Tous le monde sur ce site a deja entendu parler ~200 des brevets soit disant viole par Linux et bien aujourd'hui est un grand jour. Microsoft vient d'en publier un.
Cette boite vient de deposer un brevet sur ... la commande sudo.
Vu qu'il y a anteriorite allant jusqu'aux annees 1970 je pense que l'on peut attribuer la palme du brevet le plus mensongers de l'histoire a Microsoft. Non je ne suis pas assez naif pour croire qu'ils ne connaissent pas l'existence de cette commande sur les unix depuis belle lurette. Donc pour oser faire cela je ne vois que deux explications:
- ils sont juste idiots (ce dont je doute)
- ce sont de grosses enflures de premieres (ce dont je suis persuade).
La deuxieme hypothese est surement la bonne. Ils sont tellement riche et il faut tellement de temps pour resoudre en cours de justice les histoires de brevets que cela leur laissera le temps de faire leur FUD classique dans les journeaux.
http://www.groklaw.net/article.php?story=20091111094923390
# Etre en colère contre les bonnes personnes
Posté par plagiats . Évalué à 10.
Y a des critères pour ça. L'un d'eux c'est que l'invention doit être nouvelle. Ce brevet ne vaut rien et n'aurait jamais du être accepté. Le vrai problème c'est que les offices de brevets ont tout intérêt à valider un max de brevets (c'est comme ça qu'elles se rémunèrent) et n'ont rien à perdre à valider un brevet caduque!
C'est comme ça que l'on voit passer des demandes de brevet sur les smileys, les barres de progression, etc.
[^] # Re: Etre en colère contre les bonnes personnes
Posté par Bobyl . Évalué à 6.
[^] # Re: Etre en colère contre les bonnes personnes
Posté par rewind (Mastodon) . Évalué à 4.
En revanche, la grosse différence entre les deux systèmes (américain et européen), c'est la signification de "antériorité". Aux États-Unis, c'est le premier qui invente ; en Europe, c'est le premier qui dépose le brevet !
[^] # Re: Etre en colère contre les bonnes personnes
Posté par Éric (site web personnel) . Évalué à 5.
[^] # Re: Etre en colère contre les bonnes personnes
Posté par Albert_ . Évalué à 2.
Comme tu dis en Europe a partir du moment ou c'est publie quelques parts c'est public et ne peut etre breveter et en raison du truc au dessus cela explique le nombre de brevet deposer par les labs de recherche beaucoup plus faible en Europe que aux dans les universites americaines.
[^] # Re: Etre en colère contre les bonnes personnes
Posté par Hank Lords . Évalué à 2.
Par contre aux USA tu as une période de grâce de un an après avoir divulgué au public ton invention pour déposer le brevet. Ce dispositif n'existe pas en Europe : une fois divulguée l'invention n'est plus brevetable.
[^] # Re: Etre en colère contre les bonnes personnes
Posté par khivapia . Évalué à 3.
[^] # Re: Etre en colère contre les bonnes personnes
Posté par vincent_k (site web personnel) . Évalué à 1.
[^] # Re: Etre en colère contre les bonnes personnes
Posté par nicoastro . Évalué à 1.
Pour le reste, c’est le juge qui décide en cas de conflit.
[^] # Re: Etre en colère contre les bonnes personnes
Posté par tiot (site web personnel) . Évalué à 3.
[^] # Re: Etre en colère contre les bonnes personnes
Posté par nicoastro . Évalué à 1.
Et je me suis trompé, ils ont une base de documents pour les recherches d’antériorité, donc c’est plus large. Il y a tout de même un avis donné par l’office de brevet, mais il n’est qu’indicatif.
http://www.inpi.fr/fr/brevets/deposer-un-brevet/les-16-etape(...)
http://www.inpi.fr/fr/brevets/deposer-un-brevet/combien-cout(...)
# On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 3.
The following disclosure describes one or more tools enabling a user to elevate his or her rights. In one embodiment, the tools present a user interface to a user whereby the user may elevate his or her rights without having to search for or type in an account name. This user interface may be presented in response to a request to perform a task requiring a right not permitted by the user's current account. In some cases, for example, the tools determine which accounts have rights sufficient to enable a user to perform a task not permitted by a user's current account. The tools may then present these accounts and enable the user to select and submit an authenticator for one of these accounts.
Bref, rien a voir avec sudo, sudo ne fait pas ca.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Bobyl . Évalué à 10.
Donc comme le brevet porte sur quelque chose que sudo ne fait pas, sudo ne viole pas le brevet Microsoft...
Corollaire: l'article de groklaw brasse de l'air.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Gof (site web personnel) . Évalué à 4.
http://en.wikipedia.org/wiki/Comparison_of_privilege_authori(...)
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par niclone (site web personnel) . Évalué à 10.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 2.
C'est pas la liste des permissions ca, si t'as 5 admins dans une groupe auquel appartient le soft, tu ne les verras jamais dans sudoers, celui-ci ne contient que les utilisateurs ayant le droit d'utiliser sudo sur ce soft.
sudoers ce n'est pas une autorite finale et complete en ce qui concerne les permissions
b) MS a pose le brevet en 2005, a l'epoque PolicyKit n'existait pas
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Dring . Évalué à -3.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Dring . Évalué à 1.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par galactikboulay . Évalué à 2.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 10.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par SQP . Évalué à 10.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à -6.
b) Ce genre de feature est pour les machines privees, qui te dit que l'admin en entreprise ne peut pas la bloquer ou qu'elle soit meme bloquee sur les versions Pro/Entreprise/... ?
Quand a l'aspect non-trivial, ben c'est le truc a juger on dira.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à -1.
il a un compte, donc il connait toute la politique de sécurité sur la machine.
Peut être sous windows, mais sous linux si je fait :
[e00033@LIN83054 ~]$ ls -l /etc/sudoers
-r--r-----. 1 root root 3161 mai 5 2008 /etc/sudoers
je trouve que "other" ben il voit pas grand chose ...
b) Ce genre de feature est pour les machines privees
Sur une machine privée, tu as 99.99% du temps 1 compte, et le 0.01% restant, tu sais qui est l'admin de la machine et peut certainement lui demander directement, donc...
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Anonyme . Évalué à -2.
(arcaik@arcaik-netbook)─(~) ls -l /etc/passwd
-rw-r--r-- 1 root root 485 juil. 31 17:56 /etc/passwd
Une interface qui affiche le nom des comptes ou un cat /etc/passwd permet de faire la même chose.
Bon, j'avoue, là c'est plus subtile, l'interface affiche le nom des compte qui ont accès à tel ou tel truc (si j'ai bien compris). Mais j'suis sur une machine, j'vais pas cracker (brute forcer) le MDP du compte michu qui permet d'avoir accès à shutdown, j'vais cracker directement le root…
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 2.
Tu as les nom des comptes, mais tu sais absolument pas leur droit associé.
a la rigueur tu peux savoir a quel groupes ils sont associés, mais tu ne sais pas si trucmuche_bidule peut lancer rm en tant que root...
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Anonyme . Évalué à 1.
Un attaquant, il va pas dire : « Tiens, j'vais cracker le compte michu parce qu'elle peut lancer la commande "koin" en root ». Lui il va se dire : « J'crack le root, j'ai accès à tout ».
Donc autrement dis, je vois pas où est la faiblesse niveau sécurité.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par tiot (site web personnel) . Évalué à 10.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 1.
Bref, c'est vraiment pas un probleme de securite.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 1.
désolé mais
MUWAHAHAHAHAHAHAHAHAHAHAHAHAHAHAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
je sais pas si c'est d'horreur ou nerveux que je rigole.
Bon promis, si c'est tellement peu dangereux, tu peux m'indiquer le plan de d'adressage des machines de ms, les règles de fw, de routages, et le diagramme globale, avec les logins des admins sur les machines, si c'est tellement peu critique, je devrais trouver ca en public....
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 1.
Tu as vu qqe part que cett feature etait presente pour les systemes d'entreprise ? Non
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 2.
tu dis "si tu as accés au compte root alors tu peux faire ce que tu veux".
Oui, quoi de nouveau sous le soleil ?
Tu as vu qqe part que cett feature etait presente pour les systemes d'entreprise ? Non
tu as vu quelque part que je parlais de "système d'entreprise" ? Non.
Je suis pour la _sécurité_, mot qui t'es absolument inconnu selon les propos que tu tiens.
Je vois pas pourquoi un poste bureautique chez quelqu'un devrait avoir plus de problème de sécurité (du fait de l'éditeur) que dans une entreprise.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 1.
Oui, quoi de nouveau sous le soleil ?
Non, j'ai dit "si tu as acces au compte de mme Michu, qui elle a le mot de passe root, alors les carottes sont cuites"
Je suis pour la _sécurité_, mot qui t'es absolument inconnu selon les propos que tu tiens.
Je vois pas pourquoi un poste bureautique chez quelqu'un devrait avoir plus de problème de sécurité (du fait de l'éditeur) que dans une entreprise.
Reste a montrer que le systeme est plus a risque chez l'utilisateur qu'en entreprise du fait du systeme lui-meme, cette feature n'est certainement pas le probleme
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Etienne Bagnoud (site web personnel) . Évalué à 3.
En tout cas pour un type qui prétendait que sudo était un énorme trou de sécurité ... "Moi je ne fais qu'un seul geste, je retourne ma veste" ...
http://linuxfr.org/comments/1072484,1.html
http://linuxfr.org/comments/1072533,1.html
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 0.
On rappelle: Afin que ce soit un trou de securite, il faut que cette feature rende l'acces au systeme(compte privilegie, ...) plus facile que sans cette feature.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 1.
Non, ça on te l'a déjà expliqué.
Tu attends ... ben dieu seul sait ce que tu attends (et toi aussi... enfin j'espère), mais en tout cas pas ce que tu annonce.
il faut que cette feature rende l'acces au systeme(compte privilegie, ...) plus facile que sans cette feature.
Ou donne des informations suffisantes et/ou nécessaires pour aider un attaquant à mener a bien son attaque.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
C'est toi qui dit que sudo et su sont des trous de sécurité. Moi je ne trouve pas. Maintenant que Microsoft fait ça (ou fera ça), hop, ce n'est plus un trou de sécurité ?
Cette fonctionnalité est une sorte d'interface graphique à su, rien de bien méchant selon moi, un trou de sécurité selon toi (avant que Microsoft ne brevette ce truc, maintenant tu as retourné ta veste).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: On se demande qui est l'idiot/enflure
Posté par allcolor (site web personnel) . Évalué à -1.
Avec sudo/su on peut mettre une version vérolée dans le /home de l'utilisateur, modifier le path pour les avoir en premier. Lorsque l'utilisateur lancera un sudo, il lancera en fait le sudo vérolé... or l'interface uac ne peut pas être interceptée et s'assure donc que c'est bien un humain qui clique et pas un programme qui le fait à sa place. Donc de ce point de vue ça ne diminue en rien la sécurité. Le fait d'avoir la liste des utilisateurs autorisé à lancer la commande, là je vois pas trop ce que ça apporte comme info... une bête popup indiquant qu'on n'a pas les droits mais qu'on peut les élever (l'utilisateur a accès à un compte qui permet d'effectuer l'opération) est suffisante... je me fous que ça soit l'utilisateur system_network ou root ou toto qui peut le faire, la seule chose que je dois savoir c'est que ça requiert des droits que mon compte actuel n'a pas mais qu'a partir de mon compte actuel j'ai accès à un autre compte (quelconque) qui me permet de le faire.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
Que ce soit l'UAC ou sudo ou su ou le noyau du système, tu as toujours une méthode pour contourner la sécurité. Si tu veux un ordinateur sécurisé, tu débranches tous les câbles, tu le coule dans du béton, tu le mets dans un conteneur étanche empli d'un gaz toxique et tu enterres dix kilomètres sous terre ... Mais tu auras toujours quelqu'un qui pourrait s'introduire dans ton ordinateur.
Un système sécurisé doit aussi être utilisable. Sudo ou su n'est pas plus un trou de sécurité que l'UAC. Simplement l'UAC ne fonctionnait pas comme sudo ou su auparavant et pbpg disait que ces programmes étaient des trous de sécurité. Maintenant que l'UAC fonctionne comme su (avec proposition des utilisateurs disponibles pour faire l'opération (ce qui peut-être discutable, mais je n'ai pas d'avis sur ce point précis donc je n'en discute pas)), pbpg trouve que c'est suffisamment sécurisé ...
Mon intervention est pas pour juger de la sécurité du truc, pour moi c'est suffisamment sécurisé (su, sudo ou l'UAC qui propose des comptes). Mais il faut rester consistent avec son discours. Quand Microsoft ne le fait pas, c'est un trou de sécurité qui est vachement grave (discours pbpg post-UAC breveté), quand Microsoft le fait c'est une super-feature top cool ... "Moi je ne fais qu'un seul geste, je retourne ma veste" ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: On se demande qui est l'idiot/enflure
Posté par allcolor (site web personnel) . Évalué à -1.
Tu as plusieurs méthodes pour te protéger de ça.
Je n'en doute pas... reste qu'en l'état, une install de base de n'importe quelle distrib ne t'en protège pas. Or avec l'UAC c'est de base qu'il ne peut-être intercepté et pas besoin d'interdire à l'utilisateur d'installer des trucs dans son home si il veut.
Pas que je défende l'UAC ou autre, c'est de base plus sécurisé qu'une install par défaut ubuntu (par exemple) avec l'utisateur qui a accès à sudo.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Etienne Bagnoud (site web personnel) . Évalué à 1.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 1.
La difference, presque tout le monde dans le monde Unix croit que su / sudo sont la pour donner des privileges X/Y a un compte user sans le faire devenir root.
MS lui a _clairement_ annonce et repete que UAC n'est _PAS_ une feature de securite. UAC et sudo n'ont d'ailleurs pas grand-chose a voir.
Cette fonctionnalité est une sorte d'interface graphique à su, rien de bien méchant selon moi, un trou de sécurité selon toi (avant que Microsoft ne brevette ce truc, maintenant tu as retourné ta veste).
Cette fonctionnalite n'est pas su, UAC n'est pas un equivalent de su/sudo.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Etienne Bagnoud (site web personnel) . Évalué à 3.
Donc UAC ce n'est pas de la sécurité, ce n'est pas équivalent à su/sudo. C'est quoi alors ?
PS: Corrige la page de wikiepdia (http://en.wikipedia.org/wiki/User_Account_Control) qui dit que c'est une infrastructure de sécurité (mais ça n'est pas ça l'UAC, tu l'as dis).
PS2: Mais ça ressemble étrangement à su qui permet d'exécuter une tâche avec des droits d'un autre utilisateur, ce qui est un trou de sécurité selon toi (enfin avant, maintenant MS le fait, c'est plus un trou de sécurité).
PS3: Si tu peux faire une explication différentiel entre su et UAC et sudo (et tous les autres systèmes pour élever les droits d'un utilisateur) ce serait cool parce que je comprends pas la différence entre élever des droits Unix et élever des droits Microsoft.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: On se demande qui est l'idiot/enflure
Posté par allcolor (site web personnel) . Évalué à -1.
PS2: Mais ça ressemble étrangement à su qui permet d'exécuter une tâche avec des droits d'un autre utilisateur, ce qui est un trou de sécurité selon toi (enfin avant, maintenant MS le fait, c'est plus un trou de sécurité).
Arrête avec ça... il te l'a dit, plusieurs autres l'ont dit... l'UAC ne peut être interceptée (de base) par un programme (tant est qu'il n'y ai pas de faille(s) qui le permette(nt)) contrairement à su/sudo qui en dehors d'un home noexec ou d'utilisation avancée de SELinux peut être *facilement* intercepté par un su/sudo vérolé dans le home facilement avec pratiquement toutes les distributions actuelles. Le nier est de la pure mauvaise fois.
Je n'utilise pas windows, je ne dis pas ça en faisant mon prosélyte de système proprio (ce que je n'utilises pas). Je ne dis pas ça en reconnaissant qu'une telle fonctionnalité mérite un brevet (ce que je ne crois absolument pas). Je veux juste faire remarquer que ce n'est pas comme su/sudo.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 0.
Tu noteras qu'en bas il est _clairement_ dit :
It’s important to be aware that UAC elevations are conveniences and not security boundaries. A security boundary requires that security policy dictates what can pass through the boundary.
Donc UAC ce n'est pas de la sécurité, ce n'est pas équivalent à su/sudo. C'est quoi alors ?
Il y a un truc que tu n'as toujours pas compris, su/sudo, ce n'est pas de la securite non plus. Le fait que tout le monde te le dise ne signifie pas que c'est vrai.
PS1: J'en ai vraiment rien a battre de Wikipedia
PS2: Que cela y ressemble ne signifie pas que ca l'est
PS3: Au hasard, su donne a un compte X qui n'est pas admin le droit d'executer un soft avec des privileges administratifs, UAC ne fait pas cela. UAC fait de la virtualisation pour faire croire aux applications qui tentent d'ecrire dans des repertoires systemes que cela fonctionne, alors qu'elles sont reellement en train d'ecrire dans un autre repertoire, etc...
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
L'infrastructure UAC fait aussi de la virtualisation parce que historiquement les programmeurs Windows ont pris l'habitude d'écrire des chemins en dur au lieu d'utiliser les variables d'environnement (et comme Windows a une hiérarchie qui change à toutes les nouvelles version, c'est vite le chaos).
Mais quoi qu'il en soit, élever des privilèges c'est un risque de sécurité, mais les utilitaires (runas de UAC, su, sudo, ...) sont des applications qui nécessite une attention particulière puisqu'elle permette de passer ces barrières. Mais ces applications ne sont pas des trous de sécurité, comme tu le clamais (avant que Microsoft sorte un outil dans le style de su).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à -1.
a) Un soft en lui-meme n'est que rarement un trou de securite, c'est son utilisation qui en fait un trou de securite, si le truc est inaccessible, il sera jamais un trou de securite meme si il est rempli de buffer overflows
b) La maniere dont les distribs utilisent su en font un trou de securite dans quasi toutes les distribs
c) Ca fait depuis 2007 que UAC est dans Windows hein, ca date pas de la semaine passee
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 2.
C'est exactement ce que j'ai dis.
si tu ne t'en rend même pas compte, ca me fait encore plus peur sur tes politiques de sécurité (et réduit d'autant ta pertinence sur un tel sujet).
Si tu as accés à tous les process etc... d'une personne qui elle a le mot de passe root, TU as accés à root!
(enfin si tu as accés tout le temps, et pas juste un su avec la personne derrière dans ton dos qui vérifie ce que tu lance :P ).
suffit de modifier le path pour qu'il prenne un su/sudo particulier et voila tu as accès à root...
et tu en profite pour laisser un exec en suid, on sait jamais.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 1.
Non, toi tu parlais d'acces au compte root, moi d'acces au compte de Mme Michu (qui a le mot de passe root)
Sinon, j'attends toujours que tu m'expliques en quoi lister les gens qui ont le droit X est dangereux.
Je vais t'aider pour te faire comprendre en quoi ce n'est pas dangereux :
L'info est disponible sans avoir besoin d'etre root une fois que tu es sur la machine.
(tu es un utilisateur simple, tu fais un ls -l sur /bin par exemple, t'auras une bonne partie de la reponse, tu fais qqe commandes de plus, t'as une liste a peu pres exhaustive des comptes sur le systeme et a quoi ils servent)
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 1.
je sais pas quoi moi , ptrace, PATH, script au lancement de la connexion, keylogger, ou je sais pas quoi te dire....
Sinon, j'attends toujours que tu m'expliques en quoi lister les gens qui ont le droit X est dangereux.
A ce que je sache, X ne demande pas que tu ais le mot de passe de root...
(de même que passwd).
Et la façon dont travaille X est considéré comme dangereux. D'ailleurs sur des serveurs dis "sécurisé" dans certaines boites, X est considéré comme personna non grata.
L'info est disponible sans avoir besoin d'etre root une fois que tu es sur la machine.
(tu es un utilisateur simple, tu fais un ls -l sur /bin par exemple, t'auras une bonne partie de la reponse, tu fais qqe commandes de plus, t'as une liste a peu pres exhaustive des comptes sur le systeme et a quoi ils servent)
Désolé, je t'ai montré que non, mais si tu es persuadé de mieux savoir que moi, je t'en prie. Montre moi comment un utilisateur peut savoir quels sont les droits dans sudoers, voir les droits attribués par ldap a chacun des utilisateurs...
De plus je vais t'apprendre un truc, /bin ... tout le monde peut executer les programmes dedans... (bon chown/chgrp merde quand même pas mal sous les linux si on n'est pas root.
Bizarre car sous solaris et bsd ca passe sans problème
su, mount, ping etc... on des droits spécifiques et c'est le programme en lui même qui gère ça.
).
De plus, /bin est utilisé dans l'autocomplétion de tout bon shell pour tous les utilisateurs, donc même pas besoin de faire un ls...
Tu as intérêts a te lever carrément plus tôt si tu veux me montrer quelque chose.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par allcolor (site web personnel) . Évalué à 0.
Et la façon dont travaille X est considéré comme dangereux. D'ailleurs sur des serveurs dis "sécurisé" dans certaines boites, X est considéré comme personna non grata.
Euh à moins que j'y pige plus rien quand pbpg parle du droit "X"... il parle pas de X11... il parle d'un droit quelconque d'où le "X"...
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 2.
au temps pour moi. Sorry ;)
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 7.
Quand tu vois sur un auth.log "su vers root échoué" ca attire l'oeil.
, su vers truc muche beaucoup moins.
Ensuite tu peux aussi avoir récup des droits avec des utilisateurs qui ont fait des boulettes, ou encore réussir a récup une session sur un utilisateur lambda mais avec un droit spécifique qui sera pe moins méfiant que root; etc...
Plus tu as de comptes , plus tu as de risques qu'un de ces comptes se fasse avoir. Si en plus tu dis à l'attaquant quel compte il faut qu'il cible pour avoir tel ou tel accès, tu crois vraiment que l'attaquant va s'en priver ?
Alors certes root c'est le graal, mais il est souvent protégé un minimum.
Les comptes subsidiaires peuvent avoir des mdp moins complexe et ainsi de suite.
donc pour terminer :
Un attaquant, il va pas dire : « Tiens, j'vais cracker le compte michu parce qu'elle peut lancer la commande "koin" en root ». Lui il va se dire : « J'crack le root, j'ai accès à tout ».
Et si, c'est bien ce qu'il va se dire.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Prosper . Évalué à 10.
Rien à voir mais tu te sens obligé de l'insulter ?
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à -4.
Je t'ai jamais vu prendre ma défense quand il s'amusait (ou thedude ou ) à dire ce genre de chose sur moi (sauf que eux ne laissaient pas forcément le choix, la subtilité, qui t'a échappé, est là).
Comme disait quelqu'un "je vous ait pas vu vous plaindre pendant, venez pas me faire chier après".
En absolue tu as raison.
En relatif, j'en ai rien a faire d'être un peu aggressif envers pbpg, et ca ne devrais pas gêne pas non plus pbpg vu qu'il l'a déjà été un certain nombre envers moi -l'eau ayant coulé sous les pont, je ne lui en tiens pas rigueur, mais je n'ai pas envie d'être particulièrement poli. Je pense qu'il le comprendras.-
Une sorte d'amour vache quoi.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 1.
Tu peux meme envoyer des paquets TCP/IP a la main en assembleur si tu veux.
b) Il y a de plus en plus de machines en reseau dans les maisons, avec un compte pour chaque membre de la famille, le probleme ici c'est que l'utilisateur doit se rappeler le nom du compte, et le brevet resoud ce probleme.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 2.
Pas sous linux pour un sudo par défaut.
Ensuite si l'admin a _envie_ de le faire, il le peut (il le pourras toujours, on peut modifier notre système comme on le veut de toute façon).
Tu peux meme envoyer des paquets TCP/IP a la main en assembleur si tu veux.
TCP voui, mais pas IP de base si tu es un utilisateur normal. En tout cas pas sous linux.
De même que tu ne peux pas binder un port <1024 si tu es un utilisateur normal.
Il y a de plus en plus de machines en reseau dans les maisons, avec un compte pour chaque membre de la famille, le probleme ici c'est que l'utilisateur doit se rappeler le nom du compte, et le brevet resoud ce probleme.
le compte c'est pas soit administrateur, soit administrator ?
a moins que ton brevet c'est afficher le nom d'un compte d'administration, si c'est ça, l'aspect "original" et "non trivial" sont carrément complètement inexistant.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 1.
a moins que ton brevet c'est afficher le nom d'un compte d'administration, si c'est ça, l'aspect "original" et "non trivial" sont carrément complètement inexistant.
Non, Windows a plusieurs compte ayant des privileges differents, un compte peut te permettre de changer les parametres reseau et rien d'autre par exemple, ou creer des comptes, ...
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 2.
Tu as ça sur les postes privé non intégré à une entreprise ? (ie des postes perso quoi).
Parce que c'est bien ce dont tu parlais hein...
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par SQP . Évalué à 4.
pour l'aspect sécurité, si il suffit de faire un équivalent de 'sudo ntpdate' pour savoir que sur la liste 'papa, maman, kevin, lucette, médor', il n'y a que les 2 premiers qui sont admin, ça facilite le travail je pense
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 2.
Moi j'ai qu'un seul admin qui a tous les droits désolé. Il s'apelle root.
Et encore il a pas forcément tous les droits avec selinux.
Ensuite j'attribuerais des droits aux admins suivant ce qu'ils ont a faire.
si j'utilise sudo, alors les admins (sauf root... avec qui on ne doit pas se connecter de tt façon c'est désactiver a distance et en graphique) utiliseront sudo. Question de cohérence. On va pas s'amuser a vérifier qui a le droit de faire quoi de 500 000 façons différentes.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 0.
Windows a plusieurs comptes ayant des privileges differents par defaut.
Bref, un moyen de savoir qui peut faire quoi est utile.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 3.
toi tu ne sais surtout pas lire.
plein de gens en ont plusieurs, ou des utilisateurs avec des droits differents.
Je vois pas vraiment où c'est incompatible avec mon archi...
Ah voui c'est pas incompatible.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par fleny68 . Évalué à 6.
Amélioré parce que c'est automatisé (une UI qui dit "Désolé machin, seuls root et PBPG ont le droit de faire ça, mais peut-être voulez vous changer d'identifiant pour un de ces deux-là?") mais ça reste à la base un changement d'utilisateur au vol, donc su.
Un su à la sauce clickodrome, mais ce n'est pas guère plus original que cela. Et un brevet c'est censé être original.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à -2.
Trouver quels sont les utilisateurs qui ont le droit demander et le presenter a l'utilisateur, desole mais je ne connais pas d'OS qui le fasse.
Le brevet il n'est pas sur le changement d'utilisateur, il est sur le fait de presenter a l'utilisateur quel compte permet l'action X
Et en passant, dans le cas de Windows c'est pas forcement un changement d'utilisateurs, tu peux aussi passer de l'utilisateur X avec droits restreints a X avec droits complets, concept que Unix en general n'a pas.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par niclone (site web personnel) . Évalué à 10.
Le brevet il n'est pas sur le changement d'utilisateur, il est sur le fait de presenter a l'utilisateur quel compte permet l'action X
getent group audio
Me présente la liste des utilisateurs qui on le droit d'utiliser l'audio
getent group cdrom
Me présente la liste des utilisateurs qui on le droit d'utiliser le cdrom
...
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 3.
Vais faire mumuse avec je sens ;)
thanks
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 0.
Incomplet
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 3.
Mais bon de toute façon tu veux pas comprendre donc ca sert à rien de t'expliquer. Je suis quand même sacrément maso à m'evertuer a continuer.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 0.
Si incomplet, parce que si tu veux savoir qui a les droits pour executer X, ce qui est la question ici, il ne le fait pas completement.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 3.
Si l'admin le veut
# chmod 444 /etc/sudoers
et l'utilisateur qui veut les voir "cat /etc/sudoers".
Si on veut restreindre :
addgrp sudoers_r
chown sudoers_r /etc/sudoers
chmod 440 /etc/sudoers
et ensuite adduser -G sudoers_r ton_user
, ou alors un setfacl.
Voila maintenant tu en connais au moins un.
Et si tu veux qu'il les présente automatiquement, l'admin modifie un poil le shell de l'utilisateur : et si il tombe sur un "permission denied", il vérifie si il peut lire /etc/sudoers et si oui, fait le bon grep...
[^] # Re: On se demande qui est l'idiot/enflure
Posté par peikk0 . Évalué à 4.
Hurd le fait, depuis longtemps.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 4.
et la j'aurais envie de dire au programme "et a ton avis, le sudo, je le fais pourquoi ? Pour chauffer ma maison ?"
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 2.
Désolé pour cet emellage de pinceaux
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 0.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 2.
C'est définitif je comprendrais jamais la sécu sous un windows.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 1.
C'est pourtant pas complique, ce systeme est la pour faire la difference entre un malware qui essaie d'acceder a qqe chose de privilegie et l'etre humain
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 3.
Les unixiens ont a jamais du voir ça.
Heureusement qu'il y a des types sympa comme toi bossant pour la boite la plus inventive de la terre et qui nous aide à bien travailler.
Non non je suis sincère un grand merci.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Jerome Herman . Évalué à 2.
Déjà apparament pas ceux qui lisent ce thread. Les explications de Pbpg sont très claires, mais un certain nombre de personne (dont toi) semblent confondre escalade de droit, changement de profil et passage en mode super-utilisateur.
Dans un monde ou les ACL et les containers sont en train de devenir la norme, je ne te cache pas que ca fait un peu peur.
Pour te donner une idée j'ai sur un de mes serveurs FreeBSD un utilisateur root qui n'a comme droit super user que celui de créer des backups avec préservation des ACL (et il ne peut même pas effacer ou modifier ses propres backups). Bien entendu le même utilisateur root qui se connecte différamment aura d'autres droits.
De même ces mêmes lecteurs de threads ne semblent pas voir l'intéret qu'il y a à connaitre l'utilisateur qui peut (par exemple) relancer un daemon ou un serveur. Or je peux te garantir que dans un domaine LDAP avec des groupes systèmes, des groupes domaines, des groupes locaux, des containers de sécurité et des règles de sécurité locale ca peut devenir loin d'être évident. Pourtant c'est utile pour le niveau 1 de savoir quel admin on apelle à 3h du matin pour relancer le serveur de mail.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 1.
et la marmotte
mais un certain nombre de personne (dont toi) semblent confondre escalade de droit, changement de profil et passage en mode super-utilisateur.
tu as des arguments en plus de "tu semble tout confondre, ca me faire peur" ?
Pour te donner une idée j'ai sur un de mes serveurs FreeBSD un utilisateur root qui n'a comme droit super user que celui de créer des backups avec préservation des ACL (et il ne peut même pas effacer ou modifier ses propres backups). Bien entendu le même utilisateur root qui se connecte différamment aura d'autres droits.
"J'ai un utilisateur root qui a que ces droits" ... "bien entendu cet utilisateur peut avoir d'autres droits".
Arrête la moquette, ca ne facilite pas ton élocution.
On parlais de sudo & co. Dans ce système root c'est uid=0. Point barre. uid=0 a des droits. Point barre. Le système ne vas pas se dire "ah oui mais attend la il provient de tty2 donc je lui file les droits de backups, et la il provient de tty3 donc je lui file autre chose".
Mais si tu veux parler du MAC ou autre, on peut aussi, (selinux toussa. Je présume qu'en ce qui concerne les roles, les types, les catégories et les sensibilité, tu es bien meilleur que moi vu que je t'horrifie.
Bell-la padula n'as plus aucun secret pour toi d'ailleurs). On sort du principe de sudo et compagnie et on va commencer a parler des roles et du MAC
Par contre, si tu étais si doué dans le mac, tu parlerais pas de "root" mais des != rôles ou équivalent. Parce que parler d'une partie fixe (le login) pour expliquer qu'il existe une partie variable (les rôles et leur droit associé) c'est complètement idiot.
De même ces mêmes lecteurs de threads ne semblent pas voir l'intéret qu'il y a à connaitre l'utilisateur qui peut (par exemple) relancer un daemon ou un serveur. Or je peux te garantir que dans un domaine LDAP avec des groupes systèmes, des groupes domaines, des groupes locaux, des containers de sécurité et des règles de sécurité locale ca peut devenir loin d'être évident. Pourtant c'est utile pour le niveau 1 de savoir quel admin on apelle à 3h du matin pour relancer le serveur de mail.
Et si ton ldap tombe, il fait comment le niveau 1 pour appeler savoir le gars qui est pas d'astreinte mais qui en réalité est d'astreinte ?
Tu as pas pensé a faire des procédures ? tes niveaux 1 naviguent entièrement au jugé et clique un peu n'importe où jusqu'à réussir a tomber sur la commande qu'il doivent lancer mais qu'ils ont pas les droits alors il ont un login (qui n'a peut être rien a voir avec le nom d'une personne rééel...))
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Jerome Herman . Évalué à 3.
Non TU parles de SUDO & co en disant que le truc de Microsoft est identique, PBPG parle d'un sytème de gestion de droit et de privilège qui n'a rien à voir avec sudo.
Même la base des bases qu'est runas est totalement différente de sudo.
Le système ne vas pas se dire "ah oui mais attend la il provient de tty2 donc je lui file les droits de backups, et la il provient de tty3 donc je lui file autre chose".
C'est con çà, moi mon système il fait "tiens il s'est logué par mot de passe, alors il se retrouve dans le jail de backup et de là il a pas les droits pour changer les sticky sur les fichiers et les dossiers", mais si il s'était logué par clef ca se serait passé différament.
Par contre, si tu étais si doué dans le mac, tu parlerais pas de "root" mais des != rôles ou équivalent. Parce que parler d'une partie fixe (le login) pour expliquer qu'il existe une partie variable (les rôles et leur droit associé) c'est complètement idiot.
Ben voyons, c'est toi qui voit des failles de sécurité dans l'affichage des utilisateurs capables de lancer une commande. J'imagine que c'est parceque tu te dis qu'une fois qu'on a le login on va finir par casser le mot de passe (en tout cas faciliter le cassage). Et je donne comme exemple pour invalider ton point de vue le fait qu'il est possible d'avoir un login/mot de passe root sans pour autant pouvoir faire quoi que ce soit sur la machine.
Et si ton ldap tombe, il fait comment le niveau 1 pour appeler savoir le gars qui est pas d'astreinte mais qui en réalité est d'astreinte ?
Si mes LDAP tombent tous en même temps (pas de bol quand même), on appelle directement le chef.
Tu as pas pensé a faire des procédures ? tes niveaux 1 naviguent entièrement au jugé et clique un peu n'importe où jusqu'à réussir a tomber sur la commande qu'il doivent lancer mais qu'ils ont pas les droits alors il ont un login (qui n'a peut être rien a voir avec le nom d'une personne rééel...))
Oui, mes niveaux 1 cliquouillent au hasard jusqu'à trouver la bonne ligne de commande. Ca leur prend un temps fou d'ailleurs. Oui les admins ont des logins complètement différents de leurs noms et prénoms, et en plus ils ne remplissent la fiche contact attachée à leur UID pour être sur qu'on ne les retrouve pas.
Oui on a pas de procédures, quand les niveau 1 arrivent on les assied devant leur ordi eteint et on les abandonne là jusqu'à ce que mort s'en suive.
On est très très très con dans ma boite.
Allez hop, PLONK !
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 2.
Tu participe pas à la discussion, et tu arrives comme un cheveux sur la soupe pour réecrire l'histoire, c'est ça ?
C'est con çà, moi mon système il fait "tiens il s'est logué par mot de passe, alors il se retrouve dans le jail de backup et de là il a pas les droits pour changer les sticky sur les fichiers et les dossiers", mais si il s'était logué par clef ca se serait passé différament.
"il se retrouve dans la jail de backup" ... donc c'est pas franchement le système qui gère la différence droits, vu que tu le met en jail...
dans selinux c'est le système qui gère le droits. Tu es pas dans le bon role, tu n'as pas le droit, mais tu n'es pas en jail pour autant.
J'imagine que c'est parceque tu te dis qu'une fois qu'on a le login on va finir par casser le mot de passe (en tout cas faciliter le cassage). Et je donne comme exemple pour invalider ton point de vue le fait qu'il est possible d'avoir un login/mot de passe root sans pour autant pouvoir faire quoi que ce soit sur la machine.
Tu invalide que dalle. Tu n'as même pas compris ce que j'ai dis. Alors comment peux tu esperer avoir invalider quelque chose que tu n'as pas compris ?
Quant à moi, j'ai autre chose a faire que de répeter 15 fois les mêmes trucs a des gens qui sont persuadé de tout savoir mieux que tout le monde, et se permettent de faire la moral sans comprendre ce que les gens disent (et je te ferais remarquer que TU as traité tout le monde de nullard (sauf toi et pbpg), alors la moindre des choses auraient était des comprendre à fond ce que les autres ont dit.)
Je peux mal m'exprimer, ca arrive a tout le monde, mais une chose est sur tu t'en fous de ce que j'ai dis, tu veux juste derverser ton fiel, et tant pis si c'est faux.
On est très très très con dans ma boite.
Je vois ça, mais pas forcément dans le sens ou tu le sous entends...
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Jerome Herman . Évalué à 1.
Mais même sur des authentifications très différentes de SE Linux, comme par exemple kerberosV ou pfauth, j'ai du mal à voir en quoi elles ne sont pas gérées par le système.
En ce qui concerne ce que je n'ai pas compris (et que donc je ne peux invalider) peux-tu s'il te plait me donner la signification des posts suivants.
Plus tu as de comptes , plus tu as de risques qu'un de ces comptes se fasse avoir. Si en plus tu dis à l'attaquant quel compte il faut qu'il cible pour avoir tel ou tel accès, tu crois vraiment que l'attaquant va s'en priver ?
Alors certes root c'est le graal, mais il est souvent protégé un minimum.
Les comptes subsidiaires peuvent avoir des mdp moins complexe et ainsi de suite.
(PBPG) un compte peut te permettre de changer les parametres reseau
(Briaeros)Tu as ça sur les postes privé non intégré à une entreprise ? (ie des postes perso quoi).
Parce que c'est bien ce dont tu parlais hein...
merci pbpg pour nous expliquer a quoi sert un compte avec des droits étendu et pourquoi on demande le mot de passe pour une modification de privilèges....
Les unixiens ont a jamais du voir ça.
On parlais de sudo & co. Dans ce système root c'est uid=0. Point barre. uid=0 a des droits. Point barre.
Parcequ'il y a deux façons de les interpreter :
- soit tu changes alégrement les points de vues quand ca t'arrange, passant de l'entreprise au réseau familial, de la protection par pur mot de passe à l'élévation des privilèges et du distinguo uid au distinguo privilèges un peu au moment ou ca t'arrange.
- Soit tu confonds des notions de sécurité par groupe avec des notions de sécurité par AC
Dans le doute j'avais pris la seconde option, moins insultante pour toi.
(et je te ferais remarquer que TU as traité tout le monde de nullard (sauf toi et pbpg)
J'ai simplement constaté de visu que tous les postes qui essayaient de mettre en exergue les différences entre le système d'évaluation des droits par AC et les sytèmes type sudo, se faisaient violamment moinsser. Et je n'ai pas traité les gens de nullards, j'ai simplement dit que la confusion qui semblait régner entre les anciens modes de sécurité et les nouveaux chez les lecteurs de LinuxFR me faisait peur. Je dis 'semblait' car j'espère sincèrement que ceux qui comprennent les enjeux des AC se sont détournés de ce thread parti en eau de boudin un vendredi.
Maintenant si mon invalidation te déplait, en voici quelques autres :
- 1) Le système qui permet de savoir quel utilisateur a le droit d'effectuer quelle commande n'est pas nécessairement accessible à l'ensemble des utilsateurs. On peut même penser qu'un administrateur va en limiter l'accès aux seuls gens qui en ont besoin. Comme pour tout autre système.
- 2) En entreprise, parcourir tout un arbre de droits, sur le LDAP domaine puis le recouper avec les droits et les restrictions locales d'une machine pour savoir qui peut ou ne peut pas lancer telle commande est loin d'être trivial. C'est même un problème NP complet je pense.
- 3) L'utilité d'un tel système en entreprise est double. Il permet de façon évidente de trouver quel autre utilisateur peut lancer la commande dont on a besoin. Mais aussi, et c'est peut être même plus interressant que la fonctionnalité évidente, il permet de sortir une liste des utilisateurs qui ont des droits qu'ils ne devraient pas avoir. Et donc de faire le ménage dans les droits de façon autrement plus simple que de passer sur tous les répertoires pour vérifier qu'il n'y a pas un accès qui n'a pas été retiré ou qui a été attribué par erreur. Vu la complexité que peut prendre les règles de sécurité dans un environnement d'entreprise, un tel outil est très précieux. Je confirme en plus qu'il n'y a aucun utilitaire unix à ma connaissance capable de donner la liste complète (domaine + local) des comptes capables de faire un rm sur tel fichier.
- 4) Au domicile, un tel système permet surtout à l'adminsitrateur local (généralement connu sous le nom de papa) de vérifier que les différents acteurs de son réseau ne peuvent pas, par exemple, enlever la protection parentale, continuer à surfer après 22h30, installer n'importe quoi. Il permet aussi aux enfants de savoir si ce qu'ils sont en train de faire (installer un jeu par exemple) peut être débloqué seulement par papa, ou bien par papa ET maman. Une fois de plus je n'ai jamais vu une telle fonctionnalité sur un Unix.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 2.
jail effectue sa propre sécurité. Ca n'a rien a voir avec la politique de sécurité établis sur le système.
Forcément tu veux te la péter mais tu lis de traviole les réponses. J'ai dis qu'utiliser jail ce n'était PAS utiliser la politique de droits sur le système (vu que tu rajoute une couche supplémentaire pour empêcher l'utilisateur de faire quelquechose).
Dans mon esprit Jail était une fonctionnalité kernel d'isolation par virtualisation+containers
Tout a fait.
Un peu comme SE Linux en fait.
SE Linux a rien a voir avec un jail ou un chroot.
Mais même sur des authentifications très différentes de SE Linux, comme par exemple kerberosV ou pfauth, j'ai du mal à voir en quoi elles ne sont pas gérées par le système.
Il n'y a pas d'authentification "se linux" (mais il y a un module pam qui met le contexte de sécurité lors de l'authentification au système).
Tu es sur de comprendre de quoi tu parles ou tu essaie juste de mettre des noms de technos pour faire genre ?
Pour ton info kerberos a rien a voir avec selinux. (et pfauth, je sais pas, jamais utilisé).
Parcequ'il y a deux façons de les interpreter :
- soit tu changes alégrement les points de vues quand ca t'arrange, passant de l'entreprise au réseau familial, de la protection par pur mot de passe à l'élévation des privilèges et du distinguo uid au distinguo privilèges un peu au moment ou ca t'arrange.
Je passe au réseau familial quand on me dis "mais non ca parle que tu réseau familial". Si tu as des récrimination, va les faires a notre grand copain (ou lis correctement les commentaires).
- Soit tu confonds des notions de sécurité par groupe avec des notions de sécurité par AC
Ta première remarque n'est pas exclusif de la seconde, donc je vois pas trop l'intérêt du "soit".
De plus, c'est pas moi qui confond en utilisant la partie fixe pour parler de la partie variable hein...
Enfin, tu utilise AC pour account control, (Mandatory?) access control , ... ?
enfin sur le manuel de freebsd je trouve pas ton abbrévation AC. je suis peut être pas doué ...
J'ai simplement constaté de visu que tous les postes qui essayaient de mettre en exergue les différences entre le système d'évaluation des droits par AC et les sytèmes type sudo, se faisaient violamment moinsser.
Violamment... On est venu avec les battes de baseball pour moinsser...
j'ai simplement dit que la confusion qui semblait régner entre les anciens modes de sécurité et les nouveaux chez les lecteurs de LinuxFR me faisait peur.
Peur... qui est un mot très soft hein ...
Tu l'as pas dis, tu l'as juste sous entendu très "violamment" pour reprendre un mot qui t'es cher.
- 1) Le système qui permet de savoir quel utilisateur a le droit d'effectuer quelle commande n'est pas nécessairement accessible à l'ensemble des utilsateurs. On peut même penser qu'un administrateur va en limiter l'accès aux seuls gens qui en ont besoin. Comme pour tout autre système.
Le monsieur disait que c'était pas a destination de l'entreprise. Faudrait se décider un moment...
Bon supposons que c'est pour les entreprises.
Donc tes procédures ne sont pas à jour et tu as besoin que le système te tienne par la main pour te dire qui a le droit ou pas. Je peux le comprendre, mais ça veut pas vraiment dire que c'est une best practice.
(On a pire a notre boulot, mais on va pas dire "c'est trop top génial". On sait que c'est de la merde).
Ps: ca doit être fun lors des prises de congés pour savoir qui dois rester joignable et qui peut partir XD
- 2) En entreprise, parcourir tout un arbre de droits, sur le LDAP domaine puis le recouper avec les droits et les restrictions locales d'une machine pour savoir qui peut ou ne peut pas lancer telle commande est loin d'être trivial. C'est même un problème NP complet je pense.
Parcourir un arbre et faire un check, un problème NP complet ? Tu as fumé quoi ? Tu m'en passes ?
On demande pas de trouver un chemin hamiltonien hein...
Il permet de façon évidente de trouver quel autre utilisateur peut lancer la commande dont on a besoin.
"Ah lui je le connais bien. Bon il est pas admin, ils lui ont filé parce qu'il en avait besoin. Il va me la faire cette commande, il est sympa".
Et boum un système modifié (mal de préférence).
Dans une boite où j'interviens c'était à peu près ce qui ce passé. Conclusion, maintenant c'est "les sysadmins se déplacent quand vous avez besoin de lancer un truc".
Mais aussi, et c'est peut être même plus interressant que la fonctionnalité évidente, il permet de sortir une liste des utilisateurs qui ont des droits qu'ils ne devraient pas avoir.
audit de sécurité toussa... (on peut déjà le faire sans cette fonctionnalité. encore heureux!).
Et puis si on les a rajouté c'est qu'il y a une raison... et si on les a pas supprimé c'est aussi qu'il y a une raison.
Ah moins que tu penses à un attaquant. qui se faufile entre deux audits de sécurité, et que quand nous on lancera la commande avec notre user normal (en oubliant d'avoir auparavant fait le su kivabien) on voit, sur la liste des 10aines d'admin et d'utilisateurs un type louche, et qu'on ait envie de remonter sur l'ensemble des tickets et interroger tous les collègues pour savoir qui c'est et si c'est normal qu'il ait ce droit là, si oui pour combien de temps toussa.
oui ca peut etre une idée. C'est marrant, je suis pas sur que c'est la première qui me viendrais à l'esprit. Je sais pas pourquoi.
Vu la complexité que peut prendre les règles de sécurité dans un environnement d'entreprise, un tel outil est très précieux. Je confirme en plus qu'il n'y a aucun utilitaire unix à ma connaissance capable de donner la liste complète (domaine + local) des comptes capables de faire un rm sur tel fichier.
Sous windows peut être, j'en sais rien.
Sur la plupart des machines que j'administre, je peux trouver ça sans trop de problème par contre).
Si tu as du mal a trouver ça, c'est peut être que ta politique de sécurité crains un peu, tu ne crois pas ?
4) Au domicile, un tel système permet surtout à l'adminsitrateur local (généralement connu sous le nom de papa) de vérifier que les différents acteurs de son réseau ne peuvent pas, par exemple, enlever la protection parentale, continuer à surfer après 22h30, installer n'importe quoi.
Même chose que plus haut.
On sait déjà le faire sans avoir besoin de ce truc.
Il permet aussi aux enfants de savoir si ce qu'ils sont en train de faire (installer un jeu par exemple) peut être débloqué seulement par papa, ou bien par papa ET maman. Une fois de plus je n'ai jamais vu une telle fonctionnalité sur un Unix.
En même temps, j'aimerais bien savoir dans quelle famille, maman a le droit de débloqué tel soft, papa d'autres soft, et les deux encore une autre populations de soft...
Et si tu les as pas vu sous unix (pourtant au départ orienté gros serveurs d'entreprises multi utilisateurs), peu que dans un contexte familial ben désolé ca sert vraiment a rien.
Tu vas demander à maman de l'installer. Ah ca marche pas, bon ben je vais demander à papa (et déjà ca voudrait dire qu'il y a deux comptes différents pour papa et maman, avec des droits différents, ce qui doit etre 0.00001% des cas).
(Ps sur mes serveur un tant soit peu sécurisé, j'ai un PermitRootLogin no sur mon sshd_config.
J'aimerais savoir comme tu t'authentifie par su avec une clé.)
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Jerome Herman . Évalué à 2.
C'est quoi la politique de sécurité effectuée par le système ? La séparation kernel mode/user mode ? Parceque UID/GID c'est les routines file system (au sens large) qui gèrent, SE Linux c'est les routines SE Linux, etc. J'aimerais vraiment comprendre le distinguo que tu fais entre des routines kernel de sécurité avec limitations d'une part et d'autres routines kernel de sécurité avec limitation d'autre part.
SE Linux a rien a voir avec un jail ou un chroot.
C'est un système de virtualisation + cotainers. Il est utilisé différamment certes mais fondamentalement c'est exactement le même principe sous-jacent.
Il n'y a pas d'authentification "se linux"
Alors comment donne-t-il les droits ? Si il n'y pa pas de système qui permette de savoir qui a les droits (ie authentification) que fait SE Linux pour les attribuer ? Il tire au sort ?
N.B il existe plusieurs méthodes d'authentification (je suis (bio-métrie), je connais (mot de passe ou clef), je sais faire (door knocking, sign pad), j'ai fait(élévation de privilèges, réattribution de droit, login tortueux))
De plus, c'est pas moi qui confond en utilisant la partie fixe pour parler de la partie variable hein...
Enfin, tu utilise AC pour account control, (Mandatory?) access control , ... ?
Tu dis que c'est gravissime de connaitre les logins qui ont accès à tel ou tel outil, je réponds que ce n'est plus le cas aujourd'hui. Parceque même si le login est une condition nécessaire, ce n'est plus une condition suffisante (justement à cause de la partie variable comme tu l'appelles). Ceci étant, pour ta gouverne sache que dans environnement de domaine la partie fixe est l'UID pas le login. Sur mes serveur root peut être 0, 514 ou 10000 suivant les cas. Avec le même login et le même mot de passe (bon pour 0 il faut la clef). C'est kerberos/LDAP qui attribue le UID suivant l'authentification...
Quand à AC, c'est l'abrevation de access control. Ca englobe tout ce qui est MAC, ACL, jail, SE Linux etc. Bref tout ce qui est attribution/retraits de droits en plus du couple UID/GID
Donc tes procédures ne sont pas à jour et tu as besoin que le système te tienne par la main pour te dire qui a le droit ou pas.
a) En entreprise c'est pas forcément moi qui ait monté le système/domaine
b) En entreprise je suis pas forcément seul et avec la maitrise absolue sur le système/domaine
c) En entreprise il y a des gens qui vont, qui viennent, qui prennent des vacances qui changent de postes, qui prennent des assitants etc.
d) En entreprise il y a des softs fermés dont le vendeur n'assure pas la maintenance si les utilisateurs n'ont pas tel et tel droits.
Après monter un système tel que M. Truc qui a beoin de faire les taches 1, 2 et 4 mais pas la tache 3 et qui quand il part en vacances a besoin que madame chose fasse les taches 1 et 2 et que monsieur bidule prenne en charge la tache 4 nécessite une gestion complète. Si tu es capable de gérer tout çà de tête, félicitation pour toi (à moins que tu ne bosses dans une petite entreprise, ou une boite ou la sécurité n'est pas primordiale). Personellement je bosse pour de très grands groupes étalés sur plusieurs pays, dont des banques. Le nombre de scripts mis en place qui ne servent qu'à déplacer les fichier du dossier a vers le dossier b en changeant les droits au passage est assez impressionant. Mais si on ne le fait pas on se retrouve avec des effets de bords désagréables de type "machin a besoin de faire la tache 1 et la tache 4 mais il se retrouve également avec les droits pour lire les résultats de la tache 3".
Parcourir un arbre et faire un check, un problème NP complet ? Tu as fumé quoi ? Tu m'en passes ?
Je reprend :
Tu as un domaine, dans ce domaine tu as une forêt d'annuaire LDAP avec des relations de confiance les uns avec les autres ou pas. Ensuite tu as des politiques de sécurité certaines dans le domaine, certaines dans l'annuaire LDAP concernée, certaines dans l'annuaire LDAP de l'utilisateur et enfin certaines sur la machine de l'utilisateur et sur le serveur de l'application. Trouver l'ensemble des utilisateurs capables de lancer telle commande avec tels arguments sur l'ensemble du domaine doit être un problème NP complet je pense.
Bien entendu dans la vraie vie on s'arrange pour que ce soit des groupes locaux qui contiennent des groupes LDAP qui sont à leurs tour inscrit dans des politiques domaines. Ce qui rend la détermination de droits plus simple, mais la possibilité de créer des effets de bords reste élevée.
Dans une boite où j'interviens c'était à peu près ce qui ce passé. Conclusion, maintenant c'est "les sysadmins se déplacent quand vous avez besoin de lancer un truc".
Bonjour, les sysadmin sont à Paris et à Toronto. L'utilisateur est à Singapour. Ah, et il lance ce type d'opération 300 fois par jour. C'est la validation/renouvellement des clefs de confiance tierces, légalement il faut une validation humaine. Il lui faut les droits sur le LDAP. A vous.
audit de sécurité toussa... (on peut déjà le faire sans cette fonctionnalité. encore heureux!).
On peut tout faire en langage machine sur une machine Turing Complete. La question est peut on le faire bien, de façon fiable dans un temps raisonnable (ie avant que Mme Chose ait besoin d'autres droits). Pas facile. Ca se fait avec des réseaux de Petri coloré par exemple quand on veut être sur de couvrir tous les cas et tous les effets de bords. Le seul ennui est que quasiment personne n'est capable de formaliser un problème de droits à l'échelle d'une boite internationale avec un réseau de Petri. Donc on pense avoir fait les choses proprement, mais on a pas de preuves (au sens mathématique du terme).
Sur la plupart des machines que j'administre, je peux trouver ça sans trop de problème par contre).
Si tu as du mal a trouver ça, c'est peut être que ta politique de sécurité crains un peu, tu ne crois pas ?
Si tu utilise juste les droits UID/GID ca ne pose pas de problèmes en effet. Mais des fois ca ne suffit pas comme droits.
Quand à ma politique de sécurité ca fait trois année de suite que l'audit "surprise" se termine en 30 minutes avec l'auditeur qui est coupé du réseau et qui est obligé d'appeler pour qu'on le débloque de façon à pouvoir finir ses tests (donc au niveau surprise, plouf)
Et puis si on les a rajouté c'est qu'il y a une raison... et si on les a pas supprimé c'est aussi qu'il y a une raison.
Le problème n'est pas là. Un utilisateur X qui n'a plus besoin de l'application A, doit-il garder les droits sur le répertoire 1 utilisé par l'application A mais aussi par d'autres applications dans certains cas.
Répondre à cette question nécessite de savoir parfaitement ce que fait cet utilisateur et d'avoir une architecture complète et à jour de tous les SI pour savoir si l'utilisation 12 de l'application B ne nécessite pas aussi les droits sur répertoire 1.
De plus il est très fréquents que deux utilisateurs qui ont un répertorie en commun l'utilise pour autre chose que ce qui est prévu pour des raisons pratiques. Donc quand on ferme le répertoire 1 à un des deux utilisateurs ca gueule qu'une tache qui n'a rien à voir ne marche plus. Des fois quand c'est un grand ponte qui gueule (Forex ou Trésorerie par exemple) tu recois l'ordre de rendre le répertoire à l'utilisateur qui ne devrait plus en avoir besoin.
Même chose que plus haut.
On sait déjà le faire sans avoir besoin de ce truc.
Je ne connais pas grand monde qui soit capable de dire, à forciori sur sa machine personelle, cet utilisateur ne pourra pas executer cette commande. Il faut déjà un bon niveau en informatique.
(Ps sur mes serveur un tant soit peu sécurisé, j'ai un PermitRootLogin no sur mon sshd_config.
J'aimerais savoir comme tu t'authentifie par su avec une clé.)
Tu n'a pas accès à su si tu es venu par login/mot de passe depuis le domaine. Tu n'es pas dans le bon groupe.
De toute façon pour avoir vraiment les droits root sur le domaine entier il faut :
- être sur le bon VLAN
- Se logguer au firewall avec un utilisateur wheel via clef. PFauth et PFSync se mettent en route.
- Récupérer le port à la con qui change tout le temps
- Se logguer au domaine avec la clef root sur le port à la con qui change en permanence
- Pendant mes heures de veille, répondre au téléphone pour m'expliquer lentement pourquoi il y a eu besoin de se loguer en root sur le domaine. Toute réponse non satisfaisante entrainne la fermeture de la session et l'invalidation de la clef.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par tuXico . Évalué à 5.
en gros : cat /etc/sudoers s'il te faut un poil plus fin et vu que, sous mollusk, on vérifie les droits avant execution, il y a nécessairement un mécanisme qui calcule déjà ça. Ensuite, effectivement, ce mécanisme ne sort pas la liste des utilisateurs.
Donc, le brevet, c'est pour avoir réussi à coller un print au milieu du code ? Qu'est-ce qu'il se passe le stagiaire qui a codé ça s'appelle Balmer ? Je suis sûr qu'on peut trouver dans le code généré par [KRO]soft des éléments un poil plus impressionnants.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 1.
Verifier que X peut faire Y ne signifie pas que tu connais tous les gens qui peuvent faire Y.
C'est comme mettre une cle dans une serrure et essayer d'ouvrire la porte, ca ne signifie pas que tu connais toutes les cles qui peuvent ouvrire la porte.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par briaeros007 . Évalué à 2.
Si tu n'en as pas les droits, c'est peut être qu'il y a une raison...
et si tu es sur un pc et que tu ne peux pas savoir qui est l'admin du pc ou qui peut connaitre l'admin du pc, c'est qu'il y a un léger problème qq part.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 1.
Si tu n'en as pas les droits, c'est peut être qu'il y a une raison...
Ben idem avec sudo hein...
et si tu es sur un pc et que tu ne peux pas savoir qui est l'admin du pc ou qui peut connaitre l'admin du pc, c'est qu'il y a un léger problème qq part.
Comme je te l'ai explique avant, selon la tache a effectuer, il y a plus d'un compte possible, il n'y a pas qu'un admin et le reste des users tout simples sous Windows.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par tuXico . Évalué à 3.
C'est que j'ai jamais trop compris l'informatique selon [KRO].
Et c'est que tu ne m'aides pas, en plus.
Je ne réponds pas niveau informatique, tu ne le fais pas non plus et ton parallèle est (à mon avis) foireux : vous êtes en train de breveter le tableau de clefs qu'on trouve dans tous les hôtels ? C'est vrai que l'humanité avance à grand pas grâce à ta boite...
(humour du vendredi)
Ceci dit, comme [KRO] n'a pas forcément été tout le temps connu pour sa grande gestion des clefs, heureusement que vous avez une porte de moins depuis un certain temps. (qui a payé la note ?)
[^] # Re: On se demande qui est l'idiot/enflure
Posté par tuXico . Évalué à 4.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par thedude . Évalué à 1.
bon, par contre, elle est large, la ligne. environ 15 000 caracteres.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par tuXico . Évalué à 4.
Tu veux parler d'une bête comparaison entre les utilisateurs du système avec les droits d'execution de chaque binaire contenu dans le PATH ? ça, ça se fait en moins de 15000 caractères (arf).
(Effectivement, il restera la partie des sudoers qui sera un poil plus longue.)
Pour être précis, même en ksh, la trivialité du code n'est pas à démontrer...
En même temps, je ne me suis basé que sur tes affirmations et part du principe que ce superbe brevet sert à avoir le droit de coder un soft qui indique qui peut faire quoi. Comme j'ai pu mal interprété ce que tu dis, peut être je me trompe et c'est un brevet respectable pour une idée novatrice dont la complexité est réelle. En même temps, je doute. J'ai une forte impression que [KRO] a breveté nawak (et qu'en perl -par exemple-, ça se tombe très vite, surtout si on vire "les exceptions" sudo et même avec ça reste facile)
T'es sûr : vous avez pas des trucs bien à breveter ? Je ne peux pas croire qu'une boite aussi grande qui fait des dev aussi variés et autant de dev système, n'ait que ça à breveter. ça fait un peu pauvre à mon goût.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Albert_ . Évalué à 5.
Si si ils ont des trucs "bien" (rigolo) a breveter comme le double clic ca aussi c'est vrai que cela se bat pas mal pour la premiere place du brevet le plus debile.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Jerome Herman . Évalué à 3.
Même si je suis plutôt d'accord avec toi sur ce coup là, et que je suis contre sudo (sudo MUST DIE !) Il existe plusieurs manières de faire qu'un utilisateur passe de droit restreints à des droits plus étendus sans changer de compte.
Les méthodes les plus connues sous Linux sont les outils SE Linux. Sous FreeBSD, et d'autres Unixes on peut créer des comportements equivalents avec MAC (Mandatory Access Control)
[^] # Re: On se demande qui est l'idiot/enflure
Posté par galactikboulay . Évalué à 1.
Trouver quels sont les utilisateurs qui ont le droit demander et le presenter a l'utilisateur, desole mais je ne connais pas d'OS qui le fasse.
Ouais, peut-être que les autres OS ont une conception un peu moins naze de la sécurité aussi.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par Albert_ . Évalué à 0.
Lit donc les commentaires fait a ton collegue (quoique si ca se trouve c'est toi qui a mis ce message la bas...)
Et pour reprendre une partie des reponses.
Shame that the Anon poster who started this thread hasn't a clue. Perhaps if
they actually *read* the documentation for "sudo" they might know what
it does.
Alors les vacances en suisse ca se passe bien? Tu viens troller sur dlfp sur ton temps libre quel abnegation tout de meme.
ps: un GUI presentant l'acces a sudo quel innovation vraiment pas de bol que cela existe depuis longtemps sous unix (linux, macosX...)
[^] # Re: On se demande qui est l'idiot/enflure
Posté par ribwund . Évalué à 2.
D'ailleurs il faut enfreindre *toutes* les claims, pas juste une pour enfreindre le brevet, ce qui est assez peu probable sauf dans le cas d'un clone.
[^] # Re: On se demande qui est l'idiot/enflure
Posté par pasBill pasGates . Évalué à 1.
C'est triste.
# Ils sont juste idiot
Posté par Mais qui suis-je ? :) . Évalué à 10.
L'idée fonctionne il publie une note a destination de la Windows core team, histoire de voir si cette idée peut se merger au trunk du SP1, du prochain windows ou resté séparée.
Le service de propriété intélectuelle voit passé la note interne.
et la passe à un juriste, qui a pour ordre de breveter toutes les innovations de microsoft.
Le juriste écrit un brevet et l'envoie au bureau des brevets.
Rien de plus…
# je vois pas le rapport
Posté par Psychofox (Mastodon) . Évalué à 7.
[^] # Re: je vois pas le rapport
Posté par Albert_ . Évalué à 1.
Sudo est inclu dans GNU/linux. GNU/Linux inclu sudo. Les deux ont grand chose à voir.
[^] # Re: je vois pas le rapport
Posté par dyno partouzeur de drouate . Évalué à 6.
Sauf qu'on parle de Linux, le noyau. Il n'y a aucun produit concret qui s'appelle GNU/Linux, c'est un concept fumeux inventé par RMS et ses sbires pour rappeler que beaucoup de distributions ont récupéré les restes funéraires du projet GNU (et plein d'autres choses en fait, mais ça la FSF s'en carre l'oignon parce que c'est écrit par des traîtres qui encouragent le logiciel privatif avec leur licence BSD) pour construire un OS autour de ce noyau Linux.
Mais en fait sudo ça n'a rien à voir avec le brevet en question, comme l'a fort justement fait remarquer pBpG (qui va se faire moinsser quand même par la majorité des imbéciles linuxfriens). Ce journal est une merde, groklaw est une merde, le système de notation de linuxfr est une merde. Monde de merde !
Allez, inutilez-moi maintenant. Ca me confortera dans mon jugement.
[^] # Re: je vois pas le rapport
Posté par kowalsky . Évalué à 3.
[^] # Re: je vois pas le rapport
Posté par Octabrain . Évalué à 1.
[^] # Re: je vois pas le rapport
Posté par Psychofox (Mastodon) . Évalué à 10.
sudo a été écrit à l'origine sur des machines vax sur BSD 4.1, et la seule version qui a été en gpl a vu son développement abandonné il y'a fort fort longtemps. La version la plus connue, celle de Todd Miller est sous une licence isc like (une isc avec un ajout mentionnant le sponsoring du département de la défense américaine et des labos de l'us air force) et est prévue pour fonctionner sur un unix.
Bref qu'on le trouve sur nombre de distribution linux n'est que le témoin de la qualité et de l'utilité de ce logiciel, mais ce n'en est pas un composant : il n'est pas indispensable ni nécessaire dans le bon fonctionnement de celui-ci, ce n'est pas une brique de base d'une distribution linux.
[^] # Re: je vois pas le rapport
Posté par Aldoo . Évalué à 1.
---->[]
# C'est maintenant que vous vous réveillez ?
Posté par GeneralZod . Évalué à 2.
http://ubuntulinuxtipstricks.blogspot.com/2007/05/did-micros(...)
Pour rigoler, chercher la date de dépôt:
http://patft.uspto.gov/netacgi/nph-Parser?Sect1=PTO1&Sec(...)
old stuff
# et NSA_KEY ?
Posté par jpph . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.