Linux.debian : Ooo s'ouvre en root et non en user normal
Posté par hdiamant () le 12 juillet 2007
Bonjour,
Après avoir installé les drivers unifiés de Samsung pour gérer mon imprimante scanner, j'ai eu la très mauvaise surprise de constater que la suite openoffice s'ouvrait en root et ceci sans que me soit demandé le moindre mot de passe !!!
Du coup, les documents que je crée s'enregistrent dans le dossier /root/ avec des droits de super utilisateur. Pratique et super sécure !
A tout hasard j'ai réinitialisé le .Xauthority : aucun succès.
La bête est sous Ubuntu 7.04 et gnome. En attendant vote aide, je cherche et tente de résister au désespoir le plus sombre !
Merci
Après avoir installé les drivers unifiés de Samsung pour gérer mon imprimante scanner, j'ai eu la très mauvaise surprise de constater que la suite openoffice s'ouvrait en root et ceci sans que me soit demandé le moindre mot de passe !!!
Du coup, les documents que je crée s'enregistrent dans le dossier /root/ avec des droits de super utilisateur. Pratique et super sécure !
A tout hasard j'ai réinitialisé le .Xauthority : aucun succès.
La bête est sous Ubuntu 7.04 et gnome. En attendant vote aide, je cherche et tente de résister au désespoir le plus sombre !
Merci
> Lire le message (32 commentaires, moyenne: 2,5).
Vous avez demandé le commentaire #850834.
Run by 
Cette page a été générée par Templeet en 0.0817s (dont 0.0074 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Voir source du script d'installation
Dans le source du script d'instalaltion des drivers, on peut voir :
wrap_setuid_third_party_application xsane wrap_setuid_third_party_application xscanimage wrap_setuid_ooo_application soffice wrap_setuid_ooo_application swriter wrap_setuid_ooo_application simpress wrap_setuid_ooo_application scalcet :wrap_setuid_third_party_application() { if echo "$1" | grep -q "/" ; then APP_NAME=$1 else APP_NAME=`which $1 2> /dev/null` fi NEW_NAME=${APP_NAME}.bin if test -n "$APP_NAME" ; then if ! test -f "$NEW_NAME" && ! test -d "$NEW_NAME"; then mv "$APP_NAME" "$NEW_NAME" cp -af /opt/${VENDOR}/mfp/bin/suwrap "$APP_NAME" chown root:root "$APP_NAME" chmod 4755 "$APP_NAME" fi fi } wrap_setuid_ooo_application() { WRAPPING_BIN=`ls /usr/lib*/*/program/$1.bin /opt/*/program/$1.bin 2> /de v/null | head -1` if test -n "$WRAPPING_BIN" ; then ${2}wrap_setuid_third_party_application $WRAPPING_BIN fi }Donc en gros il te copie les exécutables ooo dans /opt avec l'extension .bin et il te les remplace par un script setuid qui les appelles. Je n'ai jamais vu une telle horreur.
[^]Re: Voir source du script d'installation
hallucinant !!! c'est une sorte de cheval de Troie ?
Que me conseilles-tu de faire?
Si je lance les binaires d'openoffice directement dans /usr/bin cela ne change rien au problème.
Comment se fait-il par ailleurs que nautilus lancé en user normal ait le droit de supprimer des fichiers rwx r-- --- ?
[^]Re: Voir source du script d'installation
Je ne pense pas que ce soit un cheval de troie mais plutôt une très mauvaise façon de controuner un problème dans leur driver.
Pour nautilus, aucune idée.
Pour ce que je te conseille, rien de bien simple. Perso, ce que je ferais, c'est exécuter le scipt d'installation en enlevant ces lignes setuid. Ensuite, voir les droits minimum dont a besoin xsane pour fonctionner, créer un groupe dédié qui a les droits sur les bons périphériques de /dev (apparemment /dev/mfpports et le port série) et s'ajouter dans ce groupe. Mais je sais pas si c'est possible. A voir, par tatonnement en utilisateur normal en regardant ce qui ne marche pas (éventuellement à coup de strace)...
Pour info, c'est comme celà que fonctionne l'usb, la carte son, etc (au moins sur Debian et ubuntu) : si tu n'es pas dans le groupe audio, tu ne peux pas écouter de musique car seul les utilisateurs du groupe audio on le droit d'écrire dans /dev/snd/*.
[^]Re: Voir source du script d'installation
C'est affreux parce qu'il y a bon nombre de gens qui pensent que l'on ne peut pas faire autrement que de passer root dès lors qu'UNIX dresse la moindre barrière ! "Bah oui, j'ai été obligé de défoncer la porte puisqu'elle était fermée à clef ...".
Ce post-ci, dans lequel l'auteur a au moins le mérite d'être clair sur ses intentions, est assez révélateur de ce qui doit se passer dans la tête de pas mal de monde : https://linuxfr.org/forums/15/22167.html
Et c'est inquiétant parce que cela confirme la probabilité d'un grand danger avec l'expansion du système dans le grand public : la faille de sécurité majeure viendra de l'utilisateur.
[^]Re: Voir source du script d'installation
cette façon de faire est même en contradiction avec le projet Linux.
En attendant, j'aurais préféré faire un 'dewrappage' ! J'ai passé la journée d'hier à installer les drivers pour m'apercevoir à la fin que tout déconnaît. et je sens que c'est reparti !
[^]Re: Voir source du script d'installation
c'était d'ailleurs l'origine de la réputation de manque de sécurité des Unices au début des années 90 il me semble... Ben oui, c'est plus simple quand tout tourne en root...[^]Re: Voir source du script d'installation
en fait le script d'nstallation du driver a aussi changé le propriétéaire de /etc (qui n'appartient plus à root mais à l'user normal).
[^]Petit point !
L'installation des drivers unifiés SAMSUNG pose donc quelques soucis. Je suis ravi parce que ce post apportera une solution à tout ceux qui comme moi ont dû rencontrer ce problème.
J'ai fait ce que tu m'as conseillé, en modifiant le script d'installation des drivers (il suffit de commenter les lignes citées plus haut) et l'installation se déroule normalement.
Open office fonctionne très bien comme ça et est en mesure d'imprimer. Pour scanner (série des imprimantes scx-4100 scx-4200) le patch de jacomo est indispensable et je remets ici le lien : http://jacobo.tarrio.org/Samsung_SCX-4200_on_Debian
PAR CONTRE ! pourquoi me fait-il un chown user /etc ?
Le propriétaire du répertoire /etc n'est-il pas normalement root ?
[^]Re: Petit point !
PAR CONTRE ! pourquoi me fait-il un chown user /etc ?
Parce que le type qui a écrit le script d'installation est un incapable.
C'est même grave de laisser des gens avec ce niveau d'incompétence écrive des scripts/programmes qui sont diffusés au grand public.
Le propriétaire du répertoire /etc n'est-il pas normalement root ?
Si, et seul root à le droit d'y écrire (ainsi que les fichiers s'y trouvant). Avec la commande chown, tu peux changer le propriétaire.
Par contre, fait attention aux propriétaires et aux droits des fichiers s'y trouvant. En cas de mauvais réglage, tu peux bloquer ta machine, si des fichiers sont innacessibles.
[^]Re: Petit point !
Merci à tous...
Je me suis incliné et j'ai rendu à Root ce qui appartenait à Root, n'en déplaise à Samsung.
[^]Re: Petit point !
Moi j'aurais posté çà sur slashdot et totalementcretin/
Sans rire, un volontaire pour prévenir Samsung que leur bêtise risque de ternir la marque entière ?
[^]Re: Petit point !
Tu as ete entendu ;-)
http://totalementcretin.apinc.org/blog/2007/07/13/415-imprim(...)
Les fans de Ubuntu et leurs CD, c'est comme les Mormons avec leur évangile, ils en ont toujours sur eux à donner, au cas où.
Zorro.
[^]Re: Petit point !
Et ici aussi :
http://it.slashdot.org/it/07/07/18/0319203.shtml
[^]Re: Petit point !
Amen !
http://totalementcretin.apinc.org/blog/2007/07/13/415-imprim(...)
The UNIX way of sex:
date;cd ~;gunzip;strip;touch;finger;mount;fsck;more;yes;umount;sleep
[^]Re: Petit point !
En revanche, s'il y en a un qui mérite un bon coup de plussoir, c'est niol pour avoir mis le doigt dessus tout de suite. C'est brillant :
http://linuxfr.org/comments/850495.html#850495
[^]Re: Petit point !
ATTENTION, ce n'est pas toujours vrai :
En particulier, beaucoup de fichiers de config appartiennent à root mais font également partie d'un groupe, ce afin que les utilisateurs autorisés puissent modifier ce qui relève de leurs prérogatives.
Il faut aussi tenir compte des pseudo-users, tels que postgresql, qui est assez tâtillon sur les droits d'accès.
Bref, si un script d'installation m'avait fait ce coup-là, ça m'aurait mis de très mauvaise humeur ...
[^]Re: Petit point !
Ma foi, j'ai bel et bien l'impression d'avoir soulevé un lièvre. Pourtant je n'ai vu personne se plaindre de ce driver depuis le mois d'avril et des multifonctions Samsung, il doit s'en vendre pléthore !
J'ai mis à jour des listes de discussions du forum ubuntu sur le thème.
[^]Re: Petit point !
ATTENTION, ce n'est pas toujours vrai :
En particulier, beaucoup de fichiers de config appartiennent à root mais font également partie d'un groupe, ce afin que les utilisateurs autorisés puissent modifier ce qui relève de leurs prérogatives.
...
Tout à fait.
Il doit être possible de contrôler tout ça avec l'utilitaire de gestion des package. Sous Mandrake, la commande rpm (et sûrement ses alternatives) peut contrôler les fichiers des packages installés, notamment les droits.
[^]Re: Voir source du script d'installation
C'est aussi le problème MAJEUR de l'OS Windows !
Par défaut droit admin:
- DebugPrivileges
- Chargement de drivers
- Destruction du système de fichier
- etc.....
Qu'un produit "industriel" se permette de faire ca sur un *nix.....
On vous ment! Mais pas moi...
[^]Re: Voir source du script d'installation
Nan, justement, sous Windows, même en Administrateur, tu n'es pas sûr de pouvoir tout faire, et encore moins avec les niveaux d'accréditation prédéfinis inférieurs.
Le vrai problème majeur, comme tu dis, c'est que bien souvent, pour pouvoir faire quelque chose d'un tant soit peu ambitieux, on est obligé de passer Administrateur, et du coup, la majorité des utilisateurs qui émigrent sous UNIX exportent le même modèle de pensée, alors qu'à la base ce n'est quand même franchement pas compliqué : 99% des ressources se gèrent au travers du système de fichiers.