Version 2 du RootAsRole : se passer des commandes sudo et su sous GNU/Linux

Posté par  . Édité par ZeroHeure, Davy Defaud, Xavier Teyssier, Benoît Sibaud, gUI et Ysabeau 🧶 🧦. Modéré par Pierre Jarillon. Licence CC By‑SA.
Étiquettes :
39
25
oct.
2019
Administration système

Le module RAR (Root As Role) implémente une approche basée sur les rôles pour distribuer les privilèges aux utilisateurs. Il fournit une solution qui permet aux utilisateurs de contrôler la liste des privilèges qu’ils accordent aux programmes. Grâce à ce module, les administrateurs peuvent regrouper les privilèges Linux dans des rôles et les donner à leurs utilisateurs. Pour des raisons de sécurité, les utilisateurs n’obtiennent pas les rôles attribués par défaut, ils doivent les activer à l’aide de la commande sr (changer de rôle).

Copie d’écran de Root As Role

Cependant, la première version du RAR ne fournissait pas à l’administrateur la possibilité de connaître l’ensemble des privilèges qui sont demandés par un programme. Cette deuxième version ajoute l’outil capable qui permet à l’administrateur de disposer de cette information. Nous pensons que cet outil va largement contribuer à l’adoption de RootAsRole.

Linux capabilities : se passer des commandes su et sudo

Posté par  . Édité par Benoît Sibaud, ZeroHeure, Pierre Jarillon, bubar🦥 et Davy Defaud. Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
59
6
sept.
2018
Administration système

Nous proposons un module qui permet de se passer des commandes su et sudo. L’avantage de notre module est qu’il permet de contrôler la liste des privilèges donnés aux programmes.

Traditionnellement, l’administration des systèmes GNU/Linux repose sur l’existence d’un seul utilisateur puissant (appelé super‐utilisateur) qui détient à lui seul la liste complète des privilèges du système. Cette vision a été critiquée car tous les programmes exécutés dans le contexte du super‐utilisateur obtiennent beaucoup plus de privilèges qu’ils n’en ont besoin. Par exemple, tcpdump demande uniquement le privilège cap_net_raw pour s’exécuter. Cependant, en l’exécutant dans le contexte de super‐utilisateur, tcpdump obtient la liste complète des privilèges du système. Ainsi, l’approche traditionnelle de l’administration GNU/Linux rompt le principe du moindre privilège, qui garantit qu’un processus doit juste avoir les privilèges nécessaires pour effectuer son travail. Un attaquant pourrait exploiter les vulnérabilités de tcpdump afin de compromettre la sécurité du système.

Il existe cependant une autre voie, non officielle, mais intégrée au noyau Linux depuis 1998…

Forum Linux.général Script ne se comportant pas pareil selon le mode de lancement

Posté par  . Licence CC By‑SA.
Étiquettes :
2
30
avr.
2017

Alors voilà. J’ai un script Python qui ne fork pas mais qui ne se termine pas (while true { do things; sleep }), lorsque je le lance en tant qu’utilisateur ainsi :

$ /path/to/python /path/to/script.py

le programme s’exécute bien au premier plan. Par contre, lorsque que je le lance ainsi (en étant root) :

# su - c '/path/to/python /path/to/script.py' user

le programme fork… Je ne comprends pas pourquoi et c’est pour ça que je fais appel à vous.

Je (…)

Forum Linux.android alternative opensource à superSU

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
3
15
mar.
2015

Pour android < 5, on avait le choix entre superSU et superuser pour obtenir les droits root.

Contrairement à SuperSU, superuser est opensource. Cependant le projet est semble-t-il abandonné, et il n'est pas compatible avec Lollipop.

Du coup aujourd'hui, si on veut rooter son ordiphone sous android lollipop on est obligé d'utiliser SuperSU dont le code n'est pas auditable. Cela s'ajoute au fait que la plupart des pilotes matériel sont fournis dans leur forme binaire sans les sources.

Connaissez-vous (…)

Journal Fédérer la promotion des Logiciels Libres dans le supérieur ?

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
13
13
mar.
2011

Bonjour,
Je suis actuellement étudiant en classe préparatoire scientifique en 2e année à l'ISEN Toulon et comme dans de nombreuses écoles d'ingénieurs, les clubs étudiants sont très présents et la participation à des activités associatives est obligatoire dans le cadre de la formation.
Plutôt que d'aider des projets avec peu d'intérêt, j'ai décidé avec des partenaires de fonder une association pour promouvoir le Logiciel Libre dans l'établissement (et aux alentours), c'est le CILL : Club de l'ISEN sur les Logiciels (…)