rootless linux

rootless linux - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 24-03-2004 à 15:24:47    

donc, je veux pas de compte root loggable sous linux. en gros je veux que personne ne se log en root, ni utilise la commande su, comme sous Mac OS ou bsd. ( vous me direz que c'est la meme chose, ouai ouai je sais)
 
un linux rootless quoi.
 
j'ai commenté la ligne root dans shadow, la c'est radical, le root ne peut plus jamais se connecter, meme passwd ne marche plus. mais, y til pas une autre facon de faire plus propre????

Reply

Marsh Posté le 24-03-2004 à 15:24:47   

Reply

Marsh Posté le 24-03-2004 à 16:12:40    

:lol:
 
et ton sys devient inutilisable ensuite si tu as un pb.
 
tu peux désactiver su ( voir d"ésinstaller ) su pour qu'il ne laisse pas passer en root ou seuleme,nt ceux du groupe wheel.
tu peux faire en sorte ke root ne puisse se connecter directement. Mais sans user root tu ne pourra plus faire grand chose ... comme installer des logiciels ou modifier le système ...


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 24-03-2004 à 16:13:01    

T'es sûr de ce que tu fais !?

Reply

Marsh Posté le 24-03-2004 à 16:13:35    

et pourquoi ? (simple curiosité)


Message édité par SomeBugsInMe le 24-03-2004 à 16:13:53
Reply

Marsh Posté le 24-03-2004 à 16:26:17    

euh commenter la ligne root dans shadow ne suffit pas a empecher quelqu'un (de malintentionné) de se logger en root ...
 
cf bugs kernel et compagnie


Message édité par zera le 24-03-2004 à 16:26:37
Reply

Marsh Posté le 24-03-2004 à 17:07:51    

J'aimerais avoir un serveur web sans compte utilisateur... J'ai supprimé /etc/passwd et /etc/shadow. Y'a t il un autre moyen plus propre ???
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 [:dehors2] [:joce]


---------------
Les hommes se trompent, les preuves elles, ne mentent jamais...
Reply

Marsh Posté le 24-03-2004 à 17:10:26    

hou la vache :lol:
le fichier bzImage me prend de la place, je l'ai supprimé :lol:

Reply

Marsh Posté le 24-03-2004 à 17:12:05    

c'est quoi l'intéret sérieux ? il te suffit de mettre un bon mot de passe, empêcher la connexion directe en root par ssh, et voilà ... ton système tient déjà la root, après si tu as des utilisateurs qui veulent perdre leur temps avec su ...

Reply

Marsh Posté le 24-03-2004 à 17:25:26    

mon système tourne tres bien sans que root puisse se logger. biensur, mon sudoers marche bien aussi. donc, vous pouvez continuer à vous moquer de moi si ca vous chante.
 
l'interet??? je suis sur que les gars de chez apple doivent avoir un discours qui tient, comme ceux qui font du bsd. le mien est que personne ne se loge dessus en root, c'est tout.  
 
parmi les utilisateurs cilbés
le sav
les prestats
les partenaires
les clients
les partenraires des prestas
les admin applicatifs
ca fait du monde. et ils m'inquietent plus que les soidisants "hackers".
biensur, un bon peut se debrouiller autrement...via sudo par exemple. il fera ce qu'il veut meme sans passer root.
donc, s'il y a pas de réponse à ma question, et bien tant pi. merci qd meme pour votre aide

Reply

Marsh Posté le 24-03-2004 à 17:28:09    

ok : la solution -> ne pas leur donner le mot de passe root

Reply

Marsh Posté le 24-03-2004 à 17:28:09   

Reply

Marsh Posté le 24-03-2004 à 17:30:13    

OUPS ... erreur de post :D


Message édité par becket le 24-03-2004 à 17:33:43
Reply

Marsh Posté le 24-03-2004 à 17:30:42    

becket a écrit :

Si quelqu'un à un serveur FTP ouvert 24h/24 et avec une bonne bande passante, je peut lui uploader la version du CEBIT

:heink:

Reply

Marsh Posté le 24-03-2004 à 17:30:51    

becket a écrit :

Si quelqu'un à un serveur FTP ouvert 24h/24 et avec une bonne bande passante, je peut lui uploader la version du CEBIT


 
j'ai loupé quelque chose ?


---------------
-~- Libérez Datoune ! -~- Camarade, toi aussi rejoins le FLD pour que la flamme de la Révolution ne s'éteigne pas ! -~- A VENDRE
Reply

Marsh Posté le 24-03-2004 à 17:42:21    

Des soluces pour empêcher au root d'accéder au système :
 
- lui interdire l'accès aux consoles :
éditer le fichier /etc/securetty et commenter les lignes relatives à tty
 
- plus de su (bourrin) :
virer la commande su (dans /bin) ou changer son nom

Reply

Marsh Posté le 24-03-2004 à 17:47:00    

ouai bon, y a erreur de post.
 
au fait, y a abus de langage, c'est pas rootless, puisque le compte root existe, juste qu'il peut pas se loger c'est tout.
 
en effet, on ne donne pas le passe root à n'importe qui...
 
mais l'experience montre qu'un jour ou l'autre, le passe root fini par atterir sur un postit chez un presta étranger, d'un presta espagnole payé par notre presta francais.............
 
ou alors, le sav fini pas l'avoir par le biais de l'admin applicatif, qui l'a grace au client, qui n'est personne d'autre que le frangin de l'admin systeme.... le changement de passe peut résoundre ce probleme, mais l'experience montre qu'il fini par agacer tout le monde, y compris les admins. dans une structure de plus miliers de serveurs et de clients, il faut une politique plus radicale.
 
j'ai pensé à ca... avec sudo... et un script qui fait sudo sans que je tape sudo avant. mon script controle ce que je tape. par exemple, je m'interdi de rebooter une machine distante. ce serait dommage que je reboote le serveur en prod à 500 bornes de mon bureau.  
 
donc, le etrangers devant faire des commandes root, doivent s'adresser à moi impérativement pour que je les declarer dans sudo. une fois que leur boulot terminé, je rechanger sudo et ils ne pourront plus jamais revenir. le changement se fait bien sur grace à un script perl démarré en crontab... il a interet  à se depecher de finir son taf. sil casse le système, je suis CONTRACTUELLEMENT protégé,
 
enfin, c'cest qu'une idée de nubi comme une autre. si vous en avez de meilleures, je les veux bien.

Reply

Marsh Posté le 24-03-2004 à 17:48:59    

aah bonne idée ca..........
 
je v essayer. merci

Reply

Marsh Posté le 24-03-2004 à 17:50:39    

Si tu as un serveur tout bien configurer et que tu veux plus jamais  rien mettre à jour à la limite mais le truc qui m'inquiet surtout c'est que si il y a une methode pour enpecher de se logger en root cette methode doit être faites avec les droit admin et donc irréversible :/


---------------
«Le succès consiste à aller d'échecs en échecs sans jamais perdre son enthousiasme» - Churchill
Reply

Marsh Posté le 24-03-2004 à 17:53:58    

La methode peut etre serais que seul toi connaisse le mot de passe root et les autres admins tu leurs donne des droits supérieurs à des utilisateurs normaux mais pas suffisant pour toucher aux parties que tu juges critiques ou alors à leurs domaine.


---------------
«Le succès consiste à aller d'échecs en échecs sans jamais perdre son enthousiasme» - Churchill
Reply

Marsh Posté le 24-03-2004 à 17:54:15    

C'est sûr, faut savoir ce qu'on fait...
Ce genre de sécurité paranoïaque reste ce qu'il y a de plus efficace, mais au risques et périls de l'admin.

Reply

Marsh Posté le 24-03-2004 à 17:54:49    

et tu te dis pas que y a quand même besoin du mot de passe root pour administer justement ? c'est parce que les gens a qui tu le donne sont cons comme des manches à balets; qu'il faut pour autant.
 
je pense qu'il faut juste une meilleure organisation humaine, t'auras __toujours__ besoin de te logger en root, même si c'est rarement et brièvement ... maintenant si t'as besoin d'un garde fou parce que t'as peur de taper 'reboot' par hasard, je crois que le problème est ailleurs.
 
je comprends pas, c'est toi l'admin et pourtant d'autre gens ont besoin d'avoir des droits root ou d'exécuter suffisement de chose avec sudo pour que ça soit compliqués ... y a un problème là.
"donc, le etrangers devant faire des commandes root," heink ?

Reply

Marsh Posté le 24-03-2004 à 18:02:11    

je suis seul sur ma machine mais le seul truc que je fais en root c'est :
apt-get update && apt-get dist-upgrade -u
c'est tout :/


---------------
«Le succès consiste à aller d'échecs en échecs sans jamais perdre son enthousiasme» - Churchill
Reply

Marsh Posté le 24-03-2004 à 18:03:34    

je met à jour via sudo,  
 
sudo apt-get update && apt-get install machinchoses
 
par exemple. enfin bon. je suis admin oui. mais....... les dev ont besoin des fois de root pour niker un prosses qui merde, le sav  pour voir ifconfig, admin applicatif pour voir la table de routage. je pense leur attribuer des groupes d'acces via sudoers ( tres puissant).  
 
de toute facon, comment ils font les mecs sous BSD ou MAC sans un compte root logable???  
 
c'est une question.

Reply

Marsh Posté le 24-03-2004 à 18:05:24    

fFluFf a écrit :

je suis seul sur ma machine mais le seul truc que je fais en root c'est :
apt-get update && apt-get dist-upgrade -u
c'est tout :/


 
sudo :o

Reply

Marsh Posté le 24-03-2004 à 18:05:31    

aah ben voila, dans ce cas,
 
sudo apt-get update && apt-get dist-upgrade -u  
 
et voila, tu casse pas grand chose comme ca. de toute facon, sous mac, je m'appercois que.... se loger en root n'est pas util. je me trompte?

Reply

Marsh Posté le 24-03-2004 à 18:05:57    

;-)
 

Reply

Marsh Posté le 24-03-2004 à 18:07:39    

theplayer92 a écrit :

je met à jour via sudo,  
 
sudo apt-get update && apt-get install machinchoses


 
justement non, des paquets foireux ou la nécessité de configurer le logiciel ont besoin de droits root complet
ça me parait dangeureux de laisser ça comme permission justement
 
 

theplayer92 a écrit :


par exemple. enfin bon. je suis admin oui. mais....... les dev ont besoin des fois de root pour niker un prosses qui merde,


ça ça arrive une fois par an
 

theplayer92 a écrit :


 le sav  pour voir ifconfig

rien à voir, tout le monde peut voir ifconfig
 

theplayer92 a écrit :


 admin applicatif pour voir la table de routage

pareil, tout le monde le peux  
 

theplayer92 a écrit :

je pense leur attribuer des groupes d'acces via sudoers ( tres puissant).  
 
de toute facon, comment ils font les mecs sous BSD ou MAC sans un compte root logable???  

sous MAC tout est configurable sans rien. sous BSD, on peut se connecter en root sans problème pour les taches classiques (je vois pas de quoi tu parles)

Reply

Marsh Posté le 24-03-2004 à 18:07:58    


oui mais non. ( trop facil )


---------------
«Le succès consiste à aller d'échecs en échecs sans jamais perdre son enthousiasme» - Churchill
Reply

Marsh Posté le 24-03-2004 à 18:09:17    

utilises sudo et fait un alias.
 
alias ifconfig `sudo /sbin/ifconfig`
 
quand il tape ifconfig en tant qu'utilsateur, cela le lance en tant ke root ( je prends le cas où il le lance sans MDP ).
Avec SUDO et Set-Uid tu devrasi pouvoir faire ce k'il faut.
Mieux, tu peux faire des commandes persos Set-Uid mais ki ne font qu'une chose.
 
 
pour BSD ( et Mac OS X ki est issue de BSD ) le système est fait pour le supporter, pas linux


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 24-03-2004 à 18:31:02    

Ayez un pensé pour les windowsiens qui ont un administrateur sur leur XP qui a autant de droits qu'un utilisateur lambda d'un système  linux.


Message édité par ffluff le 24-03-2004 à 18:31:36

---------------
«Le succès consiste à aller d'échecs en échecs sans jamais perdre son enthousiasme» - Churchill
Reply

Marsh Posté le 24-03-2004 à 18:31:05    

je vois pas le besoin d'avoir des droits particulier
 

benoit@athlon >>> /sbin/ifconfig && /sbin/route
eth0      Lien encap:Ethernet  HWaddr 00:50:FC:70:1C:19
          inet adr:192.168.0.77  Bcast:192.168.0.255  Masque:255.255.255.0
          adr inet6: fe80::250:fcff:fe70:1c19/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1998568 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2037650 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:1566047446 (1.4 GiB)  TX bytes:802947646 (765.7 MiB)
          Interruption:5 Adresse de base:0x1f00
 
lo        Lien encap:Boucle locale
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:8706 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8706 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:3445928 (3.2 MiB)  TX bytes:3445928 (3.2 MiB)
 
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
localnet        *               255.255.255.0   U     0      0        0 eth0
default         routeur         0.0.0.0         UG    0      0        0 eth0

Reply

Marsh Posté le 24-03-2004 à 19:06:41    

ça doit dépendre des distros et y'a ceux qui ont pas /sbin dans leur path. [:joce]


---------------
-~- Libérez Datoune ! -~- Camarade, toi aussi rejoins le FLD pour que la flamme de la Révolution ne s'éteigne pas ! -~- A VENDRE
Reply

Marsh Posté le 24-03-2004 à 19:15:21    

A priori lui non plus ne l'as pas.

Reply

Marsh Posté le 24-03-2004 à 19:28:00    

mirtouf a écrit :

ça doit dépendre des distros et y'a ceux qui ont pas /sbin dans leur path. [:joce]

ben sous redhat, tu as même pas le sbin dans ton path root à la base alors ...

Reply

Marsh Posté le 24-03-2004 à 19:37:59    

Taz a écrit :

ben sous redhat, tu as même pas le sbin dans ton path root à la base alors ...


 
Ah ?
Et pourquoi ça ?


---------------
-~- Libérez Datoune ! -~- Camarade, toi aussi rejoins le FLD pour que la flamme de la Révolution ne s'éteigne pas ! -~- A VENDRE
Reply

Marsh Posté le 24-03-2004 à 19:38:11    

et c'est pas plus mal de pas avoir sbin dans son path user

Reply

Marsh Posté le 24-03-2004 à 19:41:07    

black_lord a écrit :

et c'est pas plus mal de pas avoir sbin dans son path user

c'est surtout que ça sert quasiment à rien

Reply

Marsh Posté le 24-03-2004 à 19:42:04    

à rien tout court :)

Reply

Marsh Posté le 24-03-2004 à 19:42:57    

/sbin c'est pas réservé au commandes admin ?

Reply

Marsh Posté le 24-03-2004 à 19:50:51    

oui, enfin c'est à dire aux commandes qui demandent des capacités spécifiques si on veut faire quelque chose avec.

Reply

Marsh Posté le 24-03-2004 à 19:56:09    

Taz a écrit :

oui, enfin c'est à dire aux commandes qui demandent des capacités spécifiques si on veut faire quelque chose avec.

A oui, il y a quand même une petite nuance.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed