Re: Protéger la modification du mot d e passe root
YOUNOUSS Abba Soungui a écrit : Suite au thread lancé par jipe (hier) qui avait perdu son mot de passe root, on a vu qu'il existait plusieurs solution pour modifier celui-ci sans forcément être administrateur de la machine et ça, c'est un gros trou béant qui pourrait ouvrir la porte à toute sorte de pratiques par des personnes mal intentionnées. J'ai donc pensé qu'il serait utile de créer un topic pour montrer des solution permettant d'empêcher la modification du mot de passe root aussi facilement. En ce qui me concerne, je conais 2 méthodes : 1 - Pour empêcher la modification des options de démarage qui permettent de se connecter sans saisir le mot de passe, il faut créer un mot de passe pour GRUB, ainsi, chaque fois qu'on voudra modifier une entrée du GRUB, un mot de passe sera demandé. Il sera donc impossible à quelqu'un qui ne connait pas le mot de passe d'ajouter les option single ou init=/bin/bash au noyau. Vous trouverez plus de détails sur les mot de passe dans la documentation de GRUB. 2 - Pour empêcher à n'importe qui possédant un live cd de monter sa partition / pour la "chrooter", il faut crypter celle-ci. La seule méthode de cryptage que je connais et que j'utilise, c'est LUKS mais peut-être qu'il en existe d'autre. ATTENTION : GRUB (VERSION < 2) NE PEUT POUR LE MOMENT PAS BOOTER SUR DES PARTITIONS CRYPTÉES. DONC, SI VOUS VOULEZ CRYPTER VOTRE PARTION /, IL FAUDRA CRÉER UNE PARTITION /boot A PART. CETTE PARTITION DEVRA ÊTRE FORMATÉE EN EXT2 OU EXT3 OU TOUT AUTRE TYPE DE PARTITION ACCÉSSIBLE PAR GRUB. Je ne sais pas s'il existe d'autres méthode perméttant d'empêcher la modification du mot de passe root (par n'importe qui). Si oui, j'aimerai bien que ceux qui la connaissent nous la fasse partager. Bonjour, Empêcher le boot sur un media externe et protéger le bios par mot de passe? Cordialement. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: Protéger la modification du mot d e passe root
YOUNOUSS Abba Soungui a écrit : [...] Je ne sais pas s'il existe d'autres méthode perméttant d'empêcher la modification du mot de passe root (par n'importe qui). Si oui, j'aimerai bien que ceux qui la connaissent nous la fasse partager. Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de ne pas avoir de mot de passe pour root, comme proposé dans l'installation "expert". Seuls les utilisateurs déclarés dans sudoers peuvent lancer des commandes (choisies) en tant que root (pourquoi pas un shell avec 'sudo -i'). Charlie pourra toujours le modifier, tu pourras toujours te connecter... Le chat et la souris Fanfan -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: Protéger la modification du mot d e passe root
YOUNOUSS Abba Soungui a écrit : [...] Je ne sais pas s'il existe d'autres méthode perméttant d'empêcher la modification du mot de passe root (par n'importe qui). Si oui, j'aimerai bien que ceux qui la connaissent nous la fasse partager. Je pense que si tu veux obtenir ce résultat il faut que tu aies un cryptage mais cela implique ta présence physique devant la console en cas de (re)démarrage. Sinon, si la partition n'est pas chiffrée, tu ne pourra jamais vraiment empecher Charlie d'accéder au contenu de ton disque à partir du moment où il a un accès physique à la machine (UC). Je suppose un accès physique à l'UC car tu parles de te protéger contre les live CD (USB) qui nécessitent un tel accès. Si ton UC est dans une salle blanche protégée physiquement contre les accès et que la console est déportée (KVM ou autre), tu as peut etre une chance si Charlie ne peut accéder qu'à la console. Fanfan -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: Protéger la modification du mot d e passe root
YOUNOUSS Abba Soungui wrote:
Suite au thread lancé par jipe (hier) qui avait perdu son mot de passe root,
on a vu qu'il existait plusieurs solution pour modifier celui-ci sans
forcément être administrateur de la machine et ça, c'est un gros trou béant
qui pourrait ouvrir la porte à toute sorte de pratiques par des personnes mal
intentionnées.
Bof.
Il n'y a pas vraiment de trou de sécurité.
Une machine à laquelle on a physiquement accès est *toujours* "pénétrable".
L'accès physique (à la machine, à son bouton reset, à sa carte mère, à
son CDROM de redémarrage,à son clavier principal...) offre par
définition la possibilité de réinstaller ou accéder aux données (à moins
d'un système de fichier crypté).
Si on tient à la sécurité, la première des sécurités est d'interdire
l'accès physique (par des moyens *extra*-informatiques: porte blindée,
chiens de garde, ...) et ensuite seulement on se préoccupe de protection.
Et concernant les personnes mal intentionnées, n'oublions pas tout
simplement les textes de loi. L'accès non autorisé à un système
d'information est punissable en soi.
A contrario, en tant que consommateur et acheteur d'équipement
informatique, il m'est important, quand j'achète un PC, d'avoir
l'assurance de pouvoir le contrôler le mieux possible (et donc les BIOS
tatoués, les DRMs, me paraissent très négatifs).
Donc l'administrateur système qui veut empécher l'accès à un ordinateur
par des personnes malintentionnées doit d'abord restreindre l'accès
physique...
Se cantonner à des mesures logicielles (BIOS, GRUB, Linux, ...) est
illusoire.
Cordialement
--
Basile STARYNKEVITCH http://starynkevitch.net/Basile/
email: basilestarynkevitchnet mobile: +33 6 8501 2359
8, rue de la Faiencerie, 92340 Bourg La Reine, France
*** opinions {are only mines, sont seulement les miennes} ***
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
