[linux-neuchatel] pour ce lundi: Travail de preparation pour la Security Party du 23

Marc SCHAEFER schaefer at alphanet.ch
Fri Oct 23 10:11:46 CEST 2009


On Fri, Oct 23, 2009 at 08:16:39AM +0200, Paul Veuve wrote:
> Les fichiers appartenaient par défaut à root:root.

Non, il ne s'agit pas ici de configuration par défaut.

   schaefer at reliant:~$ ls -la $(which gpg)
   -rwxr-xr-x 1 root root 829156 Jan 23  2008 /usr/bin/gpg

gpg n'a pas les droits root (pas de bit s dans les permissions du propriétaire)
Donc root ne peut pas de son propre chef créer de fichiers appartenant à
root.

Un système POSIX ne permet pas de donner des fichiers à quelqu'un
d'autre (notamment pour des raisons de quota disque):

   schaefer at reliant:/tmp$ touch bla
   schaefer at reliant:/tmp$ chown root bla
   chown: changing ownership of `bla': Operation not permitted

Il y a forcément eu un sudo à un moment donné.

Il faut faire attention à ne jamais lancer de commande utilisateur via
sudo.

Il y a extrêmement peu d'actions qui nécessitent un sudo ou l'accès
root:

   - installations de logiciels en package et mises à jour du système

   - gestion des utilisateurs (création, modification, groupes)

Même les logiciels non packagés peuvent être bien souvent désarchivés,
compilés et même installés sous l'utilisateur normal, ce qui sur une
machine mono-utilisateur est parfaitement adéquat.

Il faudrait toujours garder une certaine suspicion quand un programme
demande l'accès root.

C'est justement la séparation stricte entre "configuration système"
(dans /etc) et "configuration utilisateur" (dans son répertoire ~ ou
$HOME), et l'impossibilité totale pour un utilisateur d'installer
quelque chose dans les chemins systèmes qui font la fiabilité, la
sécurité et la maintenabilité d'un système UNIX.

> Après ~/.gnupg$ sudo chown vep:vep *

un sudo chown -R vep:vep .gnupg serait mieux (évite les effets de bord du
wildcard, modifierait aussi les "fichiers cachés" (== commençant par .,
s'il y en a), depuis le répertoire de l'utilisateur (ou juste spécifier .
si l'on est déjà dans le répertoire).





More information about the linux-neuchatel mailing list