hélas une démarche qui finit par discréditer les forums.
    1, faut être au moins 2 ; 2, ça ne discrédite en rien !

    Quant à tes tutos, tout à ton honneur... mais ce sont quand des sujets hyper fastoches, surtout à compiler !

    Je te laisse répondre à un posts au sujet de SELinux... je reviens ce soir !

    Cordialement <--- nouvelle journée, nouvelles bases ?...
  • Hi,

    fais ;
    fdisk -l
    comme précisé pour savoir quel le disque qui t'intéresse

    Cordialement
  • Un des devoirs et de dire les choses ! Ce herrib est vraiment trop nul :

    Je rappelle que le fond concerne la connexion root et l'intégrité du système. Je dis qu'il n'y a pas d'intégrité si la connexion root est autorisée. En outre, le débat concerne ici des systèmes connectés en permanence à l'internet... et quand on voit /bin/bash pour root dans /etc/passwd... je rigole !

    Reprenons donc le dernier post ce herrib qui tente de se réfugier derrière l'éloquence :
    D'abord, tous les daemons ne sont pas root fort heureusement
    Hors sujet et sans rapport ! Quelqu'un a dit le contraire ?
    ensuite SELinux définit à grand trait des ressources pour des programmes. Si ces programmes sont pervertis, ils peuvent parfaitement agir sur leurs ressources sans que SELinux n'y voit rien à redire. Par contre, ils seront confinés
    C'est exactement ce que je disais...
    S'il avait appartenu à lp, groupe lp... tu peux faire la même chose mais tu ne gagnes que l'identité lp...
    ...en une ligne ! Entre culture et confiture... J'ai choisi !
    Pour le reste, je ne tenterai pas d'expliquer à cybervirem que ses ls -l (sur un /dev ... ça ne signifie pas grand chose ....) ne prouvent rien.
    bin essaie d'écrire dans ta ressource sans passer par lp, genre cat >...
    1- que le connexion en session graphique de root ne génère pas en soi de trou de sécurité supplémentaire mais ouvre un risque complémentaire, en particulier quand on utilise des logiciels tels que des navigateurs,
    J'ai pas bien vu où t'as voulu dire ça... Toujours temps de te ratrapper !
    2- que la connexion sous root est quoi qu'il en soit nécessaire à l'administration d'un système et ne doit certainement être proscrite a priori,
    La connexion root doit être proscrite ! au profit d'un EUID, c'est un minimum ! La configuration d'un système doit être faite en amont de la livraison pour un public non averti ou d'entreprise ! Une fois configuration et stabilisation opérées, le compte root doit etre désactivé ! La liberté de vivre internet et d'entreprendre sans être agressé informatiquement est à ce prix !
    4- que des mécanismes complexes sont mis en place pour éviter que des utilisateurs n'héritent de droits root pour certaines tâches (impression, mail sur un système ...) et puissent ainsi, de facto, bénéficier de droits exorbitants compte tenu de ce dont ils auraient effectivement besoin; d'où la création d'utilisateurs spécifiques et j'ai illustré avec l'impression.
    Blablabla blablabla... le pauvre, il parle sécurité sans avoir entendu parler de root kit, de dérivation des vecteurs d'interruptions, des processus masqués, etc. etc. Sache mon pauvre ami, que, par exemple, chaque système anti-virus arrive avec son lot d'outils spécifiquement conçus pour contourner ces "mécanismes complexes"...
    D'ailleurs, si l'on fait ls -l /bin/ls, on trouve:

    -rwxr-xr-x 1 root root 93560 sep 28 14:32 /bin/ls

    est-ce à dire qu'un utilisateur lambda ne peut pas lancer ls?
    Encore hors sujet ! A moins que tu aies trouvé un démon lsd sur ton système, t'es sur une bonne piste cette fois : pas de faille !
    Je ne répondrai pas à cybervirem, en l'état de ses motivations et quelles que soient ses éructations (les spécimens sont visibles un peu plus haut). Par contre, je répondrai volontiers aux demandes de précisions et remarques de ceux qui ont pris la peine d'argumenter ou questionner.
    J'ai pas d'image à réhausser, moi ! J'espère simplement avoir montré que tu ne vaux rien en sécurité et que tes conseils ne s'appliquent qu'à un seul public : les profanes (au sens latin, puisque cette culture ne semble pas t'échapper) !

    Je suis bien curieux de savoir où tu as administré, combien de machine, quoi, et surtout combien de temps ils t'ont gardé.... Ose donc nous le dire pour voir, si tant est que tu aies une vraie expérience de l'informatique.

    Par ailleurs, ici tout le monde s'est présenté (ou presque) dans "A part Fédora", sauf toi. Je dis sauf toi car tu t'es permis d'entervenir, mais sans jouer le jeu... en étant toujours hors sujet du thread. C'est plus un scoop : t'es coutumier du hors sujet, faudra s'y faire !

    Que tu aies honte de ce que tu es, je compatis, que tu complexes quant à ton ignorance, libre à toi, mais la prochaine fois, essaie de lire entre les lignes au lieu de rester assis sur des ruines !

    Tu disais ce forum très largement, tant mieux !-))) Tu crois qu'il vont aussi voir que tu fais le coq ailleurs ?
    Et qu'en une seule intervention de ta part ce matin, un posteur n'a plus retrouvé ses données...

    Et pour finir, et encore une fois, à propos de la réthorique de l'éloquence, laisse-moi rigoler !

    Ajout : PS : 'faudrait p't'être vraiment déplace ce thread vers le bistrot....
  • @Temet : bof, j'aime bien le Hi, Cordialement...

    @herrib : toujours n'importe quoi, hors sujet, long et qui ne veut rien dire ! On t'a pas demandé de faire une intro sur l'admin ni ton mea culpa. Je te dis simplmenet que la sécurité n'est pas à ta portée et sur un système bien configuré ls appartient à wheel par exemple ! J'attends de voir ton tuto histoire de rigoler... N'oublie pas, c'est quand tu veux, tu fais l'admin et je fais le pirate... en réseau local bien sûr... Tu veux pas jouer histoire de vraiment montrer tes compétences ? Par exemple, lors d'une install partie, un petit stand pour interesser les grands...
  • @nouvo09 :

    Déjà fais :
    ls -l /usr/sbin/cupsd
    -rwxr-xr-x 1 root root 364456 sep 23 01:18 /usr/sbin/cupsd
    quand tu fais
    ls -l /dev/lp0
    crw-rw---- 1 root lp 6, 0 oct 28 08:00 /dev/lp0
    
    ls -l /usr/bin/lp.cups
    -rwxr-xr-x 1 root root 17948 sep 23 01:18 /usr/bin/lp.cups
    Pour moi cups est un mauvais exemple, je ne peux pas tester... 0 papier depuis longtemps 😉

    T'imagines néanmoins aisément que c'est pas avec une identité lambda que tu vas écrire sur /dev/lp0...

    En outre, le sujet était de gagner l'identité root et les risques liés.

    Une commande malicieuse pourrait parfaitement, si pas de selinux, attaquer les .text ou .data du démon, par exemple... et tu lui fais faire autre chose à ton démon... qui est root !

    S'il avait appartenu à lp, groupe lp... tu peux faire la même chose mais tu ne gagnes que l'identité lp...

    Bon 'chais pas si c'est clair, plus le temps de relire... peut-être ce soir

    Cordialement
  • @bochecha : y avait un clin d'oeil à la fin de mon "c'est pas moi..." , et doyen ça veut pas dire inerte ou modéré !-)
  • Hi,

    Commande find à taper :
    find / -name truc'*'.tr'*'
    les * entre simples quotes pour protéger de l'interprétation du shell

    Ajout : faut être root pour faire ça...

    Cordialement
  • Hi,
    "avertissement le lien hard seLinux doit etre erroné ou une option -noagl est activee automatiquement... "
    Désactive selinux, il ne retrouve pas ses billes (manque une relabellisation) :
    $ system-config-securitylevel
    Dans l'onglet selinux, tu désactives

    Cordialement
  • Je trouve rien de bizarre, c'est un combat de ring sur un sujet chaud, et sensible !
    Bon, mes doigts ont un peu fourché... Mais bon, c'est pas moi qu'ai commencé... 😉

    Cordialement

    Ajout : pis ça change des réponses automatiques... 😉
  • @nouvo09 :
    C'est pour cela que je pense qu'il ne faut pas démarrer en mode graphique.
    Et hop, une p'tite couche... 😉

    Cordialement
  • Hi,

    ici un petit panorama des possibilités libres et commerciakes (en suivant les liens)

    cordialement
  • Hi,

    C'est quoi une aoolication, même en corrigeant une faute de frappe, je ne comprends pas...

    Cordialement
  • @starmad88 : c'est mon âme de guerrier... 😉 et je ne supporte pas que des lourds assènent des contre vérités !

    Ajout : peut-être est-il possible de déplacer ce thread dans le bistrot...