logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 09-01-2009 21:01:32

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

wiki-droits "spéciaux - le droit SUID - copie re...faite

Bonsoir,
Lien vers le wiki : http://debian-facile.org/wiki/doku.php? … _l_exemple
A vos commentaires !
Favorables - pas favorables... Rectifs et ajouts bienvenus ici !
Le droit SUID - Pour débianeux averti ! tongue

SUID - un droit securisé. ATTENTION c'est pas cool !

Directement inspiré de :
http://www.ac-creteil.fr/reseaux/system … roits.html smile

Ce droit demande une connaissance préalable de tous les droits de bases, leur fonctionnnement, leur manipulation, ainsi que de la commande de listage ls.
Si vous ne comprenez pas cette litanie, revoyez les commandes CHMOD CHOWN LS et concert...

POURQUOI CE DROIT ?

Observez :
Exemple de fichier où SUID s'applique nécessairement :
sous root lister dans un terminal :

ls -l /etc/shadow
-rw-r-----  root root  shadow


Les droits de réalisation (rw) dans le fichier shadow sont limités à u=root exclusivement.
et :

ls -l /usr/bin/passwd
-rxsr-xr-x  root  root /usr/bin/passwd


SUID, en s'intégrant (rxS) dans le fichier intermédiaire passwd crée TEMPORAIREMENT la passerelle NÉCESSAIRE aux non-root pour modifier (avoir les droits : rw) le fichier shadow !

* SUID permet la réalisation (rw) d'une commande d'exécution (x) :
     SANS les droits permanents nécessaires (rw)
     à partir d'un utilisateur lambda (u = non-root par exemple...),
     VIA un fichier d'utilisateur exclusif (u = root),
     VERS un fichier de réalisation finale de propriété exclusive identique (u = root selon l'exemple...),

    * Le droit SUID est un droit TEMPORAIRE de fichier.
    * Il s'agit d'un dispositif de sécurité essentiel qui autorise un utilisateur (u = non-root) à bénéficier de droits plus étendus  que les siens...
    * Il fonctionne juste le temps et sous le contrôle de la commande sollicitée.
    * Ce droit est noté symboliquement par s (sa valeur octale est 4000).
         Dans la notation, il se met en lieu et place du x (celui-ci restant actif, en prenant celle du w au centre).
         En fait, la notation de ce droit pour (u) seulement : rxs équivaut à rwx, ou 47-- = 7--.

De nouveau, observez :
sous root lister dans un terminal :

ls -l /etc/shadow
-rw-r-----  root root  shadow


Ce qui indique toutes les limites de ce fichier (u = root). Sécurité maxi !

Puis, lister :

ls -l /usr/bin/passwd
-rxsr-xr-x  root  root /usr/bin/passwd


Ici, le droit (x) sur le fichier passwd est accordé à tous les exécutants lambda.
De plus :
Le fichier passwd propriété de root, a accès de réalisation (rw) dans le fichier shadow, propriété root également.

Le positionnement du SUID permet à passwd d'utiliser les droits de réalisation root dans le fichier shadow pour poursuivre l'exécution de la commande (x), en la prenant à son compte !
[center]C't'un coquin... Majax enfoncé ! cool[/center]
Exit l'utilisateur non-root initiateur de la commande (x) ! C'est root qui agit maintenant !
[center]Trop fort... Le coup d'la malle d'Houdini... Ouarf lol ![/center]
Il est ainsi possible à tout exécutant non-root (ici de passwd)
     d'agir (ici, de mettre à jour le fichier des mots de passe...)
          dans un fichier en préservant la haute sécurité de celui-ci (ici c'est shadow),
             dans le cadre UNIQUE de l'exécution d'une commande non autorisée au départ... CHAMPAGNE !

Pas de droits dangereusements permanents ! Sécurité préservée, santé assurée..! big_smile


Yô Melodie ? wink
Edit :
Correction à jour 11/01/2209
As-tu le concret que tu demandes ? Prends en compte que nous entrons dans le domaine où c'est l'individu qui taille sa propre route, il faut connaître de la boussole, de l'altimètre et ses forces disponibles...
Sinon, que revoir dans ce tuto destiné au wiki DF ? A vos plumes, merci !

Amitié, Joel

Dernière modification par smolski (13-01-2009 14:50:36)


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#2 10-01-2009 00:53:12

Melodie
Modérateur
Lieu : Pyrénées
Distrib. : Bento Openbox
(G)UI : Openbox
Inscription : 28-05-2007
Site Web

Re : wiki-droits "spéciaux - le droit SUID - copie re...faite

Il va vraiment falloir faire quelque chose, je suis larguée dés les premières lignes. Ce qu'il faudrait, c'est commencer par un exemple de problème en situation réelle, avec le bit suid qui arrive à la rescousse. Mais comme je ne le comprends pas moi-même je ne peux pas t'être très utile.  sad

J'espère que quelqu'un d'autre, passant par là... smile

le blog d'une newbie :: Linuxvillage :: Bentovillage


À propos de l'OS dominant ::> “Il est plus facile de berner les gens que de leur faire admettre qu'ils ont été bernés” (trad d'une citation approximative de Mark Twain)

Hors ligne

#3 10-01-2009 13:37:35

palmito
Administrateur
Lieu : Dans la boite de gâteau!
Distrib. : bah....
Noyau : heu...
(G)UI : gné?
Inscription : 28-05-2007

Re : wiki-droits "spéciaux - le droit SUID - copie re...faite

Merci smolski pour tes participations wink

Le wiki devrait normalement prendre une autre tournure...
Le but serait de continuer a faire de la doc (rien de nouveau) mais aussi de rassembler la doc existante avec des liens en fin de wiki...ou directement des liens en cas de docs inexistantes...

Pourquoi pas une intro sur un sujet et une redirection sur quelques tutos déjà bien fourni (dans un esprit "facile" bien entendu wink)

Je devrais avoir un peu plus de temps (et envie..) en cette nouvelle année pour mettre en oeuvre tout cela (avec votre aide je l'espere tongue)

Le wiki est éditable par tous wink

@+

Hors ligne

#4 10-01-2009 14:40:30

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : wiki-droits "spéciaux - le droit SUID - copie re...faite

Salut Palmito !

Rectifié pour le tuto original, le lien était au début mais je ne l'avais pas reporté. sad

J'me sens vraiment pas à faire du wiki direct, déjà, j'ai pas tout compris comment faire, et mes explications se doivent d'être vérifiées par de plus avertis !
Plus tard, j'dis pas...
Pour l'heure, je n'suis qu'un bébé rampant dans la boue d'une civilisation sompteuse... roll C'est bon pour le teint paraît-il...

Aussi, il me paraît intéressant que des avis se posent en post sur un wiki en gestation comme ici (un wiki en création collective quoi...) pour pouvoir en préciser l'expression, l'eurtaugrafffe, les questions complémentaires... pendant quelques temps...
Ca ne sert qu'à moi de blatérer des erreurs qu'il faut ensuite rectifier, le wiki n'est pas là pour ça. Non ?
Le forum et ce fil est tout indiqué, ainsi, les errances profitent à tous.

Je vous propose donc de déposer d'abord sur le forum-wiki les essais des rédacteurs-débutants intéressés, si vous pouvez en accuser la bonne consistance et, à votre guise, donner un feu vert pour les porter dans le wiki...

Amitié, Joel

Dernière modification par smolski (11-01-2009 05:57:37)


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#5 11-01-2009 06:59:35

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : wiki-droits "spéciaux - le droit SUID - copie re...faite

Pour les wiki ils faut toujours penser au nouveau, donc ne jamais oublier un contexte et une expression avec des mots clair , tu peux te lancer a faire des redaction directe, il suffira de modifier une fois le wiki écrit. Pourquoi je dis ca car c est plus simple d avoir le wiki devant toi que tu peux lire et relire et relire pour faire quelque modification.

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#6 11-01-2009 07:25:04

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : wiki-droits "spéciaux - le droit SUID - copie re...faite

@ Mattux_
Ben c'est vrai que c'est plus rapide et facile, mais la gestation d'un écrit me parait tout aussi édifiante, surtout si des posts viennent l'égayer, l'équilibrer...
Et puis, en restant dans le forum, cette création permet des avis de correction sur le vif, avec un laps de réactivité intéressant, me semble-t'il...
Au final, un copié-collé du post de création ou de rectification, plus quelques aménagements, c'est pas trop d'boulot par rapport à la conviviabilité du truc... Tout rédacteur, neophyte ou confirmé, peut le faire sur le signal commun du OK !

Joe la menace Pan !

Dernière modification par smolski (11-01-2009 07:25:55)


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#7 11-01-2009 07:27:14

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : wiki-droits "spéciaux - le droit SUID - copie re...faite

euhh simplement qu il faut savoir qu un simple copier/coller ne fonctionnera pas car le wiki a une syntax à respecter mais ton point de vu est tres bon.

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#8 11-01-2009 07:32:35

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : wiki-droits "spéciaux - le droit SUID - copie re...faite

Côté syntaxe, c'est plus rigolo à triturer que de composer toute la partition... big_smile

Mozart vous salut bien !

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#9 11-01-2009 07:34:18

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : wiki-droits "spéciaux - le droit SUID - copie re...faite

la syntaxe est assez chiante au debut, mais une fois le truc compris tu feras même plus attention big_smile mais simplement pense un wiki de 500 ligne que tu copie dans le wiki tu vas avoir beaucoup plus de boulot a tout modifier qu a le rédiger directement .

MaTT

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#10 11-01-2009 07:43:28

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : wiki-droits "spéciaux - le droit SUID - copie re...faite

@ Ha hâââ... J'y ai songé, le rédacteur, bien que présentant l'ensemble du tuto wiki dans le forum peut ne transformer que les bouttt concernés...
Tirer quelques bords peut suffire, c'est ce que je me suis permis de faire dernièrement en rajoutant apt-get autoremove issu de Lenny dans le wiki concernant les nettoyages printaniers...

500 milles, boudiou Matt, tu vas aux Marquises ? J'prends bord si j'peux emmener mon chien , mes chats et ma chérie... et pis quelqu'zoizeaux pour pépier dans la matt ure, là-haut, hola !

Jo le pirate

Dernière modification par smolski (11-01-2009 07:43:45)


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#11 11-01-2009 07:46:25

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : wiki-droits "spéciaux - le droit SUID - copie re...faite

mdrrrrrrrrrrr ben oui on y va vite en blabla ya tellement de chose à dire tongue

MaTT

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#12 11-01-2009 07:54:24

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : wiki-droits "spéciaux - le droit SUID - copie re...faite

En fait, je parlais pour les rectifs... Copier/coller le tout du wiki déjà en place dans le forum-wiki, mais ne rendre en copier/coller que les morceaux choisis.

Pour une rédac première, commencer avec 500 lignes d'un bout... Tchâââ Victor Hugo est mort me semble-t'il ? roll
Beau de l'Air peut-être ?
Là oui, vaut mieux un wiki d'abord mais rien n'empêche de doubler ensuite sur le forum pour reccueillir les avis de touss facile-debiemment... roll

Amitié, Joel

Dernière modification par smolski (12-01-2009 13:35:33)


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#13 11-01-2009 09:57:49

Melodie
Modérateur
Lieu : Pyrénées
Distrib. : Bento Openbox
(G)UI : Openbox
Inscription : 28-05-2007
Site Web

Re : wiki-droits "spéciaux - le droit SUID - copie re...faite

Bonjour,

Ce bit suid ne me semble toujours pas plus clair. Désolée si je vous paraît ch***te, mais tant que je verrais de l'abstrait ou du "petit chinois" (pardon aux chinois /o\ !) ça ne me parlera toujours pas.

Je vais essayer de donner un exemple bidon, pour montrer ce que je voudrais voir.

Si vous vouliez que votre lecteur de musique, puisse lire indifféremment des fichiers musicaux placés dans un répertoire vous appartenant, et aussi des fichiers musicaux appartenant à votre serveur web local, Apache, parce que vous aurez mis une partie de votre collection à disposition du réseau local, alors votre lecteur de musique, en l'état, n'aura pas les permissions pour lire les fichiers musicaux placés dans le répertoire appartenant à Apache. Pour qu'il en aie le droit, vous devrez mettre un bit suid sur le binaire de votre lecteur de musique. Si c'est de audacious qu'il s'agit, alors ce serait sur le binaire /usr/bin/audacious....


Il est bien évident que je ne comprends toujours rien au bit suid et à son usage, que cet exemple a des chances d'être totalement à côté de la plaque, c'est juste pour montrer comment un exemple, à mon sens, peut être parlant, pour amener les personnes à comprendre un sujet. Un exemple différent, est quand j'explique à des personnes ce qu'est un client web, un client mail etc... avec la comparaison client et serveur au restaurant, ou au café : et le logiciel qui peut tour à tour être client et serveur !

Du concret quoi ! Du concret que l'on peut relier à ce que l'on connaît déjà, dans la vie de tous les jours.

smile

À peluches !


le blog d'une newbie :: Linuxvillage :: Bentovillage


À propos de l'OS dominant ::> “Il est plus facile de berner les gens que de leur faire admettre qu'ils ont été bernés” (trad d'une citation approximative de Mark Twain)

Hors ligne

#14 11-01-2009 11:27:08

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : wiki-droits "spéciaux - le droit SUID - copie re...faite

Melodie à écrit :

Désolée si je vous paraît ch***te


Pas d'problème nous fréquentons les mêmes modèles autours de nous... et en nous, s'pas ? smile

Perso, je te remercie de l'attention que tu portes à ce forum, plus particulièrement à l'éthique linuxienne que tu nous proposes. J'aime regarder, de relais en relais, vers le sommet des montagnes où je randonne... cool

Chacun à ses crayons, je cherche et je guette ici des solutions alternatives pour la rédaction du tuto SUID avec du concret comme indiqué par Melodie...

Amitié, à bientôt, Joel

Dernière modification par smolski (13-01-2009 14:54:55)


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#15 11-01-2009 14:01:06

Melodie
Modérateur
Lieu : Pyrénées
Distrib. : Bento Openbox
(G)UI : Openbox
Inscription : 28-05-2007
Site Web

Re : wiki-droits "spéciaux - le droit SUID - copie re...faite

Cool ! Merci Joel.  cool

le blog d'une newbie :: Linuxvillage :: Bentovillage


À propos de l'OS dominant ::> “Il est plus facile de berner les gens que de leur faire admettre qu'ils ont été bernés” (trad d'une citation approximative de Mark Twain)

Hors ligne

#16 13-01-2009 22:47:24

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : wiki-droits "spéciaux - le droit SUID - copie re...faite

Bonsoir, le DROIT SUID est dans le wiki... Quasi à l'identique pour les mots, quasi aussi pour la forme...
A vos réactions !

Si vous corriger direct wiki, j'aimerai que cela me soit signalé z'aussi. Pour apprendre...

Amitié, Joel

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

Pied de page des forums