Linux capabilities : se passer des commandes su et sudo

Posté par . Édité par Benoît Sibaud, ZeroHeure, Pierre Jarillon, Davy Defaud et Trollnad Dump. Modéré par Benoît Sibaud. Licence CC by-sa.
55
6
sept.
2018
Administration système

Nous proposons un module qui permet de se passer des commandes su et sudo. L’avantage de notre module est qu’il permet de contrôler la liste des privilèges donnés aux programmes.

Traditionnellement, l’administration des systèmes GNU/Linux repose sur l’existence d’un seul utilisateur puissant (appelé super‐utilisateur) qui détient à lui seul la liste complète des privilèges du système. Cette vision a été critiquée car tous les programmes exécutés dans le contexte du super‐utilisateur obtiennent beaucoup plus de privilèges qu’ils n’en ont besoin. Par exemple, tcpdump demande uniquement le privilège cap_net_raw pour s’exécuter. Cependant, en l’exécutant dans le contexte de super‐utilisateur, tcpdump obtient la liste complète des privilèges du système. Ainsi, l’approche traditionnelle de l’administration GNU/Linux rompt le principe du moindre privilège, qui garantit qu’un processus doit juste avoir les privilèges nécessaires pour effectuer son travail. Un attaquant pourrait exploiter les vulnérabilités de tcpdump afin de compromettre la sécurité du système.

Il existe cependant une autre voie, non officielle, mais intégrée au noyau Linux depuis 1998…

Forum Linux.général [CLI] Arrêter la machine en utilisateur

Posté par (page perso) . Licence CC by-sa.
1
1
nov.
2016

Bonjour.
Utilisateur (pas administrateur système) aujourd'hui avertis de système GNU/Linux, j'ai monté une petite machine uniquement en ligne de commande (pour l'exercice, mais aussi car c'est bien suffisant pour ce que je veux en faire). Mais si l'utilisation ne me pose pas de difficultés, un problème reste en suspend :

Comment fait un utilisateur pour demander l'arrêt de la machine en ligne de commande ?
Quelle est la «bonne» méthode ?
Ou en tout cas celle qui s'éloignera le moins d'une utilisation (...)

Journal Vulnérabilité dans sudo

Posté par (page perso) . Licence CC by-sa.
21
31
jan.
2012

Une vulnérabilité vient d'être trouvé dans l'utilitaire sudo. Elle est présente dans la fonction sudo_debug où un appelle à getprogname() est effectué. Or le nom de l’exécutable étant contrôlé par l'utilisateur, on peut induire un comportement non voulu.

Les versions concernées sont les versions 1.8.0 à 1.8.3p1. La version 1.8.3p2 corrige la faille.

Plus de détails ici : http://seclists.org/fulldisclosure/2012/Jan/att-590/advisory_sudo.txt

Journal Ma simple session avec Compiz et Cairo-dock

18
17
juil.
2011

Sommaire

Je continue mon exploration de ma nouvelle machine, et j'ai (dès le départ) profité de Compiz pour agrémenter l'expérience utilisateur. Ce que j'aime dans Compiz c'est le placement des fenêtres sur la moitié droite et la moitié gauche en un raccourci clavier, le cube avec les engrenages, et les fenêtres qui se déforment. C'est gadget, sauf le placement. (...)

Forum Linux.général Comment donner les mots de passes admin, et protéger ses fesses.

Posté par .
Tags :
3
29
avr.
2011

Hello tout le monde.

Encore une fois, une question de responsabilité.

Cette fois-ci, le big boss me demande les mots de passes admin. Or, si je lui donne, il faut que je puisse prouver que je le lui ai donné, et qu'il y a donc plusieurs responsable en cas de pépins sur les machines.

Est ce que vous auriez sous la main un modèle qui serait adapté à cette situation, et qui stipulerait que je ne serai plus responsable de (...)