Sudo 1.9.9 et Opendoas 6.8.2

Posté par  . Édité par Benoît Sibaud. Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
35
9
fév.
2022
Administration système

Le 28 janvier 2022 Sudo et OpenDoas proposaient simultanément leurs nouvelles versions. sudo c'est la commande présente dans toutes nos distributions qui permet d'exécuter un programme au nom d'un autre utilisateur — elle est couramment utilisée pour lancer une commande d'administration sans être root. doas c'est son pendant chez OpenBSD et OpenDoas en est le portage sur Linux. L'intérêt ? Une version plus simple et allégée (sur une Debian stable par exemple : doas version am64 paquet de 20,6 kB pour 68,0 kB déployés, avec deux dépendances libc6 et libpam0g, sudo version amd64 paquet de 1033,9 kB pour 4589,0 kB installés, avec 7 dépendances libaudit1, libc6, libpam-modules, libpam0g, libselinux1, libselinux1 et zlib1g).

Les nouveautés sont mineures, à moins de s'en servir dans des scripts (je vous renvoie aux changelogs). Mais c'est l'occasion de parler du petit frère allégé :

Doas est l’œuvre de Ted Unangst qui fait un récit savoureux de ses motivations et changements (la bonne vieille histoire du développeur fainéant qui se retrouve contraint de finir un logiciel qui intéresse la communauté). Sa configuration est simple et différente de Sudo : plutôt que donner des droits à l'utilisateur, on indique la commande puis les utilisateurs autorisés. Ça devrait contraindre l'administrateur à être plus attentif.

Journal CVE-2021-3156 Vulnérabilité majeure dans sudo

Posté par  . Licence CC By‑SA.
21
28
jan.
2021

Une faille de sécurité a été découverte et corrigée dans le logiciel sudo, elle est présente dans les versions inférieures à la 1.9.5p2.

Pensez à mettre à jour vos machines.

Je poste cela dans les journaux pour donner un maximum de visibilité à l'information.

Sources:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3156
https://www.comptoir-hardware.com/actus/software-pilotes/43375-une-faille-decouverte-dans-sudo-mettez-votre-linux-a-jour-.html

Forum Linux.redhat Je ne suis pas dans /etc/sudoers et c'est étrange

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
1
8
août
2020

À l'installation de la Fedora que j'utilise actuellement j'ai choisi de désactiver le compte root, et je peux exécuter les commandes nécessitant des privilèges élevés avec sudo. Mais étrangement mon user ne figure pas dans le fichier /etc/sudoers.

D'habitude (peut-être mauvaise) quand j'installe sudo sur une distro (même sur FreeBSD) j'ajoute la ligne :

user_name    ALL=(ALL)       ALL

à ce fichier.

1/ comment se fait-il que j'ai les droits root en utilisant sudo ?
2/ quand j'ajoute cette fameuse (…)

Forum Linux.général Quelle doit être la robustesse des mots de passe utilisateurs (root compris) ?

Posté par  (site Web personnel) . Licence CC By‑SA.
1
8
août
2020

Je me pose cette question : sur un poste personnel, derrière une box quelconque, les utilisateurs doivent-ils avoir des mots de passe forts, et donc difficiles à retenir/frapper ? Pareil pour root, qui d'ailleurs peut être désactivé (le mdp pas le compte) sur certaines distros (ici Fedora) en choisissant un utilisateur qui aura les droits sudo ALL ALL (mal formulé mais vous comprendrez).

Question subsidiaire : y-a-t il moyen de voir quelle sont les attaques sur ces comptes ?

Journal sudo, faille pwfeedback

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
22
1
fév.
2020

Une nouvelle version de sudo est sortie. Elle corrige une faille assez sévère.

L'option pwfeedback est une option qui offre un retour visuel lors de la saisie du mot de passe, en affichant des étoiles. Le bogue entraîne un dépassement de tampon, notamment lorsqu’un utilisateur, même non enregistré, tape ^U (effacer la ligne) sur un longue chaîne.
Cette option est désormais ignorée dans un environnement hors TTY, propice à ce comportement. Elle est toutefois rarement activée par défaut.

Cette (…)

Version 2 du RootAsRole : se passer des commandes sudo et su sous GNU/Linux

Posté par  . Édité par ZeroHeure, Davy Defaud, Xavier Teyssier, Benoît Sibaud, gUI et Ysabeau. Modéré par Pierre Jarillon. Licence CC By‑SA.
Étiquettes :
39
25
oct.
2019
Administration système

Le module RAR (Root As Role) implémente une approche basée sur les rôles pour distribuer les privilèges aux utilisateurs. Il fournit une solution qui permet aux utilisateurs de contrôler la liste des privilèges qu’ils accordent aux programmes. Grâce à ce module, les administrateurs peuvent regrouper les privilèges Linux dans des rôles et les donner à leurs utilisateurs. Pour des raisons de sécurité, les utilisateurs n’obtiennent pas les rôles attribués par défaut, ils doivent les activer à l’aide de la commande sr (changer de rôle).

Copie d’écran de Root As Role

Cependant, la première version du RAR ne fournissait pas à l’administrateur la possibilité de connaître l’ensemble des privilèges qui sont demandés par un programme. Cette deuxième version ajoute l’outil capable qui permet à l’administrateur de disposer de cette information. Nous pensons que cet outil va largement contribuer à l’adoption de RootAsRole.

Journal Faille dans sudo

Posté par  . Licence CC By‑SA.
Étiquettes :
24
14
oct.
2019

Cher journal,

Je ne t’écris pas aujourd’hui pour te parler de bière, mais pour te parler d’une faille dans sudo. A priori, elle est assez grave, puisqu’elle permet à un utilisateur qui ne peut pas lancer de commande en tant que root à outrepasser cette restriction en passant le userid −1 ou 4 294 967 295. Ceci veut dire que la commande suivante:

sudo -u#-1 id -u

Renvoie 0. Cependant, cela arrive pour des cas de configuration spécifique. Il faut (…)

Linux capabilities : se passer des commandes su et sudo

Posté par  . Édité par Benoît Sibaud, ZeroHeure, Pierre Jarillon, ymz et Davy Defaud. Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
59
6
sept.
2018
Administration système

Nous proposons un module qui permet de se passer des commandes su et sudo. L’avantage de notre module est qu’il permet de contrôler la liste des privilèges donnés aux programmes.

Traditionnellement, l’administration des systèmes GNU/Linux repose sur l’existence d’un seul utilisateur puissant (appelé super‐utilisateur) qui détient à lui seul la liste complète des privilèges du système. Cette vision a été critiquée car tous les programmes exécutés dans le contexte du super‐utilisateur obtiennent beaucoup plus de privilèges qu’ils n’en ont besoin. Par exemple, tcpdump demande uniquement le privilège cap_net_raw pour s’exécuter. Cependant, en l’exécutant dans le contexte de super‐utilisateur, tcpdump obtient la liste complète des privilèges du système. Ainsi, l’approche traditionnelle de l’administration GNU/Linux rompt le principe du moindre privilège, qui garantit qu’un processus doit juste avoir les privilèges nécessaires pour effectuer son travail. Un attaquant pourrait exploiter les vulnérabilités de tcpdump afin de compromettre la sécurité du système.

Il existe cependant une autre voie, non officielle, mais intégrée au noyau Linux depuis 1998…

Forum Linux.général [CLI] Arrêter la machine en utilisateur

Posté par  (site Web personnel) . Licence CC By‑SA.
1
1
nov.
2016

Bonjour.
Utilisateur (pas administrateur système) aujourd'hui avertis de système GNU/Linux, j'ai monté une petite machine uniquement en ligne de commande (pour l'exercice, mais aussi car c'est bien suffisant pour ce que je veux en faire). Mais si l'utilisation ne me pose pas de difficultés, un problème reste en suspend :

Comment fait un utilisateur pour demander l'arrêt de la machine en ligne de commande ?
Quelle est la «bonne» méthode ?
Ou en tout cas celle qui s'éloignera le moins d'une utilisation (…)