Les journaux sont destinés à des informations qui ne sont pas suffisamment intéressantes
pour être validées en dépêche (sinon n'hésitez pas à proposer votre information en
dépêche), qui sont sans rapport avec Linux ou le libre, ou simplement pour donner votre
avis. Si vous désirez poser une question, merci d'utiliser Derniers journaux de khalahan :
- [12/01@09:42] Cours d'initiation à Linux : quel contenu ?
- [10/06@13:32] Intel publie les premières ébauches de ses pilotes Linux pour Centrino
- [29/05@21:02] Port fermé, mais accessible
- [09/04@09:15] Site d'aide informatique
- [15/03@08:33] Problème Samba et lecture de fichiers
- [13/03@11:34] Problème Samba et lecture de fichiers
- [23/01@17:18] Un clône de l'iPod intéressant (support OGG)
- [14/11@15:20] Problème avec 2 cartes réseau
Journal : Linux, les failles, les virus et le grand public
Posté par khalahan () le 18 mai 2005La 1ère catégorie a peu d'impact sur les systèmes à jour. Les mises à jour de linux avec les systèmes de packages gérés par les distributions permettent aussi de diminuer le risque, car l'utilisateur met en général toute sa distribution à jour d'un coup.
Cependant, le grand public n'est pas encore forcement sensibilisé à ces problèmes de mises à jour et de failles de sécurité.
Je pense que les distributions devraient proposer une sorte d'outil qui prévient visuellement l'utilisateur qu'il y a des mises à jour disponibles (cela existe-t-il déjà pour certaines distributions ?).
La 2ème catégorie est plus problématique, car ce qui pose problème ce sont la naïveté et la méconnaissance de l'informatique entre autres.
Linux et son système de bits d'exécution permet de réduire énormément ce problème, mais il existe encore quelques cas qui permettent d'infecter une machine :
- décompression d'une archive .tar.gz qui contient des fichiers exécutables (téléchargée sur internet ou reçu par mail ou messagerie instantanée)
- modification manuelle des droits d'exécution d'un fichier (en console ou en mode graphique)
Un utilisateur n'a par défaut pas le droit de rajouter de programme dans les dossiers du système, il peut uniquement écrire dans ~ et /tmp et c'est à ces endroits que les virus vont être enregistrés par l'utilisateur.
Quelle solution existante pour résoudre ce problème, sachant que l'utilisateur peut aussi installer des programmes utiles non fourni par sa distribution ?
Pour répondra à cette question, il faut d'abord définir différents profils d'utilisation d'une machine Linux :
1. Machine perso, mono-utilisateur
2. Machine multi-utilisateurs (famille ou entreprise)
3. Machine multi-utilisateurs administrée par personne/tout le monde
Solutions :
- un noexec sur les partitions /tmp et /home :
* il faut obligatoirement que /tmp et /home soient sur des partitions séparées
* les programmes utiles dans ~ et /tmp ne fonctionnent plus
=- utile dans le cas où un administrateur veut volontairement brider ses utilisateurs, mais très génant pour les autres cas.
- autre solution ?
> Lire le journal (16 commentaires, moyenne: 2,4).
Ca existe déjà pour le 1) ...
... sous Ubuntu (peut être Kubuntu, je ne sais pas).
Il y a dans la barre des tâches un notificateur de mise à jour qui apparaît quand il y a des mises à jour disponible depuis la Hoary. Ca marche plutôt bien pour l'instant.
-
[^]Re: Ca existe déjà pour le 1) ...
Posté par Twidi (Jabber id, page perso, ) le 18/05/2005 à 12:29. (lien). Évalué à 1.Malheureusement j'étais à l'orignie sous la warty et quand j'ai installé la hoary, je l'ai fait en ecrasant la warty mais j'ai gardé mon home
De ce fait, ce notificateur n'est pas présent dans mon profil (alors qu'il l'est bien sur un nouveau profil)
Tu as une petite idée du comment faire ?-
[^]Re: Ca existe déjà pour le 1) ...
-
-
[^]Re: Ca existe déjà pour le 1) ...
Posté par TImaniac (page perso, ) le 18/05/2005 à 13:32. (lien). Évalué à 2.idem sous fedora, y'a un point d'exclamation qui clignotte quand des mises à jour sont dispos (uniquement à travers up2date, ce qui limite l'intérêt)).
-
[^]Re: Ca existe déjà pour le 1) ...
Posté par Clément Schreiner (page perso, ) le 18/05/2005 à 16:29. (lien). Évalué à 4.Ca existe aussi pour SuSE :)
-
[^]Re: Ca existe déjà pour le 1) ...
Posté par yoho (page perso, ) le 18/05/2005 à 22:55. (lien). Évalué à 2.Oui, enfin, ça existe pour toutes les distros quoi ;)
Maj
Je pense que les distributions devraient proposer une sorte d'outil qui prévient visuellement l'utilisateur qu'il y a des mises à jour disponibles (cela existe-t-il déjà pour certaines distributions ?).
Oui, au moins chez Mandriva et Suse.
Pour le reste, je sais pas.
Mais si ca prévient des maj sécu, à ma connaissance ca ne te dit pas que ton Gimp n'est plus à jours (mais je me trompe peut être).
Mais ca va bien finir par arriver...
-
[^]Re: Maj
Lancer Bastille ?
Bastille :
The Bastille Hardening program "locks down" an operating system, proactively configuring the system for increased security and decreasing its susceptibility to compromise. Bastille can also assess a system's current state of hardening, granularly reporting on each of the security settings with which it works.
lien :
http://www.bastille-linux.org/(...)
Y.
http://softlibre.gloobe.org
noexec insuffisant
noexec ne suffit pas. C'est contournable très facilement : soit c'est un script et
/bin/bash ./virus.sh
suffira. Soit c'est un exécutable ELF et
/lib/ld-linux.so.2 ./virus
fonctionnera.
(N'essayez pas le chmod -x /lib/ld-linux.so.2, c'est une mauvaise idée qui vous fera sortir le CD rescue).
-
[^]Re: noexec insuffisant
Posté par Brice Arnould ( un_brice ) (page perso, ) le 18/05/2005 à 17:24. (lien). Évalué à 5.Par contre, le patch GRsec permet de n'autoriser l'éxécution que de programmes situés dans des répertoires accessibles en écriture au seul root.
Et on peut limiter cette restriction à un seul groupe d'utilisateurs.--
Respect à RMS.
-
[^]Re: noexec insuffisant
Posté par Jean-Jacques () le 18/05/2005 à 19:50. (lien). Évalué à 0.En effet, pourquoi personne n'a jamais pensé à boucher cette faille dans le CVS de bash et dans celui de la glibc ?
-
[^]Re: noexec insuffisant
Posté par Thomas Douillard () le 18/05/2005 à 19:59. (lien). Évalué à 2.Je pensais à ça, aussi, mais j'ai une objection : Comment tu exécutes ces commandes automatiquement ?
A part demander à l'utilisateur explicitement de taper les commandes (ésotériques), je vois pas.
J'ai pensé aussi à insérer une ligne dans le .bashrc ou un fichier exécuté au démarrage, mais il faut aussi ... un script, pas exécutable automatiquement à priori. Donc c'est déja une barrière non négligeable, sauf si j'ai loupé un épisode. C'est déja bien plus compliqué que de double cliquer sur un fichier.-
[^]Re: noexec insuffisant
Posté par Thomas Douillard () le 18/05/2005 à 20:11. (lien). Évalué à 2.Ah si, je vois en fait, un gestionnaire de fichier/shell configuré pour ouvir les .py avec python, les .sh avec bash et caetera. Mais je crois pas que ce soit le cas par défaut.
-
-
[^]Re: noexec insuffisant
Posté par Thierry Boudet (page perso, ) le 19/05/2005 à 20:03. (lien). Évalué à 1.(N'essayez pas le chmod -x /lib/ld-linux.so.2, c'est une mauvaise idée qui vous fera sortir le CD rescue).
Il y a une façon plus technique de résoudre ce dilemne: http://pafoo.net/uninstallglibc/uninstglibc.html(...)
----
je suis déja retourné dans la piscine...
[+] man bash
je crois qu avec 'source' ou 'exec' tu peux executer un fichier non executable ... mais pas trop sur.
Cette page a été générée par Templeet en 0.0788s (dont 0.0078 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.