Amélioré parce que c'est automatisé (une UI qui dit "Désolé machin, seuls root et PBPG ont le droit de faire ça, mais peut-être voulez vous changer d'identifiant pour un de ces deux-là?") mais ça reste à la base un changement d'utilisateur au vol, donc su.
Trouver quels sont les utilisateurs qui ont le droit demander et le presenter a l'utilisateur, desole mais je ne connais pas d'OS qui le fasse.
Le brevet il n'est pas sur le changement d'utilisateur, il est sur le fait de presenter a l'utilisateur quel compte permet l'action X
Et en passant, dans le cas de Windows c'est pas forcement un changement d'utilisateurs, tu peux aussi passer de l'utilisateur X avec droits restreints a X avec droits complets, concept que Unix en general n'a pas.
La realite c'est qu'au debut les netbooks ils etaient sous Linux uniquement, lorsque Windows s'est mis a apparaitre dessus, les gens ont massivement abandonne les netbooks Linux pour ceux sous Windows.
Ca c'est les faits, pas de pression de MS la-dedans, les netbooks Linux etaient la avant ceux sous Windows et ils se vendaient, au moment ou ceux sous Windows sont apparus, les gens ont fait leur choix tres clairement.
Heureusement que tu es la pour nous sortir la meme connerie a chaque fois sur un sujet auquel tu ne comprends rien, on aurait failli avoir une discussion interessante sans toi.
Il y a des gens/sociétés qui sont intéressés à ce que le code source de Linux ne présente pas de "back doors" et autres joyeusetés du genre (sinon, cela ferait tomber une bonne partie de leur "business-model"), et qui scrutent le code à ma place.
Et il y a des centaines / milliers de societes et gouvernements qui ont le meme interet vis a vis de Windows et qui scrutent le code a ta place...
C'est beaucoup plus dur avec Windows (seuls quelques initiés ayant signé un partenariat avec Microsoft ont ce droit).
Plutot que ressortir les conneries constantes de groklaw, lire le brevet te permettrait de voir que le but du brevet est d'offrire une UI qui liste les comptes permettant d'effectuer l'operation demandee.
The following disclosure describes one or more tools enabling a user to elevate his or her rights. In one embodiment, the tools present a user interface to a user whereby the user may elevate his or her rights without having to search for or type in an account name. This user interface may be presented in response to a request to perform a task requiring a right not permitted by the user's current account. In some cases, for example, the tools determine which accounts have rights sufficient to enable a user to perform a task not permitted by a user's current account. The tools may then present these accounts and enable the user to select and submit an authenticator for one of these accounts.
T'es dur avec moi, j'avais dit pas de discussion sur l'installation d'application. Il y a des moyens de s'assurer que le logiciel ne s'installe pas avec suid.
Il n'y a absolument aucun moyen de te proteger si tu laisses un utilisateur installer un soft en tant que root, absolument aucun.
Une fois que l'installer est root, il peut editer/effacer/... ce qu'il veut. T'as beau l'empecher de mettre un soft suid root, il ira modifier un fichier de config, script ou autre executable qui lorsque il sera execute par le systeme en tant que root(init.d, le .bashrc de root, etc...) lui donnera les privileges necessaires.
T'as rien compris (ou tu fais exprès). J'en ai pas besoin. Ce que j'ai dit c'est : J'aimerais avoir un outil identique à sudo sur Windows pour pouvoir lancer des scripts de login avec (par exemple).
Je ne vois vraiment pas l'utilite de mettre une faille dans le systeme non.
Il y a un soft dispo appelle sudowin si tu as vraiment envie de te tirer une balle dans le pied, mais a ta place j'eviterais
Ensuite, pour ton histoire de malware, on en discute même pas, tellement c'est du n'importe quoi.
C'est loin d'etre du n'importe quoi, c'est une realite. Je regarde ton systeme que TU administres(selon ce que tu as ecrit plus haut), un malware pourrait passer a travers sudo et controler le systeme.
Ok, je vais essayé d'être simple : Linux -> Intégrable dans un réseau existant, hétérogène, utilisable à 100%. Windows -> Intégrable dans un réseau existant, hétérogène, utilisable à 50%.
Mais ta phrase ne montre toujours rien, si 50% des possibilites de Windows est plus grand que 100% des possibilites de Linux, Windows est encore le meilleur choix.
Moi je te demandes des exemples de ce que tu ne peux pas faire avec Windows que tu peux faire avec Linux en tant qu'admin sur un reseau d'entreprise sans Windows Server
C'est l'avantage des statistiques, on peu les réinterprété comme on veut, ça voudra toujours dire ce qu'on veut.
Quel humour.
Il y a 2 stats :
a) % de marche en terme de $ depense sur des serveurs
b) % de marche en terme de nombre de serveurs vendus
Si tu n'arrives pas a voir la difference entre les 2, je ne peux rien pour toi.
Non. Le seul droit qu'ils doivent avoir c'est d'installer des applications (oui, c'est super dangereux, blablabla (ok on discutera pas de ça j'aime vivre dangereusement). Rien d'autre
Ben tu vois, tu montres que sudo pour etre utile doit etre dangereux. La tu dis "le seul droit qu'ils doivent avoir c'est d'installer des applications", ca revient a dire "le seul droit qu'ils doivent avoir c'est de pouvoir devenir root en installant un shell suid root"
Non (c'est pas dangereux), expliques-moi.
Oh je sais pas, on va imaginer un malware qui t'envoie son script a lui a travers sudo, nouvel exemple des raisons pour lesquelles un compte permettant sudo doit etre considere comme un compte root.
Je reposte pas le lien des 10 tickets, Samba et MS (et il a fallu une décision juridique de l'Union Européenne), il est plus haut. Bon c'est vrai. Ils sont accessibles : Après décision juridique de l'Union Européenne et payement de 10'000$ ... Wow, c'est de l'ouverture ça!
Ils sont accessibles oui, qu'ils doivent payer pour ou pas n'est pas la question. Payer pour des infos c'est courant dans l'industrie
Le besoin de Windows Server. Sans tu peux faire avec beaucoup plus de travail, parce que les documentations sont accessibles que si tu as un jugement en ta faveur et que tu paies. Donc au lieu de pouvoir mettre ne place les super fonctionnalités qui automatiserait le déploiement des GPO, tu dois faire du bricolage.
Mais de nouveau, je te demandes en quoi un Windows sans Windows Server est moins bien qu'un Linux, et tu ne reponds pas.
Tout ce que tu me dis c'est qu'un Windows sans Windows Server est moins bien qu'un Windows avec Windows Server, ca je l'ai compris hein
Ah Non ! Je fais l'effort d'utiliser des chiffres que tu donnes toi-même et maintenant tu me dis qu'ils sont faux et tu ne donnes pas de sources en plus ... Faudrait que tu te décides.
J'ai jamais dit que tes chiffres etaient faux, simplement faut savoir ce que ces chiffres representent.
Non, tu peux. Je l'ai expliquer 32 fois auparavant, épargnes-moi au moins une fois le besoin de me répéter (je le fais après, une dernière fois).
Tes explications soient ne bloquaient pas le malware (requiretty et nopasswd) soit rendaient sudo a peu pres inutile
Et non le malware il pourra pas. Sudo permet d'autoriser qu'une seule application à passer root (ou plus, ça dépend de ce que l'administrateur permet ou non).
De nouveau, ca rend sudo a peu pres inutile, car le nombre d'applications "utiles" qui ne permettent pas de passer root est plutot limite, ce qui forcera les utilisateurs a aller au help-desk
Donc à moins d'une *mauvaise configuration* de sudo, le malware ne pourra rien. Mais le système d'exploitation, qu'il soit Windows, Linux ou OS X, ne peut pas résister à une mauvaise configuration.
Le probleme c'est quand la mauvaise configuration est la seule maniere de rendre la feature a peu pres utile
Oui, des scripts le font. Mais on doit les lancer avec le compte administrateur et on a trouvé une solution à ça, mais elle est pas, par exemple, aussi simple qu'un sudo sans mot de passe, qui serait l'idéale.
Lancer un script par sudo est une horreur ignoble niveau securite, tu t'en rends compte rassure moi ? Tu montres toi-meme pourquoi sudo est mauvais !
Linux n'a pas accès à ces protocoles (ou difficilement) et ceux-ci automatisent une grande partie des tâches ... Pas besoin de faire des scripts qui peuvent facilement devenir très grand et très complexe (si un jour tu vois le script de démarrage qu'on a, tu serais étonné ... On investit du temps ou de l'argent, mais jamais les deux).
gni ? quels protocoles sont inaccesibles a Linux ? quel rapport avec les faiblesses de Windows ?
Côté serveur, Microsoft et Linux n'ont même pas 50% des parts de marchés à eux deux (tu avais donné le lien toi-même, il y a une semaine ou deux). On voit de plus en plus de portables Apple.
En terme d'unites, MS est a >60%, en termes de couts non vu que les serveurs Unix ca coute tres cher.
Non, la communauté est beaucoup plus réactive, sympathique et complète que le Microsoft qui répond "pas supporté" à toutes les questions ... Mais si on demande c'est qu'on a besoin, pas qu'on veut savoir si c'est supporté ou non ... Ou au moins avoir des indications, mais non, "pas supporté"
On repond pas supporte a toutes les questions ? Eh ben, si c'etait vrai mon team passerait ses journees a se tourner les pouces, mais a voir l'activite, il semble que non.
WSAStartup
Oh mon dieu, un appel de fonction a ajouter pour initialiser la librairie, quelle horreur !
La realite est que tous les APIs BSD sont la, le code gerant les communications n'a pas besoin de changer
Non, c'est su.
sudo te permet d'effectuer des operations en tant que root, partant de la, il te fait passer root
Tu me montres des liens qui présentent un problème de CONFIGURATION de l'outil et un problème lié à un AUTRE outil. Donc rien, mais vraiment rien d'autre que du fud.
Le probleme de sudo, c'est qu'il est a peu pres impossible de le rendre utile et utilisable sans en faire un trou de securite.
Alors oui, il n'y a pas de buffer overflow dans le code de sudo, mais c'est pas le probleme, Un malware dans un compte utilisateur avec sudo / su accessible pourra passer root a la prochaine utilisation de sudo / su, ce qui revient a rendre ce compte identique a root du point de vue du malware, acceder a l'un donne acces a l'autre
Oui, sauf qu'on doit pas payer 10 tickets pour avoir accès aux permettant d'utiliser les GPO sans Windows Server.
Tu me fais bien rire, administrative tools -> local security policy
et tout ca est faisable a travers qqe scripts automatiquement
Donc pour l'instant tu as absolument rien apporté de nouveau depuis le début. Si ce n'est de confirmé que oui, Windows n'est pas viable sans Windows Server en entreprise, que oui Windows Server est un ensemble de technologie faites pour ne pas être interopérable avec d'autres systèmes et que Windows desktop (2k/XP/Vista/7) nécessite, pour fonctionner entièrement, ces technologies non-interopérables.
C'est surtout toi qui a ete incapable de demontrer en quoi un Windows sans Windows Server est moins efficace et plus chiant a gerer qu'un Linux.
Pour survivre dans l'informatique aujourd'hui, elle doit pouvoir survivre sans Microsoft, malheureusement la majorité de ces entreprises ne le peuvent pas. Microsoft est voué à changer ou disparaître ... Microsoft est en train de suivre le chemin d'IBM dans les années 80 ...
C'est clair et net, et nos parts de marche qui augmentent sont la pour le prouver
Non non, il n'y a aucune excuse pour cette monstruosite.
Tu utilises des fonctions inline au besoin, mais un truc pareil c'est tout simplement inacceptable, le jour ou je vois un jeunot pondre un truc pareil dans une code review, je lui code 2 claques et l'envoie nettoyer les chiottes.
Gni ? Je te demandes en quoi Linux est mieux, ca n'a rien a voir avec Linux ou Windows
Je connais SFU, mais je parlais Posix dans le genre, je fais un petit programme pour commnuniqué sur le réseau, ben tiens, comme par hasard je dois faire un petit bout de code spéciale pour Microsoft Windows.
Il n'y a absolument aucun bout de code specifique a Windows a ecrire pour communiquer sur le reseau, les APIs BSD sont tous la, visiblement tu ne sais pas du tout de quoi tu parles.
Bon dieu le temps passe, alors oui dix ans que j'ai le même profile. Quand j'ai commencé sur Linux, j'avais Windows 98 à côté. Ensuite j'ai eu Windows 2000, puis XP. Mon profil n'a pas survécu à ces trois version. Par contre sous Linux, j'ai passé par RedHat, Suse, Mandrake, Gentoo, LFS et finalement Debian.
Et dieu sait le nombre de choses que tu as du recompiler ou autres car elles ne passaient pas d'une version a l'autre
En serveur j'ai majoritairement du Debian, mais aussi d'autres trucs (FreeBSD, Gentoo). Ça fonctionne. Après côté client, mixer des distributions c'est moins pire que mixer des versions Windows (2000, XP, Vista) (ah oui, on a des machines qui sont toujours sur 2000, parce que le fabricant du système connecté à l'ordinateur ne supporte que 2000).
Moins pire ? C'est vrai que ca doit etre super drole de devoir ecrire des scripts d'admins sacrement differents car les differentes distribs mettent leurs fichiers de config dans des endroits differents, certaines utilisent des systemes d'init differents, etc...
Un compte avec sudo a plus de droits, mais ce n'est pas un compte équivalent à un compte root.
D'un point de vue securitaire si, car sudo te permet de passer root.
C'est un peu le but, le rendre utile uniquement pour ce que JE permets aux gens. On est dans une entreprise, je peux pas laisser les gens ce faire plaisir
Tout a fait, le truc c'est qu'il suffit de l'ouvrir un petit peu pour en faire un trou de securite.
L'autre option c'est de le fermer a tel point qu'il n'amene quasiment rien.
Ca devient un peu l'equivalent de ces options de GPO (local ou pas) qui te permettent de dire que l'utilisateur peut changer l'heur ou autre truc basique, mais ca s'arrete la.
Tu ai un vrai de chez Microsoft : Fud, fud, fud. Mélange d'arguments, brouillage de la discussion, ... On sent bien que tu dois travailler proche des évangélistes Microsoft ... Tu es quoi "Senior Evangelist in Hostile Environment" ?
Il n'y a aucun fud, c'est une realite qui t'es donnee par un gars qui bosse dans la securite depuis qqe annees, avec des liens qui te montrent que c'est un probleme connu. Que tu refuses de la voir ne rend pas la chose irreelle
En tout cas tu arrives bien à mixer mes arguments, me les ressortir à l'envers et réussir à me faire croire que j'ai dit quelque chose que je n'ai pas dit (quand tu as mixer desktop et entreprise, chapeau bas).
Tu me fais rire, depuis le debut tu parles de Windows comme desktop dans ton entreprise sans Windows Server, c'est quoi si pas des desktops en entreprise ?
En effet, c'est un bug sympa mais le noyau xnu/Darwin n'y est probablement pour rien contrairement à la comparaison que tu fait avec le BSOD du kernel32.dll et avec bug du noyau linux.
Grande nouvelle: le bug de smb2 n'a rien a voir avec le noyau de Windows (qui n'est pas kernel32.dll en passant, cette dll c'est une dll user-mode), ce bug se trouve dans un driver qui implemente le protocole SMB2. Le noyau Windows n'a absolument aucune idee de ce qu'est TCP, Ethernet, IP ou SMB, il ne sait meme pas ce qu'est un reseau d'ailleurs.
- Un vrai support, parce que des "pas supporté" ça m'intéresse pas.
- Tout aussi supporte que Linux, voit pas le probleme
- Un accès au code, ça m'arrive d'avoir besoin d'y accéder.
La c'est plus dur, mais si t'as 1500 postes, tu peux
- Posix ...
SFU
- Portable
Portable quoi ? Tu t'en fous que l'OS soit portable, si Redhat ou Novell le supporte pas sur ta plateforme, c'est a peu pres inutile en entreprise
- Souple
C'est un grand mot qui ne dit rien ca
- L'éthique (j'ai pas eu l'obligation de l'acheter)
Personne en entreprise n'a l'obligation de l'acheter, les constructeurs vendent aux entreprises sans OS depuis des lustres
- Le choix du bureau graphique (parce que me passer de i3, ça va être assez impossible)
Aucun idee de ce qu'est i3, mais tu as le choix des bureaux graphiques sous Windows, il y en a plusieurs.
- La console (le power-shell, j'y ai rien compris, pas réussi à faire mes commandes habituelles)
Que tu n'y sois pas habitue, on s'en fiche un peu hein, on parle de possibilites. La majorite des admins Windows ils seront pas habitues a ton shell Unix tu sais
La gestion des logiciels centralisés (je n'installe rien qui n'est pas sur les dépôts Debian)
Ah ben ca doit etre pratique de faire tourner des logiciels metier sur tes machines...
Compatibilité, ça fait 5 ou 6 ans que je traîne le même profile. De Windows 98->2000->XP, c'est pas possible.
5 ou 6 ans ? C'est fantastique ! Avec XP t'as le meme profile depuis 2001, c'est a dire 8 ans...
Sinon, essaye de mettre un mix de distribs dans ton reseau d'entreprise et de les gerer, tu verras c'est rigolo.
Rapidité, mon ordi, un bon vieux P4 ou alors mon vieux P3 ou encore mon Sparc 166Mhz ne supporteraient pas Windows XP/Vista/Seven ... Le 2000 allégé au max est poussif sur un P3, le XP allégé à max
Tu n'as alors clairement pas la moindre idee de comment "alleger" un OS, parce qu'un XP sur un Celeron d'il y a 10 ans tourne sans aucun probleme, je le sais je l'avais jusqu'a ce que la machine claque il y a 2 ans.
1) Pour faire ça il doit avoir accès au compte utilisateur. Donc là déjà il a accès à sudo (donc il connaît peut-être le mot de passe). Mais bon passons là-dessus.
Sans blague !? Toute l'histoire est de montrer qu'un compte qui peut utiliser sudo est equivalent a un compte root car un malware dans ce compte peut passer root, evidemment qu'il a acces au compte utilisateur, c'est une des hypotheses de base.
2) Sudo est configuré pour lancer seulement une (ou des) application spécifique.
Sur les distribs existantes, tel que configure, c'est un trou.
Alors oui, tu peux emasculer sudo, au point de le rendre inutile, mais a ce moment la, plus besoin de sudo...
3) /bin et co. sont monté en lecture seule, /home, /var et /tmp monté avec noexec
Et cela n'y changera rien, car le malware une fois qu'il tourne sur ta becane, il n'a pas besoin du fileystem pour intercepter les appels a la version graphique de sudo utilisee par Gnome/KDE, ptrace suffit.
Sinon, tu peux evidemment tourner la vis autant que tu veux et rendre la vie impossible a tes utilisateurs(pas de possibilite de mettre une lib dans le compte home ? Ben pas de plugins pour Firefox alors... Du noexec partout ? Ben ils vont avoir du mal si c'est des developpeurs ou testeurs, etc...)
5) L'autre lien présent gksu, un autre utilitaire, je parle de sudo ...
Non, je dis que Windows c'est pas le mieux, loin de là. Après depuis le temps que je bricole Windows, il y a rien qui m'arrête trop.
Ben j'aimerais comprendre la difference entre Windows et Linux.
Non et non, la man page ne contient ce que tu dis. Tu as présenté un théorème inapplicable sur une manière farfelue de passé par sudo pour gagner les droits.
Tu fud, tu fud et tu persistes et signes.
Inapplicable ? Farfelu ? Explique-moi donc ce qu'il y a de farfelu. Explique moi donc ce qui empeche cette technique de fonctionner.
Mais oui, et toi tu me réponds "j'ai trouvé la solution" avec des trucs qui ne fonctionnent Windows XP/Vista/Seven seulement si tu as du Windows Server ... Donc soit tu me prouves que Windows XP/Vista/Seven peut faire toutes ces choses fantastiques sans GPO, soit tu admets enfin que Windows XP/Vista/Seven n'est pas utilisable à 100% sans un Windows Server derrière.
Evidemment qu'il n'est pas utilisable a 100% sans un Windows Server derriere, si on pouvait faire la meme chose sans un Windows Serveur, il servirait a quoi ?
La question est plutot : qu'est ce qu'on peut faire avec un Linux qu'on ne peut pas faire avec un desktop Windows
essayé un projet Libre qui proposait une autre DLL pour l'authentification. Mais comme dans tous les cas on avait besoin d'un serveur Samba, on a gardé l'authentification Windows standard.
Donc oui je connais GINA, j'ai passé beaucoup de temps à lire la documentation sur ce sujet et non, tu ne m'apprends rien de nouveau.
Et tu trouves pas un peu gonfle de dire qu'il n'y a rien d'autre que Windows Server pour gerer les desktops quand tu connais GINA ?
Un truc à GPO, de nouveau. Confond pas connaissance et volonté. Je connais ce qui peut être fait avec les GPO, une grande partie est faites avec des scripts qui modifient la base de registre au démarrage de la session. C'est une solution lourde à gérer et j'aimerais avoir une vrai solution élégante, mais hors Windows Server, c'est impossible (pour le moment).
Et tu as quoi comme equivalent GPO sous Linux ? A peu pres rien.
Tu fud, tu fud ... Source ou ce n'est pas vrai ...
Je t'ai montre par a+b comment un malware tire avantage de sudo, la man page de sudo elle meme dit tres clairement qu'un compte avec sudo doit etre considere comme un compte root niveau protection, c'est pas par hasard.
On peut pas modifier les programmes depuis la machine ...
disque dur ou pas ca n'y change absolument rien, il y a plein de solutions PXE qui vont rafraichir l'image sur disque a chaque fois.
Ça fait quelques années que je me bats avec du Windows Server, NT, 2000, XP et Vista et Seven. Dans la pratique, ça n'a rien à voir avec les jolis document de la msdn.</>
Je penses que niveau experience Windows, tu n'as pas grand-chose a m'apprendre si je peux me permettre, j'ai vu le meilleur et le pire, vu que mon boulot est de reparer le pire depuis 10 ans.
Mais bon si tu veux venir me prouver le contraire dans la pratique, je te donne volontiers le droit de venir migrer tous les serveurs sous Windows Server en gardant les fonctionnalités nécessaires au bon fonctionnement de l'ensemble (c'est pour le cluster openMosix-coMosix que ça va être le plus délicat, je penses) et pour convaincre le directeur d'augmenter les budgets informatiques (pour toutes ces licences serveurs).
Ton cas particulier je m'en fiche un peu, on parlait de deux choses tres precises :
a) le fait que sudo est une passoire
b) Windows comme desktop sans Windows Server
Alors oui il est tre clair que Windows comme desktop sans Windows Server c'est moins bien qu'avec Windows Server, mais j'ai du mal a voir en quoi c'est pire techniquement qu'un Linux.
Mais je n'ai jamais dit que c'etait different sous Windows, c'est le meme probleme. Le but de tout cela est simplement de demontrer que sudo et/ou UAC ne sont pas des features de securite, car elles ne protegent pas le systeme.
y a NIS. Ça fait déjà deux. Et la solution AD de MS, c'est plus qu'un LDAP et c'est surtout fait pour ne pas être copié trop ...
Super, et Windows a les credentials providers (Vista et +) ou GINA pour les versions precedentes ( http://www.sun.com/blueprints/0604/817-7043.pdf pour un exemple) qui lui permettent d'authentifier d'a peu pres n'importe quelle maniere possible: NIS, LDAP, POP3, MySQL, ...
Non j'ai pas Windows ... Si, si, j'ai vu toutes les méchancetés qui existaient. C'est pourquoi je n'ai pas d'antivirus sur les machines utilisateurs.
Windows est un client lourd, mais lourd de chez lourd. Linux à la souplesse nécessaire pour être un client léger ou lourd.
Moi je dirais que tu n'as pas les memes connaissances Windows que Linux, ce qui est demontre par le fait que tu n'aies jamais entendu parler de GINA.
En entreprise je considère que le terminal lourd n'a plus de raison d'être. Il faut une interface pour lancer des applications et accéder à des fichiers. Le reste est sur le serveur. Dans ce domaine, Linux est meilleure et même si tu fais tu MS Terminal Server.
Le jour ou tes utilisateurs se mettront a regarder des videos, des plugin flash, etc... tu va tres tres vite changer d'avis car ton serveur sera a genous, tout sera saccada. Alors que dans le meme temps, TS Server (dans sa derniere version) lui fera de l'off-loading de ces choses sur le client, liberant les CPUs du serveur et evitant les saccades vu que les videos sont jouees directement sur le client.
Chez moi si tu veux utilisez Linux, tu pars en PXE et tu as un Debian complète qui arrive.
Genial, la meme chose existe pour Windows, je vois pas le miracle
Non, pas du tout. Tu peux avoir ton système inscrit sur un CD ou DVD ou sur un partage NFS lecture seule.
Super, quelle difference avec un boot par ces methodes ? Le manque de disque dur ? C'est un veritable detail.
Je lis ça en page 12 :
These significant changes prevent Windows Vista from loading user profiles from previous versions of Windows
Et pour les "Folder Redirection" (si c'est ce bricolage là qui permet de faire un truc presque compatible), c'est GPO, GPO c'est Windows Only, pas viable en environnement hétérogène.
Faut savoir mon cher, tu me parles de gerer les profiles de Windows, je te resoud le probleme des profiles Windows. Si t'as des Linux qui sont incapable de gerer les profiles, c'est le probleme de Linux.
Oui dans le monde Windows, pas le choix de faire comme ça. Sudo, par exemple, solutionne se problème très bien et personne n'a plus de droit.
Comme je te l'ai deja montre c'est absolument faux, car sudo est un trou de securite en puissance. sudo est equivalent a avoir le mot de passe.
Sinon dans les petites structures, tout le monde est admin parce qu'ils voudraient pouvoir régler l'heure.
En fait j'ai dû le faire parce que les gars, pour voir le calendrier, ils avaient pris l'habitude d'ouvrir le réglage de l'heure sous Windows. Le jour où ils n'ont plus eu les droits d'administration, ils ont paniqué.
C'est dommage que ta meconnaissance de l'OS te bloque une fois de plus :
Tu esperais passer inaperçu à reprendre les arguments déjà discuté ici. Sudo tu peux :
1) Utiliser le mode "requiretty"
2) Utiliser le mode "nopasswd"
3) Utiliser le mode "otp" (one-time password)
3) Utiliser un des 14'000 modes de fonctionnements, configurable depuis un annuaire LDAP centralisé, pour avoir + ou - de sécurité.
1) n'empeche rien, une fois que t'as le mot de passe, tu peux faire joujou de plein de manieres differentes
2) rend les choses plus facile, plus besoin de mot de passe...
3) idem a 2)
4) c'est con que personne le fasse alors non ? Le truc est qu'ils ne bloquent rien.
Ensuite pour que cette situation arrive, il faut quand même un sacré malware. J'ai beau réfléchir je vois pas comment tu vas arriver à voler un mot de passe avec ta procédure, donc je m'impatiente de voir l'exemple de malware que tu va présenter.
Mais mon cher, tu n'as pas vu les malware qui existent sous Windows, tu n'as pas vu la complexite qu'ils atteignent, certains sont dignes d'un mini-OS tellement ils sont avances. Je te suggeres d'aller voir le boulot de Joanna Rutkowska sur les rootkits, tu vas etre effare par les techniques utilisees pour cacher le rootkit.
Mais tu crois qu'il a le mot de passe root ? T'as déjà travailler dans une entreprise avec des utilisateurs et des administrateurs ? Tu sais ce que c'est une entreprises ?
Parfait, dans ce cas pas de probleme, exactement comme avec Windows. C'est clair qu'enlever sudo completement empeche d'utiliser sudo pour passer root, mais ca rend sudo completement inutilisable aussi...
Ce que je mettais en évidence ici : Pour avoir toutes les fonctionnalités "network entreprise" sur Windows côté desktop, tu _dois_ avoir un Windows Server avec AD et Co.
Donc sans Windows Server, je trouve que Apple est une alternative beaucoup plus viable que Windows. Avec un Windows Server, c'est différent, mais sans, c'est des terminaux très, très mauvais.
Apple en entreprise j'y connais rien, j'aurais du mal a en parler.
J'ai du mal a voir quelle difference il y a entre un Windows sans AD et un Linux sans LDAP.
Avec du Unix tu montes /home en RW et le reste en RO. Ensuite tu sais où sont les données.
Genial, tu as jamais decouvert l'utilite des ACLs ? C'est la meme chose.
Donc 4 méthodes que j'ai trouvé pour avoir le mix, 4 méthode qui me plaisent pas. Si tu en as d'autres je suis preneur, car je suis +/- confronté à ce problème (un jour je pourrais plus acheter autre chose que Vista/7).
Mwarf, avant de dire des bétises, il faudrait peut etre faire attention à ce que tu dis ;) Effectivement, avec ton fake sudo et ton PATH, tu peux récupérer le passwd d'un utilisateur de la ligne de commande...
Mais on parle de desktop la, et Ubuntu quand elle demande le mot de passe, elle appelle /usr/bin/sudo et se fout de ce qu'il y'a dans le PATH...
Le coup du path c'est pour la ligne de commande, pour l'UI il suffit de prendre l'executable en charge de l'UI qui est lance par Ubuntu, et qui lui tourne en mode utilisateur, pour y injecter du code et prendre le mot de passe ou changer le soft a lancer.
Dans les 2 cas, l'utilisateur se fait entuber et n'y voit que du feu.
Et oui, ca marche idem sous Windows avec runas, tout cela pour dire que ni runas, ni sudo ou equivalents ne sont une mesure de securite, si le compte est compromis, a la premiere utilisation le malware deviendra root.
Oui, faire un standard n'est pas que reprendre des choses disponible sous Linux, mais non, OpenGL n'est pas une merde. Oui, il avance plus lentement, mais c'est aussi ça d'écouter. C'est toujours plus rapide de créer une dictature, plus long de faire une démocratie...
J'ai jamais dit qu'OpenGL etait une merde, il est visiblement encore tres utile pour tout ce qui est CAD et autre.
Mais desole, pour ce qui est de la vitesse d'innovation, OpenGL a pendant tres tres longtemps stagne, et c'est pas une question de dictature/democratie , dans ce cas-ci c'etait une question de quasi-paralysie.
Mais maintenant, l'API utile est celle qui va être le plus cross-platform, et la DirectX commence à perdre du terrain au niveau utilité.
Pour moi l'API utile est pas celle qui est cross-platform, celle qui est la plus rapide, ... C'est celle qui repond le plus aux besoins des gens.
Je dirais que pour les logiciels "pro" c'est OpenGL vu leurs besoins, pour le marche "ludique" et l'OS lui-meme, OpenGL a encore un train de retard, et a moins qu'ils se bougent, va en avoir 2
MS refusait aussi de faire une vraie norme OfficeXML , en disant comment certains octets étaient interprétables (ceux... des anciennes normes MS!) pour être le seul à pouvoir être 100% compatible, résultat OfficeXML est mis à la poubelle. Et ce sera sans doute une idée de ce qui va se passer pour DirectX, faute de volonté d'ouverture de MS.
J'aimerais bien savoir quelle partie d'OpenXML est non-documentee... sinon il n'est pas mort, depuis le debut ils ont annonce qu'il serait supporte dans Office 2010
DirectX lui visiblement je vois pas trop ce qui le ferait chuter, il a toujours une longueur d'avance sur OpenGL et les editeurs ont plus tendance a aller vers DirectX que l'inverse.
C'est dommage, DirectX était une bonne chose, mais cette volonté de toujours enfermer l'utilisateur qui marché dans les années 1990-2000 risque de moins marcher dans les années 2010... C'est dommage, mais c'est la faute uniquement de MS
Enfermer l'utilisateur ? DirectX c'est un API, c'est pas pour l'utilisateur final, c'est pour les editeurs. Tu noteras que Windows propose les 2 : OpenGL et DirectX, il propose un choix, les 2 sont traites de la meme maniere, ils n'ont pas amputes OpenGL.
Maintenant dis-moi, c'est quoi le probleme ici ? Ils donnent le choix entre une techno interoperable, et une qui ne l'est pas.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . En réponse au journal On connait un des brevets microsoftiens que linux viole. Évalué à 1.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . En réponse au journal On connait un des brevets microsoftiens que linux viole. Évalué à -2.
Trouver quels sont les utilisateurs qui ont le droit demander et le presenter a l'utilisateur, desole mais je ne connais pas d'OS qui le fasse.
Le brevet il n'est pas sur le changement d'utilisateur, il est sur le fait de presenter a l'utilisateur quel compte permet l'action X
Et en passant, dans le cas de Windows c'est pas forcement un changement d'utilisateurs, tu peux aussi passer de l'utilisateur X avec droits restreints a X avec droits complets, concept que Unix en general n'a pas.
[^] # Re: Comparaison avec Seven
Posté par pasBill pasGates . En réponse à la dépêche Test d'Ubuntu 9.10 (Karmic Koala). Évalué à -1.
La realite c'est qu'au debut les netbooks ils etaient sous Linux uniquement, lorsque Windows s'est mis a apparaitre dessus, les gens ont massivement abandonne les netbooks Linux pour ceux sous Windows.
Ca c'est les faits, pas de pression de MS la-dedans, les netbooks Linux etaient la avant ceux sous Windows et ils se vendaient, au moment ou ceux sous Windows sont apparus, les gens ont fait leur choix tres clairement.
[^] # Re: Comparaison avec Seven
Posté par pasBill pasGates . En réponse à la dépêche Test d'Ubuntu 9.10 (Karmic Koala). Évalué à 0.
[^] # Re: Comparaison avec Seven
Posté par pasBill pasGates . En réponse à la dépêche Test d'Ubuntu 9.10 (Karmic Koala). Évalué à 0.
Et il y a des centaines / milliers de societes et gouvernements qui ont le meme interet vis a vis de Windows et qui scrutent le code a ta place...
C'est beaucoup plus dur avec Windows (seuls quelques initiés ayant signé un partenariat avec Microsoft ont ce droit).
C'est pas quelques, c'est des milliers de gens.
# On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . En réponse au journal On connait un des brevets microsoftiens que linux viole. Évalué à 3.
The following disclosure describes one or more tools enabling a user to elevate his or her rights. In one embodiment, the tools present a user interface to a user whereby the user may elevate his or her rights without having to search for or type in an account name. This user interface may be presented in response to a request to perform a task requiring a right not permitted by the user's current account. In some cases, for example, the tools determine which accounts have rights sufficient to enable a user to perform a task not permitted by a user's current account. The tools may then present these accounts and enable the user to select and submit an authenticator for one of these accounts.
Bref, rien a voir avec sudo, sudo ne fait pas ca.
[^] # Re: Petit joueur....
Posté par pasBill pasGates . En réponse au journal ha le php et ses élites. Évalué à -1.
[^] # Re: Petit joueur....
Posté par pasBill pasGates . En réponse au journal ha le php et ses élites. Évalué à 2.
[^] # Re: Mon dieu quelle horreur
Posté par pasBill pasGates . En réponse au journal Projet Églantine et les ouinedoziens - Épisode 2. Évalué à 0.
Il n'y a absolument aucun moyen de te proteger si tu laisses un utilisateur installer un soft en tant que root, absolument aucun.
Une fois que l'installer est root, il peut editer/effacer/... ce qu'il veut. T'as beau l'empecher de mettre un soft suid root, il ira modifier un fichier de config, script ou autre executable qui lorsque il sera execute par le systeme en tant que root(init.d, le .bashrc de root, etc...) lui donnera les privileges necessaires.
T'as rien compris (ou tu fais exprès). J'en ai pas besoin. Ce que j'ai dit c'est : J'aimerais avoir un outil identique à sudo sur Windows pour pouvoir lancer des scripts de login avec (par exemple).
Je ne vois vraiment pas l'utilite de mettre une faille dans le systeme non.
Il y a un soft dispo appelle sudowin si tu as vraiment envie de te tirer une balle dans le pied, mais a ta place j'eviterais
Ensuite, pour ton histoire de malware, on en discute même pas, tellement c'est du n'importe quoi.
C'est loin d'etre du n'importe quoi, c'est une realite. Je regarde ton systeme que TU administres(selon ce que tu as ecrit plus haut), un malware pourrait passer a travers sudo et controler le systeme.
Ok, je vais essayé d'être simple : Linux -> Intégrable dans un réseau existant, hétérogène, utilisable à 100%. Windows -> Intégrable dans un réseau existant, hétérogène, utilisable à 50%.
Mais ta phrase ne montre toujours rien, si 50% des possibilites de Windows est plus grand que 100% des possibilites de Linux, Windows est encore le meilleur choix.
Moi je te demandes des exemples de ce que tu ne peux pas faire avec Windows que tu peux faire avec Linux en tant qu'admin sur un reseau d'entreprise sans Windows Server
C'est l'avantage des statistiques, on peu les réinterprété comme on veut, ça voudra toujours dire ce qu'on veut.
Quel humour.
Il y a 2 stats :
a) % de marche en terme de $ depense sur des serveurs
b) % de marche en terme de nombre de serveurs vendus
Si tu n'arrives pas a voir la difference entre les 2, je ne peux rien pour toi.
[^] # Re: Mon dieu quelle horreur
Posté par pasBill pasGates . En réponse au journal Projet Églantine et les ouinedoziens - Épisode 2. Évalué à 1.
Ben tu vois, tu montres que sudo pour etre utile doit etre dangereux. La tu dis "le seul droit qu'ils doivent avoir c'est d'installer des applications", ca revient a dire "le seul droit qu'ils doivent avoir c'est de pouvoir devenir root en installant un shell suid root"
Non (c'est pas dangereux), expliques-moi.
Oh je sais pas, on va imaginer un malware qui t'envoie son script a lui a travers sudo, nouvel exemple des raisons pour lesquelles un compte permettant sudo doit etre considere comme un compte root.
Je reposte pas le lien des 10 tickets, Samba et MS (et il a fallu une décision juridique de l'Union Européenne), il est plus haut. Bon c'est vrai. Ils sont accessibles : Après décision juridique de l'Union Européenne et payement de 10'000$ ... Wow, c'est de l'ouverture ça!
Ils sont accessibles oui, qu'ils doivent payer pour ou pas n'est pas la question. Payer pour des infos c'est courant dans l'industrie
Le besoin de Windows Server. Sans tu peux faire avec beaucoup plus de travail, parce que les documentations sont accessibles que si tu as un jugement en ta faveur et que tu paies. Donc au lieu de pouvoir mettre ne place les super fonctionnalités qui automatiserait le déploiement des GPO, tu dois faire du bricolage.
Mais de nouveau, je te demandes en quoi un Windows sans Windows Server est moins bien qu'un Linux, et tu ne reponds pas.
Tout ce que tu me dis c'est qu'un Windows sans Windows Server est moins bien qu'un Windows avec Windows Server, ca je l'ai compris hein
Ah Non ! Je fais l'effort d'utiliser des chiffres que tu donnes toi-même et maintenant tu me dis qu'ils sont faux et tu ne donnes pas de sources en plus ... Faudrait que tu te décides.
J'ai jamais dit que tes chiffres etaient faux, simplement faut savoir ce que ces chiffres representent.
[^] # Re: Mon dieu quelle horreur
Posté par pasBill pasGates . En réponse au journal Projet Églantine et les ouinedoziens - Épisode 2. Évalué à 1.
Tes explications soient ne bloquaient pas le malware (requiretty et nopasswd) soit rendaient sudo a peu pres inutile
Et non le malware il pourra pas. Sudo permet d'autoriser qu'une seule application à passer root (ou plus, ça dépend de ce que l'administrateur permet ou non).
De nouveau, ca rend sudo a peu pres inutile, car le nombre d'applications "utiles" qui ne permettent pas de passer root est plutot limite, ce qui forcera les utilisateurs a aller au help-desk
Donc à moins d'une *mauvaise configuration* de sudo, le malware ne pourra rien. Mais le système d'exploitation, qu'il soit Windows, Linux ou OS X, ne peut pas résister à une mauvaise configuration.
Le probleme c'est quand la mauvaise configuration est la seule maniere de rendre la feature a peu pres utile
Oui, des scripts le font. Mais on doit les lancer avec le compte administrateur et on a trouvé une solution à ça, mais elle est pas, par exemple, aussi simple qu'un sudo sans mot de passe, qui serait l'idéale.
Lancer un script par sudo est une horreur ignoble niveau securite, tu t'en rends compte rassure moi ? Tu montres toi-meme pourquoi sudo est mauvais !
Linux n'a pas accès à ces protocoles (ou difficilement) et ceux-ci automatisent une grande partie des tâches ... Pas besoin de faire des scripts qui peuvent facilement devenir très grand et très complexe (si un jour tu vois le script de démarrage qu'on a, tu serais étonné ... On investit du temps ou de l'argent, mais jamais les deux).
gni ? quels protocoles sont inaccesibles a Linux ? quel rapport avec les faiblesses de Windows ?
Côté serveur, Microsoft et Linux n'ont même pas 50% des parts de marchés à eux deux (tu avais donné le lien toi-même, il y a une semaine ou deux). On voit de plus en plus de portables Apple.
En terme d'unites, MS est a >60%, en termes de couts non vu que les serveurs Unix ca coute tres cher.
[^] # Re: Petit joueur....
Posté par pasBill pasGates . En réponse au journal ha le php et ses élites. Évalué à 3.
[^] # Re: Mon dieu quelle horreur
Posté par pasBill pasGates . En réponse au journal Projet Églantine et les ouinedoziens - Épisode 2. Évalué à 2.
On repond pas supporte a toutes les questions ? Eh ben, si c'etait vrai mon team passerait ses journees a se tourner les pouces, mais a voir l'activite, il semble que non.
WSAStartup
Oh mon dieu, un appel de fonction a ajouter pour initialiser la librairie, quelle horreur !
La realite est que tous les APIs BSD sont la, le code gerant les communications n'a pas besoin de changer
Non, c'est su.
sudo te permet d'effectuer des operations en tant que root, partant de la, il te fait passer root
Tu me montres des liens qui présentent un problème de CONFIGURATION de l'outil et un problème lié à un AUTRE outil. Donc rien, mais vraiment rien d'autre que du fud.
Le probleme de sudo, c'est qu'il est a peu pres impossible de le rendre utile et utilisable sans en faire un trou de securite.
Alors oui, il n'y a pas de buffer overflow dans le code de sudo, mais c'est pas le probleme, Un malware dans un compte utilisateur avec sudo / su accessible pourra passer root a la prochaine utilisation de sudo / su, ce qui revient a rendre ce compte identique a root du point de vue du malware, acceder a l'un donne acces a l'autre
Oui, sauf qu'on doit pas payer 10 tickets pour avoir accès aux permettant d'utiliser les GPO sans Windows Server.
Tu me fais bien rire, administrative tools -> local security policy
et tout ca est faisable a travers qqe scripts automatiquement
Donc pour l'instant tu as absolument rien apporté de nouveau depuis le début. Si ce n'est de confirmé que oui, Windows n'est pas viable sans Windows Server en entreprise, que oui Windows Server est un ensemble de technologie faites pour ne pas être interopérable avec d'autres systèmes et que Windows desktop (2k/XP/Vista/7) nécessite, pour fonctionner entièrement, ces technologies non-interopérables.
C'est surtout toi qui a ete incapable de demontrer en quoi un Windows sans Windows Server est moins efficace et plus chiant a gerer qu'un Linux.
Pour survivre dans l'informatique aujourd'hui, elle doit pouvoir survivre sans Microsoft, malheureusement la majorité de ces entreprises ne le peuvent pas. Microsoft est voué à changer ou disparaître ... Microsoft est en train de suivre le chemin d'IBM dans les années 80 ...
C'est clair et net, et nos parts de marche qui augmentent sont la pour le prouver
[^] # Re: Petit joueur....
Posté par pasBill pasGates . En réponse au journal ha le php et ses élites. Évalué à 8.
Tu utilises des fonctions inline au besoin, mais un truc pareil c'est tout simplement inacceptable, le jour ou je vois un jeunot pondre un truc pareil dans une code review, je lui code 2 claques et l'envoie nettoyer les chiottes.
[^] # Re: Mon dieu quelle horreur
Posté par pasBill pasGates . En réponse au journal Projet Églantine et les ouinedoziens - Épisode 2. Évalué à 1.
Gni ? Je te demandes en quoi Linux est mieux, ca n'a rien a voir avec Linux ou Windows
Je connais SFU, mais je parlais Posix dans le genre, je fais un petit programme pour commnuniqué sur le réseau, ben tiens, comme par hasard je dois faire un petit bout de code spéciale pour Microsoft Windows.
Il n'y a absolument aucun bout de code specifique a Windows a ecrire pour communiquer sur le reseau, les APIs BSD sont tous la, visiblement tu ne sais pas du tout de quoi tu parles.
Bon dieu le temps passe, alors oui dix ans que j'ai le même profile. Quand j'ai commencé sur Linux, j'avais Windows 98 à côté. Ensuite j'ai eu Windows 2000, puis XP. Mon profil n'a pas survécu à ces trois version. Par contre sous Linux, j'ai passé par RedHat, Suse, Mandrake, Gentoo, LFS et finalement Debian.
Et dieu sait le nombre de choses que tu as du recompiler ou autres car elles ne passaient pas d'une version a l'autre
En serveur j'ai majoritairement du Debian, mais aussi d'autres trucs (FreeBSD, Gentoo). Ça fonctionne. Après côté client, mixer des distributions c'est moins pire que mixer des versions Windows (2000, XP, Vista) (ah oui, on a des machines qui sont toujours sur 2000, parce que le fabricant du système connecté à l'ordinateur ne supporte que 2000).
Moins pire ? C'est vrai que ca doit etre super drole de devoir ecrire des scripts d'admins sacrement differents car les differentes distribs mettent leurs fichiers de config dans des endroits differents, certaines utilisent des systemes d'init differents, etc...
Un compte avec sudo a plus de droits, mais ce n'est pas un compte équivalent à un compte root.
D'un point de vue securitaire si, car sudo te permet de passer root.
C'est un peu le but, le rendre utile uniquement pour ce que JE permets aux gens. On est dans une entreprise, je peux pas laisser les gens ce faire plaisir
Tout a fait, le truc c'est qu'il suffit de l'ouvrir un petit peu pour en faire un trou de securite.
L'autre option c'est de le fermer a tel point qu'il n'amene quasiment rien.
Ca devient un peu l'equivalent de ces options de GPO (local ou pas) qui te permettent de dire que l'utilisateur peut changer l'heur ou autre truc basique, mais ca s'arrete la.
Tu ai un vrai de chez Microsoft : Fud, fud, fud. Mélange d'arguments, brouillage de la discussion, ... On sent bien que tu dois travailler proche des évangélistes Microsoft ... Tu es quoi "Senior Evangelist in Hostile Environment" ?
Il n'y a aucun fud, c'est une realite qui t'es donnee par un gars qui bosse dans la securite depuis qqe annees, avec des liens qui te montrent que c'est un probleme connu. Que tu refuses de la voir ne rend pas la chose irreelle
En tout cas tu arrives bien à mixer mes arguments, me les ressortir à l'envers et réussir à me faire croire que j'ai dit quelque chose que je n'ai pas dit (quand tu as mixer desktop et entreprise, chapeau bas).
Tu me fais rire, depuis le debut tu parles de Windows comme desktop dans ton entreprise sans Windows Server, c'est quoi si pas des desktops en entreprise ?
[^] # Re: Bel effort d'écriture
Posté par pasBill pasGates . En réponse au journal Qui à dit que les léopard des neiges ne mangaient pas d'/home ?. Évalué à 6.
Grande nouvelle: le bug de smb2 n'a rien a voir avec le noyau de Windows (qui n'est pas kernel32.dll en passant, cette dll c'est une dll user-mode), ce bug se trouve dans un driver qui implemente le protocole SMB2. Le noyau Windows n'a absolument aucune idee de ce qu'est TCP, Ethernet, IP ou SMB, il ne sait meme pas ce qu'est un reseau d'ailleurs.
[^] # Re: Mon dieu quelle horreur
Posté par pasBill pasGates . En réponse au journal Projet Églantine et les ouinedoziens - Épisode 2. Évalué à 2.
- Tout aussi supporte que Linux, voit pas le probleme
- Un accès au code, ça m'arrive d'avoir besoin d'y accéder.
La c'est plus dur, mais si t'as 1500 postes, tu peux
- Posix ...
SFU
- Portable
Portable quoi ? Tu t'en fous que l'OS soit portable, si Redhat ou Novell le supporte pas sur ta plateforme, c'est a peu pres inutile en entreprise
- Souple
C'est un grand mot qui ne dit rien ca
- L'éthique (j'ai pas eu l'obligation de l'acheter)
Personne en entreprise n'a l'obligation de l'acheter, les constructeurs vendent aux entreprises sans OS depuis des lustres
- Le choix du bureau graphique (parce que me passer de i3, ça va être assez impossible)
Aucun idee de ce qu'est i3, mais tu as le choix des bureaux graphiques sous Windows, il y en a plusieurs.
- La console (le power-shell, j'y ai rien compris, pas réussi à faire mes commandes habituelles)
Que tu n'y sois pas habitue, on s'en fiche un peu hein, on parle de possibilites. La majorite des admins Windows ils seront pas habitues a ton shell Unix tu sais
La gestion des logiciels centralisés (je n'installe rien qui n'est pas sur les dépôts Debian)
Ah ben ca doit etre pratique de faire tourner des logiciels metier sur tes machines...
Compatibilité, ça fait 5 ou 6 ans que je traîne le même profile. De Windows 98->2000->XP, c'est pas possible.
5 ou 6 ans ? C'est fantastique ! Avec XP t'as le meme profile depuis 2001, c'est a dire 8 ans...
Sinon, essaye de mettre un mix de distribs dans ton reseau d'entreprise et de les gerer, tu verras c'est rigolo.
Rapidité, mon ordi, un bon vieux P4 ou alors mon vieux P3 ou encore mon Sparc 166Mhz ne supporteraient pas Windows XP/Vista/Seven ... Le 2000 allégé au max est poussif sur un P3, le XP allégé à max
Tu n'as alors clairement pas la moindre idee de comment "alleger" un OS, parce qu'un XP sur un Celeron d'il y a 10 ans tourne sans aucun probleme, je le sais je l'avais jusqu'a ce que la machine claque il y a 2 ans.
1) Pour faire ça il doit avoir accès au compte utilisateur. Donc là déjà il a accès à sudo (donc il connaît peut-être le mot de passe). Mais bon passons là-dessus.
Sans blague !? Toute l'histoire est de montrer qu'un compte qui peut utiliser sudo est equivalent a un compte root car un malware dans ce compte peut passer root, evidemment qu'il a acces au compte utilisateur, c'est une des hypotheses de base.
2) Sudo est configuré pour lancer seulement une (ou des) application spécifique.
Sur les distribs existantes, tel que configure, c'est un trou.
Alors oui, tu peux emasculer sudo, au point de le rendre inutile, mais a ce moment la, plus besoin de sudo...
3) /bin et co. sont monté en lecture seule, /home, /var et /tmp monté avec noexec
Et cela n'y changera rien, car le malware une fois qu'il tourne sur ta becane, il n'a pas besoin du fileystem pour intercepter les appels a la version graphique de sudo utilisee par Gnome/KDE, ptrace suffit.
Sinon, tu peux evidemment tourner la vis autant que tu veux et rendre la vie impossible a tes utilisateurs(pas de possibilite de mettre une lib dans le compte home ? Ben pas de plugins pour Firefox alors... Du noexec partout ? Ben ils vont avoir du mal si c'est des developpeurs ou testeurs, etc...)
5) L'autre lien présent gksu, un autre utilitaire, je parle de sudo ...
gksu ou sudo meme combat
[^] # Re: Mon dieu quelle horreur
Posté par pasBill pasGates . En réponse au journal Projet Églantine et les ouinedoziens - Épisode 2. Évalué à 1.
Ben j'aimerais comprendre la difference entre Windows et Linux.
Non et non, la man page ne contient ce que tu dis. Tu as présenté un théorème inapplicable sur une manière farfelue de passé par sudo pour gagner les droits.
Tu fud, tu fud et tu persistes et signes.
Inapplicable ? Farfelu ? Explique-moi donc ce qu'il y a de farfelu. Explique moi donc ce qui empeche cette technique de fonctionner.
http://serverfault.com/questions/42173/how-can-an-attacker-g(...)
https://wiki.ubuntu.com/DesktopTeam/Specs/PolicyKitIntegrati(...) explique ce type d'attaque tres bien
Pas aussi farfelu que tu le pensais hein ?
Mais oui, et toi tu me réponds "j'ai trouvé la solution" avec des trucs qui ne fonctionnent Windows XP/Vista/Seven seulement si tu as du Windows Server ... Donc soit tu me prouves que Windows XP/Vista/Seven peut faire toutes ces choses fantastiques sans GPO, soit tu admets enfin que Windows XP/Vista/Seven n'est pas utilisable à 100% sans un Windows Server derrière.
Evidemment qu'il n'est pas utilisable a 100% sans un Windows Server derriere, si on pouvait faire la meme chose sans un Windows Serveur, il servirait a quoi ?
La question est plutot : qu'est ce qu'on peut faire avec un Linux qu'on ne peut pas faire avec un desktop Windows
[^] # Re: Mon dieu quelle horreur
Posté par pasBill pasGates . En réponse au journal Projet Églantine et les ouinedoziens - Épisode 2. Évalué à 1.
Donc oui je connais GINA, j'ai passé beaucoup de temps à lire la documentation sur ce sujet et non, tu ne m'apprends rien de nouveau.
Et tu trouves pas un peu gonfle de dire qu'il n'y a rien d'autre que Windows Server pour gerer les desktops quand tu connais GINA ?
Un truc à GPO, de nouveau. Confond pas connaissance et volonté. Je connais ce qui peut être fait avec les GPO, une grande partie est faites avec des scripts qui modifient la base de registre au démarrage de la session. C'est une solution lourde à gérer et j'aimerais avoir une vrai solution élégante, mais hors Windows Server, c'est impossible (pour le moment).
Et tu as quoi comme equivalent GPO sous Linux ? A peu pres rien.
Tu fud, tu fud ... Source ou ce n'est pas vrai ...
Je t'ai montre par a+b comment un malware tire avantage de sudo, la man page de sudo elle meme dit tres clairement qu'un compte avec sudo doit etre considere comme un compte root niveau protection, c'est pas par hasard.
On peut pas modifier les programmes depuis la machine ...
disque dur ou pas ca n'y change absolument rien, il y a plein de solutions PXE qui vont rafraichir l'image sur disque a chaque fois.
Ça fait quelques années que je me bats avec du Windows Server, NT, 2000, XP et Vista et Seven. Dans la pratique, ça n'a rien à voir avec les jolis document de la msdn.</>
Je penses que niveau experience Windows, tu n'as pas grand-chose a m'apprendre si je peux me permettre, j'ai vu le meilleur et le pire, vu que mon boulot est de reparer le pire depuis 10 ans.
Mais bon si tu veux venir me prouver le contraire dans la pratique, je te donne volontiers le droit de venir migrer tous les serveurs sous Windows Server en gardant les fonctionnalités nécessaires au bon fonctionnement de l'ensemble (c'est pour le cluster openMosix-coMosix que ça va être le plus délicat, je penses) et pour convaincre le directeur d'augmenter les budgets informatiques (pour toutes ces licences serveurs).
Ton cas particulier je m'en fiche un peu, on parlait de deux choses tres precises :
a) le fait que sudo est une passoire
b) Windows comme desktop sans Windows Server
Alors oui il est tre clair que Windows comme desktop sans Windows Server c'est moins bien qu'avec Windows Server, mais j'ai du mal a voir en quoi c'est pire techniquement qu'un Linux.
[^] # Re: Mon dieu quelle horreur
Posté par pasBill pasGates . En réponse au journal Projet Églantine et les ouinedoziens - Épisode 2. Évalué à 2.
[^] # Re: Mon dieu quelle horreur
Posté par pasBill pasGates . En réponse au journal Projet Églantine et les ouinedoziens - Épisode 2. Évalué à 1.
Super, et Windows a les credentials providers (Vista et +) ou GINA pour les versions precedentes ( http://www.sun.com/blueprints/0604/817-7043.pdf pour un exemple) qui lui permettent d'authentifier d'a peu pres n'importe quelle maniere possible: NIS, LDAP, POP3, MySQL, ...
Non j'ai pas Windows ... Si, si, j'ai vu toutes les méchancetés qui existaient. C'est pourquoi je n'ai pas d'antivirus sur les machines utilisateurs.
Windows est un client lourd, mais lourd de chez lourd. Linux à la souplesse nécessaire pour être un client léger ou lourd.
Moi je dirais que tu n'as pas les memes connaissances Windows que Linux, ce qui est demontre par le fait que tu n'aies jamais entendu parler de GINA.
En entreprise je considère que le terminal lourd n'a plus de raison d'être. Il faut une interface pour lancer des applications et accéder à des fichiers. Le reste est sur le serveur. Dans ce domaine, Linux est meilleure et même si tu fais tu MS Terminal Server.
Le jour ou tes utilisateurs se mettront a regarder des videos, des plugin flash, etc... tu va tres tres vite changer d'avis car ton serveur sera a genous, tout sera saccada. Alors que dans le meme temps, TS Server (dans sa derniere version) lui fera de l'off-loading de ces choses sur le client, liberant les CPUs du serveur et evitant les saccades vu que les videos sont jouees directement sur le client.
Chez moi si tu veux utilisez Linux, tu pars en PXE et tu as un Debian complète qui arrive.
Genial, la meme chose existe pour Windows, je vois pas le miracle
Non, pas du tout. Tu peux avoir ton système inscrit sur un CD ou DVD ou sur un partage NFS lecture seule.
Super, quelle difference avec un boot par ces methodes ? Le manque de disque dur ? C'est un veritable detail.
Je lis ça en page 12 :
These significant changes prevent Windows Vista from loading user profiles from previous versions of Windows
Et pour les "Folder Redirection" (si c'est ce bricolage là qui permet de faire un truc presque compatible), c'est GPO, GPO c'est Windows Only, pas viable en environnement hétérogène.
Faut savoir mon cher, tu me parles de gerer les profiles de Windows, je te resoud le probleme des profiles Windows. Si t'as des Linux qui sont incapable de gerer les profiles, c'est le probleme de Linux.
Oui dans le monde Windows, pas le choix de faire comme ça. Sudo, par exemple, solutionne se problème très bien et personne n'a plus de droit.
Comme je te l'ai deja montre c'est absolument faux, car sudo est un trou de securite en puissance. sudo est equivalent a avoir le mot de passe.
Sinon dans les petites structures, tout le monde est admin parce qu'ils voudraient pouvoir régler l'heure.
En fait j'ai dû le faire parce que les gars, pour voir le calendrier, ils avaient pris l'habitude d'ouvrir le réglage de l'heure sous Windows. Le jour où ils n'ont plus eu les droits d'administration, ils ont paniqué.
C'est dommage que ta meconnaissance de l'OS te bloque une fois de plus :
http://msdn.microsoft.com/en-us/library/ms813808.aspx
[^] # Re: Mon dieu quelle horreur
Posté par pasBill pasGates . En réponse au journal Projet Églantine et les ouinedoziens - Épisode 2. Évalué à -1.
1) Utiliser le mode "requiretty"
2) Utiliser le mode "nopasswd"
3) Utiliser le mode "otp" (one-time password)
3) Utiliser un des 14'000 modes de fonctionnements, configurable depuis un annuaire LDAP centralisé, pour avoir + ou - de sécurité.
1) n'empeche rien, une fois que t'as le mot de passe, tu peux faire joujou de plein de manieres differentes
2) rend les choses plus facile, plus besoin de mot de passe...
3) idem a 2)
4) c'est con que personne le fasse alors non ? Le truc est qu'ils ne bloquent rien.
Ensuite pour que cette situation arrive, il faut quand même un sacré malware. J'ai beau réfléchir je vois pas comment tu vas arriver à voler un mot de passe avec ta procédure, donc je m'impatiente de voir l'exemple de malware que tu va présenter.
Mais mon cher, tu n'as pas vu les malware qui existent sous Windows, tu n'as pas vu la complexite qu'ils atteignent, certains sont dignes d'un mini-OS tellement ils sont avances. Je te suggeres d'aller voir le boulot de Joanna Rutkowska sur les rootkits, tu vas etre effare par les techniques utilisees pour cacher le rootkit.
Mais tu crois qu'il a le mot de passe root ? T'as déjà travailler dans une entreprise avec des utilisateurs et des administrateurs ? Tu sais ce que c'est une entreprises ?
Parfait, dans ce cas pas de probleme, exactement comme avec Windows. C'est clair qu'enlever sudo completement empeche d'utiliser sudo pour passer root, mais ca rend sudo completement inutilisable aussi...
Ce que je mettais en évidence ici : Pour avoir toutes les fonctionnalités "network entreprise" sur Windows côté desktop, tu _dois_ avoir un Windows Server avec AD et Co.
Donc sans Windows Server, je trouve que Apple est une alternative beaucoup plus viable que Windows. Avec un Windows Server, c'est différent, mais sans, c'est des terminaux très, très mauvais.
Apple en entreprise j'y connais rien, j'aurais du mal a en parler.
J'ai du mal a voir quelle difference il y a entre un Windows sans AD et un Linux sans LDAP.
Avec du Unix tu montes /home en RW et le reste en RO. Ensuite tu sais où sont les données.
Genial, tu as jamais decouvert l'utilite des ACLs ? C'est la meme chose.
Donc 4 méthodes que j'ai trouvé pour avoir le mix, 4 méthode qui me plaisent pas. Si tu en as d'autres je suis preneur, car je suis +/- confronté à ce problème (un jour je pourrais plus acheter autre chose que Vista/7).
La reponse a tes soucis se trouve ici (a partir de la page 12) : http://download.microsoft.com/download/3/b/a/3ba6d659-6e39-4(...)
[^] # Re: Mon dieu quelle horreur
Posté par pasBill pasGates . En réponse au journal Projet Églantine et les ouinedoziens - Épisode 2. Évalué à 1.
Mais on parle de desktop la, et Ubuntu quand elle demande le mot de passe, elle appelle /usr/bin/sudo et se fout de ce qu'il y'a dans le PATH...
Le coup du path c'est pour la ligne de commande, pour l'UI il suffit de prendre l'executable en charge de l'UI qui est lance par Ubuntu, et qui lui tourne en mode utilisateur, pour y injecter du code et prendre le mot de passe ou changer le soft a lancer.
Dans les 2 cas, l'utilisateur se fait entuber et n'y voit que du feu.
Et oui, ca marche idem sous Windows avec runas, tout cela pour dire que ni runas, ni sudo ou equivalents ne sont une mesure de securite, si le compte est compromis, a la premiere utilisation le malware deviendra root.
[^] # Re: Mon dieu quelle horreur
Posté par pasBill pasGates . En réponse au journal Projet Églantine et les ouinedoziens - Épisode 2. Évalué à 1.
Et Linux n'est pas different, il a aussi plusieurs installers differents.
[^] # Re: Et pourtant...
Posté par pasBill pasGates . En réponse au journal La guerre des trolls aura bien lieu. Évalué à 0.
J'ai jamais dit qu'OpenGL etait une merde, il est visiblement encore tres utile pour tout ce qui est CAD et autre.
Mais desole, pour ce qui est de la vitesse d'innovation, OpenGL a pendant tres tres longtemps stagne, et c'est pas une question de dictature/democratie , dans ce cas-ci c'etait une question de quasi-paralysie.
Mais maintenant, l'API utile est celle qui va être le plus cross-platform, et la DirectX commence à perdre du terrain au niveau utilité.
Pour moi l'API utile est pas celle qui est cross-platform, celle qui est la plus rapide, ... C'est celle qui repond le plus aux besoins des gens.
Je dirais que pour les logiciels "pro" c'est OpenGL vu leurs besoins, pour le marche "ludique" et l'OS lui-meme, OpenGL a encore un train de retard, et a moins qu'ils se bougent, va en avoir 2
MS refusait aussi de faire une vraie norme OfficeXML , en disant comment certains octets étaient interprétables (ceux... des anciennes normes MS!) pour être le seul à pouvoir être 100% compatible, résultat OfficeXML est mis à la poubelle. Et ce sera sans doute une idée de ce qui va se passer pour DirectX, faute de volonté d'ouverture de MS.
J'aimerais bien savoir quelle partie d'OpenXML est non-documentee... sinon il n'est pas mort, depuis le debut ils ont annonce qu'il serait supporte dans Office 2010
DirectX lui visiblement je vois pas trop ce qui le ferait chuter, il a toujours une longueur d'avance sur OpenGL et les editeurs ont plus tendance a aller vers DirectX que l'inverse.
C'est dommage, DirectX était une bonne chose, mais cette volonté de toujours enfermer l'utilisateur qui marché dans les années 1990-2000 risque de moins marcher dans les années 2010... C'est dommage, mais c'est la faute uniquement de MS
Enfermer l'utilisateur ? DirectX c'est un API, c'est pas pour l'utilisateur final, c'est pour les editeurs. Tu noteras que Windows propose les 2 : OpenGL et DirectX, il propose un choix, les 2 sont traites de la meme maniere, ils n'ont pas amputes OpenGL.
Maintenant dis-moi, c'est quoi le probleme ici ? Ils donnent le choix entre une techno interoperable, et une qui ne l'est pas.