On Thu, Jan 28, 2010 at 09:03:16PM +0100, François Boisson wrote: > Je viens de découvrir que le sudo de debian (sur squeeze) est compilé SANS > l'option --with-tty-tickets et configuré par défaut avec un timestamp de 15 > minutues. > > Cela signifie que si on fait un sudo sur un xterm par exemple, un script > exécuté de manière quelconque comportant un sudo silencieux obtiendrait les > droits (test fait) sans avoir à fournir de mot de passe. Avec l'option, seul > un sudo fait dans la même «console» (même tty ou même fenêtre xterm) se voit > dispensé de fournir ce mot de passe, un sudo dans une autre fenêtre se voit > demandé le mot de passe. > > Cela veut dire qu'une utilisation à la Ubuntu de sudo rend la machine fragile > et sensible à n'importe quel script exécuté sans faire attention comme sous > windows.
[...] > Mais pourquoi diable cette option a-t-elle été supprimée de la configuration > par défaut alors qu'elle me parait un élément basique de sécurité? > > François Boisson (qui n'utilise de toute façon pas sudo mais tout de même...) Je ne sais pas si c'est la cause, mais il y a un (vieux) bug un peu en rapport et toujours ouvert : http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=306919
signature.asc
Description: Digital signature