Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 28-08-2013 01:16:24

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

[Résolu] Config $PATH et sécurité

Salut à tous,

J'ai une question qui me turlupine pas mal. Sur ma Wheezy, j'ai un certain nombre de commandes que j'utilise souvent et qui doivent, par défaut, être exécutées soit en root, soit via sudo (ce qui est mon cas). Ex: ifconfig, route, service xxx start|stop sont quelques unes des commandes dont j'ai usage quotidien.
Par curiosité, j'ai ajouté à mon .bashrc la ligne:

PATH=$PATH:/sbin/


Et très logiquement, j'ai maintenant accès à ces commandes sans avoir besoin de sudo.
Si je trouve cela très pratique, je trouve cela limite en terme de sécurité.
Est-ce à dire qu'il suffit à un utilisateur de modifier son .bashrc pour avoir accès à des commandes qui lui sont interdites par l'admin ou par défaut par le système? sad

J'ai fait quelques recherches sur le net sans pour autant trouver une explication intelligible, notamment en ce qui concerne la relation entre le $PATH et les autorisations définies dans /etc/sudoers.
Si une âme charitable voulait bien éclairer un peu ma lanterne d'apprenti fouilleur d'entrailles linuxo-debianesques, ce serait super!

Dernière modification par sogal (28-08-2013 13:54:52)


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#2 28-08-2013 02:21:14

MicP
Invité

Re : [Résolu] Config $PATH et sécurité

Très intéressant ce fil.
C'est vrais qu'il faudrait peut-être que ces commandes aient un attribut à 754 plutôt que 755,
mais ce n'est que ma première impression de bidouilleur qui n'a pas assez d'expérience.
Ceci dit, si on appelle une de ces commandes, l'accès aux périphériques qu'elles pourraient modifier n'est autorisé qu'à root.
En tout cas j'attends la suite de ce fil avec impatience.

Dernière modification par MicP (28-08-2013 02:26:43)

#3 28-08-2013 09:52:57

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [Résolu] Config $PATH et sécurité

Bonjour,

sogalpunx a écrit :

Si je trouve cela très pratique, je trouve cela limite en terme de sécurité.


Ça ne change pas grand-chose : tu peux très bien lancer une commande par son chemin absolu.
La sécurité réside plus dans le fait d'être autorisé ou non à lancer cette commande, que tu aies sbin dans ton path ou que tu tapes /sbin/lacommande.

Donc, je penche plutôt vers  /etc/sudoers.


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#4 28-08-2013 09:59:51

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : [Résolu] Config $PATH et sécurité

Salut,
Les commandes dans /sbin et /usr/sbin ne sont pas dangereuses quand utilisées par les utilisateurs, puisque justement, elles sont lancées avec seulement des droits utilisateurs.
Perso, mon PATH (user) est le suivant :

echo $PATH
/sbin:/usr/sbin:/home/captnfab/.local/sbin:/home/captnfab/.local/bin:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games


Je peux donc appeler blkid, ifconfig, etc. en utilisateur simple.
Lorsque je veux utiliser ces commandes pour modifier la configuration du système, je ne peux pas :

ifconfig wlan0 down
SIOCSIFFLAGS: Opération non permise


Des droits plus importants étant nécessaires. Je passe alors root pour lancer ces commandes.

Interdire l'exécution de ces commandes est inutile, puisqu'il suffit à l'utilisateur de les compiler lui-même pour y avoir accès.


captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#5 28-08-2013 13:54:16

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : [Résolu] Config $PATH et sécurité

Huuuuuuummm OK!
C'est plus clair, merci. Je n'avais réfléchi assez au distinguo entre "avoir accès à la commande" et "effectuer une modif système avec".  Donc via ces commandes l'utilisateur peut avoir accès à la config sans pouvoir la changer, donc en gros le changement de $PATH n'est qu'une forme de "raccourci" et n'a aucun rapport avec la sécurisation du système.
Merci beaucoup smile .

Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#6 28-08-2013 19:23:50

loreleil
Banni(e)
Lieu : Ch'timi
Distrib. : Aptosid
Noyau : 4.3.0-0.slh.3-aptosid-amd6/4 4.3-3 (2015-12-01)
(G)UI : Kde-Full
Inscription : 13-08-2010

Re : [Résolu] Config $PATH et sécurité

Salut,

Chez moi, l'unique utilisateur lambda que je suis, n'a pour seul "tâche" administrative autorisé par Root, la consultation des logs et rien d'autre !

Hormis sa tambouille en lieu et place.

Distant, c'est un "petit" peu plus, restrictif ! tongue

sudo, connais pas.

Concernant ta problématique PAM est ton ami. Me semble t-il ... cool

  La première loi du libre et de tout hacker, au sens noble, le partage de la connaissance 
.
Aptosid-Kde-Full (4.3.0-0.slh.2-aptosid-amd64/ aptosid 4.3-2 (2015-11-18))

Hors ligne

#7 28-08-2013 21:44:46

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : [Résolu] Config $PATH et sécurité

Salut,
Effectivement, un compte root bien verrouillé et le reste en user avec droits standard c'est la base. C'est sans doute ce que je ferais la prochaine fois tout en ayant /sbin dans mon PATH (plus facile notamment pour la consultation des logs comme tu le dis ou de certaines stat réseaux dans mon cas).
Je connaissais pas PAM, me suis renseigné vite fait et effectivement ça semble être un système utile pour gérer finement les autorisations par user/programme.
Mais bon, de là à ce que je sache le mettre en œuvre... smile

Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#8 28-08-2013 22:08:19

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : [Résolu] Config $PATH et sécurité

Faire un tuto PAM... N'est-ce pas déjà une œuvre à concevoir ?

Quoi j'suis pas fin ? lol

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#9 28-08-2013 22:20:36

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : [Résolu] Config $PATH et sécurité

sogalpunx a écrit :

donc en gros le changement de $PATH n'est qu'une forme de "raccourci" et n'a aucun rapport avec la sécurisation du système.


Exactement smile

PAM, il me semblait que c'était plus pour les méthodes d'authentification (genre login par clé usb, empreinte digitale, authentification par ldap, etc.) que pour affecter des droits aux gens.
Pour ça, il y a les groupes.

Par exemple, si vous regardez l'application « pmount » elle a besoin de droit root, donc elle appartient à root et est setuid. Seulement, pour que seuls les membres d'un groupe particulier puisse s'en servir, l'application appartient au groupe plugdev et n'est pas exécutable par les autres ! (permissions 754)

Si un autre utilisateur compile pmount, il pourra mettre l'appli setuid, mais ne pourra pas définir root comme propriétaire smile


captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#10 28-08-2013 22:54:56

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : [Résolu] Config $PATH et sécurité

Okay...après avoir lu https://fr.wikipedia.org/wiki/Setuid je comprends mieux!
En fait le système de sécurisation est principalement du au fait que les applications appartiennent à root.
Mais lors du lancement d'une application, que c'en soit une "authentique" ou, comme dans ton exemple, une compilée par un utilisateur malicieux, qu'est-ce qui vérifie qu'elle appartient bien à root et que donc elle peut s'exécuter?

Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#11 29-08-2013 00:22:05

loreleil
Banni(e)
Lieu : Ch'timi
Distrib. : Aptosid
Noyau : 4.3.0-0.slh.3-aptosid-amd6/4 4.3-3 (2015-12-01)
(G)UI : Kde-Full
Inscription : 13-08-2010

Re : [Résolu] Config $PATH et sécurité

Salut,

captnfab a écrit :



PAM, il me semblait que ...



Bien plus que cela, en grattant un peu ... la pause café, la vaisselle, les poussières, le vide grenier, barrage, respect, interdit, dégaine ... ^¿~


PAM, entre autres !


  La première loi du libre et de tout hacker, au sens noble, le partage de la connaissance 
.
Aptosid-Kde-Full (4.3.0-0.slh.2-aptosid-amd64/ aptosid 4.3-2 (2015-11-18))

Hors ligne

#12 29-08-2013 09:09:00

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : [Résolu] Config $PATH et sécurité

Ah ben, ça laisse la voie à l'exploration alors smile
Qui a dit que le temps du monde finit commençait ?

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#13 29-08-2013 09:17:42

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : [Résolu] Config $PATH et sécurité

PAM fait aussi pour la muscu des abdos, pass' que j'en connais qui shadocke grave ces temps (et les shadocks pompaient.. pompaient... pompaient...) ... hein ! lol

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#14 29-08-2013 10:11:28

loreleil
Banni(e)
Lieu : Ch'timi
Distrib. : Aptosid
Noyau : 4.3.0-0.slh.3-aptosid-amd6/4 4.3-3 (2015-12-01)
(G)UI : Kde-Full
Inscription : 13-08-2010

Re : [Résolu] Config $PATH et sécurité

Hou la là ... boulet rouge en approche.

Chanteur d'opérette ... cool

  La première loi du libre et de tout hacker, au sens noble, le partage de la connaissance 
.
Aptosid-Kde-Full (4.3.0-0.slh.2-aptosid-amd64/ aptosid 4.3-2 (2015-11-18))

Hors ligne

#15 29-08-2013 12:48:35

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : [Résolu] Config $PATH et sécurité

On m'appelleuuuh trollus de bois et je chanteuh du bout des  doigts ... lol

Quoâ les opérettes c'est plus d'âge ? cool

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

Pied de page des forums