rootless linux - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 24-03-2004 à 16:12:40
et ton sys devient inutilisable ensuite si tu as un pb.
tu peux désactiver su ( voir d"ésinstaller ) su pour qu'il ne laisse pas passer en root ou seuleme,nt ceux du groupe wheel.
tu peux faire en sorte ke root ne puisse se connecter directement. Mais sans user root tu ne pourra plus faire grand chose ... comme installer des logiciels ou modifier le système ...
Marsh Posté le 24-03-2004 à 16:13:35
et pourquoi ? (simple curiosité)
Marsh Posté le 24-03-2004 à 16:26:17
euh commenter la ligne root dans shadow ne suffit pas a empecher quelqu'un (de malintentionné) de se logger en root ...
cf bugs kernel et compagnie
Marsh Posté le 24-03-2004 à 17:07:51
J'aimerais avoir un serveur web sans compte utilisateur... J'ai supprimé /etc/passwd et /etc/shadow. Y'a t il un autre moyen plus propre ???
Marsh Posté le 24-03-2004 à 17:10:26
hou la vache
le fichier bzImage me prend de la place, je l'ai supprimé
Marsh Posté le 24-03-2004 à 17:12:05
c'est quoi l'intéret sérieux ? il te suffit de mettre un bon mot de passe, empêcher la connexion directe en root par ssh, et voilà ... ton système tient déjà la root, après si tu as des utilisateurs qui veulent perdre leur temps avec su ...
Marsh Posté le 24-03-2004 à 17:25:26
mon système tourne tres bien sans que root puisse se logger. biensur, mon sudoers marche bien aussi. donc, vous pouvez continuer à vous moquer de moi si ca vous chante.
l'interet??? je suis sur que les gars de chez apple doivent avoir un discours qui tient, comme ceux qui font du bsd. le mien est que personne ne se loge dessus en root, c'est tout.
parmi les utilisateurs cilbés
le sav
les prestats
les partenaires
les clients
les partenraires des prestas
les admin applicatifs
ca fait du monde. et ils m'inquietent plus que les soidisants "hackers".
biensur, un bon peut se debrouiller autrement...via sudo par exemple. il fera ce qu'il veut meme sans passer root.
donc, s'il y a pas de réponse à ma question, et bien tant pi. merci qd meme pour votre aide
Marsh Posté le 24-03-2004 à 17:28:09
ok : la solution -> ne pas leur donner le mot de passe root
Marsh Posté le 24-03-2004 à 17:30:13
OUPS ... erreur de post
Marsh Posté le 24-03-2004 à 17:30:42
becket a écrit : Si quelqu'un à un serveur FTP ouvert 24h/24 et avec une bonne bande passante, je peut lui uploader la version du CEBIT |
Marsh Posté le 24-03-2004 à 17:30:51
becket a écrit : Si quelqu'un à un serveur FTP ouvert 24h/24 et avec une bonne bande passante, je peut lui uploader la version du CEBIT |
j'ai loupé quelque chose ?
Marsh Posté le 24-03-2004 à 17:42:21
Des soluces pour empêcher au root d'accéder au système :
- lui interdire l'accès aux consoles :
éditer le fichier /etc/securetty et commenter les lignes relatives à tty
- plus de su (bourrin) :
virer la commande su (dans /bin) ou changer son nom
Marsh Posté le 24-03-2004 à 17:47:00
ouai bon, y a erreur de post.
au fait, y a abus de langage, c'est pas rootless, puisque le compte root existe, juste qu'il peut pas se loger c'est tout.
en effet, on ne donne pas le passe root à n'importe qui...
mais l'experience montre qu'un jour ou l'autre, le passe root fini par atterir sur un postit chez un presta étranger, d'un presta espagnole payé par notre presta francais.............
ou alors, le sav fini pas l'avoir par le biais de l'admin applicatif, qui l'a grace au client, qui n'est personne d'autre que le frangin de l'admin systeme.... le changement de passe peut résoundre ce probleme, mais l'experience montre qu'il fini par agacer tout le monde, y compris les admins. dans une structure de plus miliers de serveurs et de clients, il faut une politique plus radicale.
j'ai pensé à ca... avec sudo... et un script qui fait sudo sans que je tape sudo avant. mon script controle ce que je tape. par exemple, je m'interdi de rebooter une machine distante. ce serait dommage que je reboote le serveur en prod à 500 bornes de mon bureau.
donc, le etrangers devant faire des commandes root, doivent s'adresser à moi impérativement pour que je les declarer dans sudo. une fois que leur boulot terminé, je rechanger sudo et ils ne pourront plus jamais revenir. le changement se fait bien sur grace à un script perl démarré en crontab... il a interet à se depecher de finir son taf. sil casse le système, je suis CONTRACTUELLEMENT protégé,
enfin, c'cest qu'une idée de nubi comme une autre. si vous en avez de meilleures, je les veux bien.
Marsh Posté le 24-03-2004 à 17:50:39
Si tu as un serveur tout bien configurer et que tu veux plus jamais rien mettre à jour à la limite mais le truc qui m'inquiet surtout c'est que si il y a une methode pour enpecher de se logger en root cette methode doit être faites avec les droit admin et donc irréversible
Marsh Posté le 24-03-2004 à 17:53:58
La methode peut etre serais que seul toi connaisse le mot de passe root et les autres admins tu leurs donne des droits supérieurs à des utilisateurs normaux mais pas suffisant pour toucher aux parties que tu juges critiques ou alors à leurs domaine.
Marsh Posté le 24-03-2004 à 17:54:15
C'est sûr, faut savoir ce qu'on fait...
Ce genre de sécurité paranoïaque reste ce qu'il y a de plus efficace, mais au risques et périls de l'admin.
Marsh Posté le 24-03-2004 à 17:54:49
et tu te dis pas que y a quand même besoin du mot de passe root pour administer justement ? c'est parce que les gens a qui tu le donne sont cons comme des manches à balets; qu'il faut pour autant.
je pense qu'il faut juste une meilleure organisation humaine, t'auras __toujours__ besoin de te logger en root, même si c'est rarement et brièvement ... maintenant si t'as besoin d'un garde fou parce que t'as peur de taper 'reboot' par hasard, je crois que le problème est ailleurs.
je comprends pas, c'est toi l'admin et pourtant d'autre gens ont besoin d'avoir des droits root ou d'exécuter suffisement de chose avec sudo pour que ça soit compliqués ... y a un problème là.
"donc, le etrangers devant faire des commandes root," heink ?
Marsh Posté le 24-03-2004 à 18:02:11
je suis seul sur ma machine mais le seul truc que je fais en root c'est :
apt-get update && apt-get dist-upgrade -u
c'est tout
Marsh Posté le 24-03-2004 à 18:03:34
je met à jour via sudo,
sudo apt-get update && apt-get install machinchoses
par exemple. enfin bon. je suis admin oui. mais....... les dev ont besoin des fois de root pour niker un prosses qui merde, le sav pour voir ifconfig, admin applicatif pour voir la table de routage. je pense leur attribuer des groupes d'acces via sudoers ( tres puissant).
de toute facon, comment ils font les mecs sous BSD ou MAC sans un compte root logable???
c'est une question.
Marsh Posté le 24-03-2004 à 18:05:24
fFluFf a écrit : je suis seul sur ma machine mais le seul truc que je fais en root c'est : |
sudo
Marsh Posté le 24-03-2004 à 18:05:31
aah ben voila, dans ce cas,
sudo apt-get update && apt-get dist-upgrade -u
et voila, tu casse pas grand chose comme ca. de toute facon, sous mac, je m'appercois que.... se loger en root n'est pas util. je me trompte?
Marsh Posté le 24-03-2004 à 18:07:39
theplayer92 a écrit : je met à jour via sudo, |
justement non, des paquets foireux ou la nécessité de configurer le logiciel ont besoin de droits root complet
ça me parait dangeureux de laisser ça comme permission justement
theplayer92 a écrit : |
ça ça arrive une fois par an
theplayer92 a écrit : |
rien à voir, tout le monde peut voir ifconfig
theplayer92 a écrit : |
pareil, tout le monde le peux
theplayer92 a écrit : je pense leur attribuer des groupes d'acces via sudoers ( tres puissant). |
sous MAC tout est configurable sans rien. sous BSD, on peut se connecter en root sans problème pour les taches classiques (je vois pas de quoi tu parles)
Marsh Posté le 24-03-2004 à 18:07:58
black_lord a écrit : |
oui mais non. ( trop facil )
Marsh Posté le 24-03-2004 à 18:09:17
utilises sudo et fait un alias.
alias ifconfig `sudo /sbin/ifconfig`
quand il tape ifconfig en tant qu'utilsateur, cela le lance en tant ke root ( je prends le cas où il le lance sans MDP ).
Avec SUDO et Set-Uid tu devrasi pouvoir faire ce k'il faut.
Mieux, tu peux faire des commandes persos Set-Uid mais ki ne font qu'une chose.
pour BSD ( et Mac OS X ki est issue de BSD ) le système est fait pour le supporter, pas linux
Marsh Posté le 24-03-2004 à 18:31:02
Ayez un pensé pour les windowsiens qui ont un administrateur sur leur XP qui a autant de droits qu'un utilisateur lambda d'un système linux.
Marsh Posté le 24-03-2004 à 18:31:05
je vois pas le besoin d'avoir des droits particulier
benoit@athlon >>> /sbin/ifconfig && /sbin/route |
Marsh Posté le 24-03-2004 à 19:06:41
ça doit dépendre des distros et y'a ceux qui ont pas /sbin dans leur path.
Marsh Posté le 24-03-2004 à 19:28:00
mirtouf a écrit : ça doit dépendre des distros et y'a ceux qui ont pas /sbin dans leur path. |
ben sous redhat, tu as même pas le sbin dans ton path root à la base alors ...
Marsh Posté le 24-03-2004 à 19:37:59
Taz a écrit : ben sous redhat, tu as même pas le sbin dans ton path root à la base alors ... |
Ah ?
Et pourquoi ça ?
Marsh Posté le 24-03-2004 à 19:38:11
et c'est pas plus mal de pas avoir sbin dans son path user
Marsh Posté le 24-03-2004 à 19:41:07
black_lord a écrit : et c'est pas plus mal de pas avoir sbin dans son path user |
c'est surtout que ça sert quasiment à rien
Marsh Posté le 24-03-2004 à 19:50:51
oui, enfin c'est à dire aux commandes qui demandent des capacités spécifiques si on veut faire quelque chose avec.
Marsh Posté le 24-03-2004 à 19:56:09
Taz a écrit : oui, enfin c'est à dire aux commandes qui demandent des capacités spécifiques si on veut faire quelque chose avec. |
A oui, il y a quand même une petite nuance.
Marsh Posté le 24-03-2004 à 15:24:47
donc, je veux pas de compte root loggable sous linux. en gros je veux que personne ne se log en root, ni utilise la commande su, comme sous Mac OS ou bsd. ( vous me direz que c'est la meme chose, ouai ouai je sais)
un linux rootless quoi.
j'ai commenté la ligne root dans shadow, la c'est radical, le root ne peut plus jamais se connecter, meme passwd ne marche plus. mais, y til pas une autre facon de faire plus propre????