[linux-neuchatel] pour ce lundi: Travail de preparation pour la Security Party du 23
Marc SCHAEFER
schaefer at alphanet.ch
Fri Oct 23 10:11:46 CEST 2009
On Fri, Oct 23, 2009 at 08:16:39AM +0200, Paul Veuve wrote:
> Les fichiers appartenaient par défaut à root:root.
Non, il ne s'agit pas ici de configuration par défaut.
schaefer at reliant:~$ ls -la $(which gpg)
-rwxr-xr-x 1 root root 829156 Jan 23 2008 /usr/bin/gpg
gpg n'a pas les droits root (pas de bit s dans les permissions du propriétaire)
Donc root ne peut pas de son propre chef créer de fichiers appartenant à
root.
Un système POSIX ne permet pas de donner des fichiers à quelqu'un
d'autre (notamment pour des raisons de quota disque):
schaefer at reliant:/tmp$ touch bla
schaefer at reliant:/tmp$ chown root bla
chown: changing ownership of `bla': Operation not permitted
Il y a forcément eu un sudo à un moment donné.
Il faut faire attention à ne jamais lancer de commande utilisateur via
sudo.
Il y a extrêmement peu d'actions qui nécessitent un sudo ou l'accès
root:
- installations de logiciels en package et mises à jour du système
- gestion des utilisateurs (création, modification, groupes)
Même les logiciels non packagés peuvent être bien souvent désarchivés,
compilés et même installés sous l'utilisateur normal, ce qui sur une
machine mono-utilisateur est parfaitement adéquat.
Il faudrait toujours garder une certaine suspicion quand un programme
demande l'accès root.
C'est justement la séparation stricte entre "configuration système"
(dans /etc) et "configuration utilisateur" (dans son répertoire ~ ou
$HOME), et l'impossibilité totale pour un utilisateur d'installer
quelque chose dans les chemins systèmes qui font la fiabilité, la
sécurité et la maintenabilité d'un système UNIX.
> Après ~/.gnupg$ sudo chown vep:vep *
un sudo chown -R vep:vep .gnupg serait mieux (évite les effets de bord du
wildcard, modifierait aussi les "fichiers cachés" (== commençant par .,
s'il y en a), depuis le répertoire de l'utilisateur (ou juste spécifier .
si l'on est déjà dans le répertoire).
More information about the linux-neuchatel
mailing list