On Thu, 31 Oct 2002, Moncho Jeremy wrote: > Bonsoir a tous, > > J'aimerais savoir comment faire pour empecher a certain compte d'une > machine (en l'occurance ROOT) d'acceder au reseau lan/internet, voir > meme au modem. Comment devrais-je m'y prendre?? Tout est possible, mais pas comme ça!
Le compte ROOT à par définition accès à TOUTE la machine! En configurant la valeur de ``umask'' à 077 dans /etc/profile et /etc/skel/.bash_profile, en modifiant les attibuts du squelette /etc/skel, et enfin en modifiant les attibuts des répertoire utilisateurs déjà créés, dans /home, tu peux t'assurer que les utilisateurs n'aurront pas accès aux données de tiers, entre eux... Pour des raisons de sécurité, le compte root n'est pas UTILISE. Les seuls accès root sont pour des installations, configurations, mises en place. Pour effectuer des tâches de fond (daemon) ou automatiques (cron) on créé des ``utilisateurs'' fictifs, chargés de tâches précise avec des accès correctements restreints. p. ex mail, fetchmail, fetchnews, postgres, lp, etc. sont tous des utilisateurs différents n'ayant mutuellement pas accés aux informations des autres. Voire les man pages concernant umask, chmod, $ apropos umask chmod et les livres de références pour administrateurs U*ix, de la ``Courte information sur le système UNIX et les réseaux téléinformatiques'' de Marc Schaefer au ``Linux Security HOWTO'' de Kevin Fenzi & Dave Wreski, en passant par ``Le Guide du ROOTard pour Linux'' de Eric Dumas, les documentations traitant du sujet ne manquent pas... Petit gag à NE PAS FAIRE: Au pire tu peux interdire l'accès root en remplaçant /bin/bash par /bin/false sur la ligne root dans /etc/passwd. (Pour avoir un accès root, il faudra passer en ``init 1'', voire utiliser une disquette rescue ou une autre partition de démarrage) Pour terminer, si tes utilisateurs ne veulent pas te laisser accéder à certaines données, alors il faut les former à l'utilisation de la cryptographie et de logiciels comme gpgp et ses interfaces. $ apt-cache search pgp Ils pourront alors encrypter des fichiers et les rendre parfaitement illisible pour qui ne connait pas la phrase de passe. Attention, en cas de perte de mémoire, les documments seront irrecupérables (en principe;-) Ou utiliser l'encryption sur des systèmes de fichier, qui n'autoriseront le montage qu'après saisie d'une phrase de passe. Cela existe, je n'utilise pas et ne connais pas d'exemples. mais il existe un moyen d'effectuer ce genre de chose avec le device ``loop''. (probablement non-standard cause problèmes d'import-export us). Pareil, dans ce cas, la trous de mémoires ne pardonnent pas. -- Félix Hauri - <[EMAIL PROTECTED]> - http://www.f-hauri.ch -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
