subject:"Re\: \[Confirme\] msec = danger"

Re: [Confirme] msec = danger

2002-11-18 Par sujet Fabien VIROT

En guise de conclusion, j'ai installé la 9.0 (pour vérifier, je n'avais que 
ça à faire :) et j'ai regardé msec (v1.8) de cette distribution : son 
comportement est plus que louche (bogué ?). J'ai du éditer le script 
principal pour retrouver un comportement à peu près sain (selon mes critères 
à moi, hein ?). J'ai donc cherché de la vraie doc, et j'ai trouvé (entre 
autres) http://www.mandrakeuser.org/docs/secure/smsec2.html et 
http://www.mandrakesecure.net/en/docs/msec.php que je n'ai pas eu le temps de 
décortiquer. En plus, c'est pour la 8.2. Si un jour cela peut servir

Cela dit, tu as tout à fait raison de ne pas vouloir utiliser un soft de 
sécurité si tu ne lui fais pas confiance...

Allez, il commence à faire nuit et j'ai les yeux qui se croisent...
-- 
Fabien VIROT (mailto:[EMAIL PROTECTED])
FRANCE

"Remember, if it's being done correctly, here or abroad, it's ___not the 
U.S.
Army doing it!"
-- Good Morning VietNam


Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";

Re: [Confirme] msec = danger

2002-11-18 Par sujet Frantz ORJOLLET



Fabien VIROT wrote:




Par contre, je suis d'accord sur le fait que msec est assez obcur, que la doc 
est (était ?) succincte et/ou non traduite, que son fonctionnement est long 
(chiant ?) à étudier. J'ai été obligé de me pencher dessus à cause de droits 
sur les fichiers d'un "hôte virtuel" Apache qui refusait régulièrement les 
accès de mes clients...


Allez,

   En conclusion :
1) Je me mets derrière l'oreille ce que peut apporter ce genre de 
logiciel mais, tant que je ne dispose pas de docummentation claire, 
nette et précise, et en français, je n'utilise pas msec car je ne peux 
maîtriser complètement son influence sur le système.
2) Il est évident que si msec comportait une option lui permettant 
d'accepter les clauses restrictives (en permettant de faire évoluer le 
niveau de sécurité de façon transparente et personnalisée), son 
utilisation serait sans risque pour l'utilisateur non averti.)

   Merci pour ces deux longues argumentations,

   Frantz

--
Utiliser, promouvoir, développer ... les Logiciels Libres
est avant tout un acte civique.
Opter pour des logiciels propriétaires ...
est un choix politique !




Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";

Re: [Confirme] msec = danger

2002-11-17 Par sujet Fabien VIROT

Le Dimanche 17 Novembre 2002 23:19, Frantz ORJOLLET a écrit :
> [...]
> >   C'est justement un des rôles de msec : maintenir la "cohérence" du
> > système
> C'est pas celui de l'administrateur ?

Si, et msec est là pour l'aider. L'utilité devient plus qu'évidente à partir 
du moment où l'on a plusieurs sysadm, quelques exploitants et plein 
d'utilisateurs ; pour une passerelle... Cela me rappelle un script qui vivait 
sur le réseau de la fac que je fréquentais. Toutes les nuits, il virait les 
exécutables des comptes utilisateurs et remettait des droits par défaut sur 
les répertoires de ces mêmes utilisateurs. Encore une fois, le but de ce 
genre d'outil est de simplifier le travail des administrateurs. Comme dirait 
l'autre, c'est vous qui voyez !

> > [...]
> >   Pour corriger cela, tu peux demander un niveau de sécurité plus bas
> > (pas top ;-)
> Si si, c'est vachement drôle ! Avec un niveau 0 on se logue
> sans mot de passe sur tous les comptes, y compris "root".
> Je n'ai pas testé les niveaux 4 et 5, car je crains de ne plus jamais
> pouvoir reprendre la main sur la machine.

Effectivement, d'où le "pas top" ;-). En ce qui concerne le niveau 5, 
assure-toi d'avoir un utilisateur non privilégié, car root ne peut se 
connecter que via un "su" (y'en a qu'on essayé (moi), y z'on eu des 
problèmes). A priori, il en va de même pour le niveau 4. Quel niveau choisir 
? C'est vous qui voyez !

> >, modifier les règles par défaut (encore moins top), désactiver msec
> >(meu non, c't'ait une blague, m'enfin tu fais comme tu veux)
> [...]
> Je ne veux pas d'un machin qui se veut root à la place du
> root. Je préfère fire les conneries moi-même.

Ne t'inquiète pas : comme tout outil de ce genre, msec te permettra aussi 
d'automatiser tes propres conneries. En plus, il n'est pas dit que tu t'en 
rendes compte facilement. Mais c'est vous qui voyez !

> >, ou écrire
> >tes propres règles qui prendront le pas celles prédéfinies.
>
> Mais j'ai bien trop peur qu'il prenne envie à msec de les
> remplacer par la suite. Ca a l'air vivant ce truc !

C'est évidemment un droit de ne pas faire confiance à un soft (et par 
conséquent de ne pas l'utiliser). Maintenant, msec n'est qu'un ensemble de 
scripts relativement lisibles (en plus, c'est assez instructif). Mais encore 
une fois, c'est vous qui voyez (c'est pour aller à Pau ? Y'a un train).

> > Tes règles, car
> >je suis sûr que c'est la solution que tu retiendras,  sont à mettre dans
> >/etc/security/msec/perm.local et /etc/security/msec/level.local. Man msec
>
> man msec ; man mseclib : Et moi qui croyais que MandrakeSoft
> était une entreprise française...

Euh... Si c'est pour dire que ces 2 man ne sont pas francisés, je confirme 
(au moins pour la 8.2). J'en ai (vite fait) parlé à mon ami google, rien de 
probant ne m'a sauté aux yeux.

> Merci pour toutes ces informations, mais je persiste à
> penser que msec n'a rien à foutre sur une passerelle.

C'EST VOUS QUI VOYEZ ! Plus sérieusement, si tu es certain d'être le seul à 
faire des modifs sur ta passerelle, tu peux supprimer les vérification 
régulières (/etc/cron.hourly/msec et /etc/cron.daily/msec chez moi). Mais, 
IMHO, il n'est pas stupide de garder l'outil sous la main, juste au cas où...

> P.S. Afin d'éviter tout malentendu, j'espère que le ton ironique que
> j'ai employé n'est pas perçu comme une agression ; je me suis défoulé,
> c'est tout. Encore une fois, merci.

Pas de sac :))). Je pense moi-même avoir été assez lourd en référence 
Laspalestique. Mais bon, j'assume.

Par contre, je suis d'accord sur le fait que msec est assez obcur, que la doc 
est (était ?) succincte et/ou non traduite, que son fonctionnement est long 
(chiant ?) à étudier. J'ai été obligé de me pencher dessus à cause de droits 
sur les fichiers d'un "hôte virtuel" Apache qui refusait régulièrement les 
accès de mes clients...


Allez,
-- 
Fabien VIROT (mailto:[EMAIL PROTECTED])
FRANCE

"Ne vous mariez pas pour l'argent, vous pouvez emprunter à meilleur marché."
J. Kelly



Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";

Re: [Confirme] msec = danger

2002-11-17 Par sujet Bruno Pinaud

Une des premieres choses que je fais après avoir installée une mdk est de 
virer le fichier /etc/cron.hourly/msec. Comme ça msec ne modifie plus mon 
syslog après moi par exemple (et je pense que pour un sshd.conf, cela doit 
être pareil)...Mais les vérifs faites la nuit sont toujours là.

Le Dimanche 17 Novembre 2002 23:22, Frantz ORJOLLET a écrit :
> alain rpnpif wrote:
> >Le Dimanche 17 Novembre 2002 05:51, vous avez écrit :
> >>Attention, l'utilitaire msec peut engendrer de graves failles de
> >>sécurité !
> >>Imaginez que root modifie un fichier qui lui appartient (eg : sshd.conf,
> >>sur une passerelle, pour y indiquer PermitRootLogin no) et que ce
> >>fichier contienne dans le 1/4 d'heure qui suit : "PermitRootLogin yes".
> >>Tout le travail de sécurisation de votre système peut être annihilé sans
> >>que vous en soyez conscient.
> >>Demain, je vire cette merde ... sauf si je fais erreur et qu'il
> >>s'agisse d'autre chose (mais j'ai de fortes présomptions sur msec qui
> >>semble aussi restituer les droits d'accés originaux sur les fichiers).
> >>
> >>Merci de m'informer,
> >>
> >>Frantz
> >>
> >>P.S. : J'avais l'habitude de faire mes passerelles sous SlackWare, mais
> >>la compilation du SAGEM USB de Free...
> >
> >Je ai aussi virer msec car il a tendance à annuler les modifications
> >intelligentes.
> >Il en manque un peu de l'intelligence ce programme...
> >
> >Alain
>
> Ca confirme mes conclusions.
>
> merci
>
> Frantz

-- 
Bruno


Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";

Re: [Confirme] msec = danger

2002-11-17 Par sujet Frantz ORJOLLET



alain rpnpif wrote:


Le Dimanche 17 Novembre 2002 05:51, vous avez écrit :


   Attention, l'utilitaire msec peut engendrer de graves failles de
sécurité !
Imaginez que root modifie un fichier qui lui appartient (eg : sshd.conf,
sur une passerelle, pour y indiquer PermitRootLogin no) et que ce
fichier contienne dans le 1/4 d'heure qui suit : "PermitRootLogin yes".
Tout le travail de sécurisation de votre système peut être annihilé sans
que vous en soyez conscient.
   Demain, je vire cette merde ... sauf si je fais erreur et qu'il
s'agisse d'autre chose (mais j'ai de fortes présomptions sur msec qui
semble aussi restituer les droits d'accés originaux sur les fichiers).

Merci de m'informer,

   Frantz

P.S. : J'avais l'habitude de faire mes passerelles sous SlackWare, mais
la compilation du SAGEM USB de Free...



Je ai aussi virer msec car il a tendance à annuler les modifications 
intelligentes.
Il en manque un peu de l'intelligence ce programme...

Alain

   Ca confirme mes conclusions.

   merci

   Frantz

--
Utiliser, promouvoir, développer ... les Logiciels Libres
est avant tout un acte civique.
Opter pour des logiciels propriétaires ...
est un choix politique !





Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";

Re: [Confirme] msec = danger

2002-11-17 Par sujet Frantz ORJOLLET



Fabien VIROT wrote:


Le Dimanche 17 Novembre 2002 05:51, Frantz ORJOLLET a écrit :


[...]
Imaginez que root modifie un fichier qui lui appartient (eg : sshd.conf,
sur une passerelle, pour y indiquer PermitRootLogin no) et que ce
fichier contienne dans le 1/4 d'heure qui suit : "PermitRootLogin yes".
[...]



  C'est justement un des rôles de msec : maintenir la "cohérence" du système 

   C'est pas celui de l'administrateur ?



(droits d'accès, configuration de certains services...) en fonctions de 
certaine règles définies par le niveau de sécurité demandé à l'installation 
ou dans drakconf (entre autres). Msec est appelé réculièrement par cron.

  Pour corriger cela, tu peux demander un niveau de sécurité plus bas (pas 
top ;-)

   Si si, c'est vachement drôle ! Avec un niveau 0 on se logue 
sans mot de passe sur tous les comptes, y compris "root".
Je n'ai pas testé les niveaux 4 et 5, car je crains de ne plus jamais 
pouvoir reprendre la main sur la machine.

, modifier les règles par défaut (encore moins top), désactiver msec 
(meu non, c't'ait une blague, m'enfin tu fais comme tu veux)

   Nan, ce n'est pas une blague, j'aime bien raconter des 
blagues, de temps en temps, mais ce coup-ci, ce n'est pas une blague !
   Je ne veux pas d'un machin qui se veut root à la place du 
root. Je préfère fire les conneries moi-même.

, ou écrire 
tes propres règles qui prendront le pas celles prédéfinies.

   Mais j'ai bien trop peur qu'il prenne envie à msec de les 
remplacer par la suite. Ca a l'air vivant ce truc !

Tes règles, car 
je suis sûr que c'est la solution que tu retiendras,  sont à mettre dans 
/etc/security/msec/perm.local et /etc/security/msec/level.local. Man msec

   man msec ; man mseclib : Et moi qui croyais que MandrakeSoft 
était une entreprise française...

et 
man mseclib te donneront un apperçu du format à respecter.

  P.S. : Il me semble avoir vu un frontal pour la configuration de msec dans 
drakconf 9 (section sécurité).

 Courage,

   Merci pour toutes ces informations, mais je persiste à 
penser que msec n'a rien à foutre sur une passerelle.

   Frantz

P.S. Afin d'éviter tout malentendu, j'espère que le ton ironique que 
j'ai employé n'est pas perçu comme une agression ; je me suis défoulé, 
c'est tout. Encore une fois, merci.


--
Utiliser, promouvoir, développer ... les Logiciels Libres
est avant tout un acte civique.
Opter pour des logiciels propriétaires ...
est un choix politique !




Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";

Re: [Confirme] msec = danger

2002-11-17 Par sujet Fabien VIROT

Le Dimanche 17 Novembre 2002 05:51, Frantz ORJOLLET a écrit :
> [...]
> Imaginez que root modifie un fichier qui lui appartient (eg : sshd.conf,
> sur une passerelle, pour y indiquer PermitRootLogin no) et que ce
> fichier contienne dans le 1/4 d'heure qui suit : "PermitRootLogin yes".
> [...]

   C'est justement un des rôles de msec : maintenir la "cohérence" du système 
(droits d'accès, configuration de certains services...) en fonctions de 
certaine règles définies par le niveau de sécurité demandé à l'installation 
ou dans drakconf (entre autres). Msec est appelé réculièrement par cron.

   Pour corriger cela, tu peux demander un niveau de sécurité plus bas (pas 
top ;-), modifier les règles par défaut (encore moins top), désactiver msec 
(meu non, c't'ait une blague, m'enfin tu fais comme tu veux), ou écrire 
tes propres règles qui prendront le pas celles prédéfinies. Tes règles, car 
je suis sûr que c'est la solution que tu retiendras,  sont à mettre dans 
/etc/security/msec/perm.local et /etc/security/msec/level.local. Man msec et 
man mseclib te donneront un apperçu du format à respecter.

   P.S. : Il me semble avoir vu un frontal pour la configuration de msec dans 
drakconf 9 (section sécurité).

  Courage,
-- 
Fabien VIROT (mailto:[EMAIL PROTECTED])
FRANCE

Tempête en novembre,
Temps à chier en décembre.



Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";

Re: [Confirme] msec = danger

2002-11-17 Par sujet alain rpnpif

Le Dimanche 17 Novembre 2002 05:51, vous avez écrit :
> Attention, l'utilitaire msec peut engendrer de graves failles de
> sécurité !
> Imaginez que root modifie un fichier qui lui appartient (eg : sshd.conf,
> sur une passerelle, pour y indiquer PermitRootLogin no) et que ce
> fichier contienne dans le 1/4 d'heure qui suit : "PermitRootLogin yes".
> Tout le travail de sécurisation de votre système peut être annihilé sans
> que vous en soyez conscient.
> Demain, je vire cette merde ... sauf si je fais erreur et qu'il
> s'agisse d'autre chose (mais j'ai de fortes présomptions sur msec qui
> semble aussi restituer les droits d'accés originaux sur les fichiers).
>
> Merci de m'informer,
>
> Frantz
>
> P.S. : J'avais l'habitude de faire mes passerelles sous SlackWare, mais
> la compilation du SAGEM USB de Free...

Je ai aussi virer msec car il a tendance à annuler les modifications 
intelligentes.
Il en manque un peu de l'intelligence ce programme...

Alain


Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";

Re: [Confirme] msec = danger

Re: [Confirme] msec = danger

Re: [Confirme] msec = danger

Re: [Confirme] msec = danger

Re: [Confirme] msec = danger

Re: [Confirme] msec = danger

Re: [Confirme] msec = danger

Re: [Confirme] msec = danger

8 matches

Site Navigation

Mail list logo

Footer information