Vous n'êtes pas identifié(e).
Pages : 1
chr a écrit :
Pourquoi certaines commandes sont indiquées "Ce code doit être dans un shell utilisateur simple"
alors que je viens de constater que le résultat en root est identique?
Parce que lorsque qu'un fichier est ouvert à la lecture pour user, utiliser le terminal user pour le lire est recommandé pour la sécurité du système, root n'est utilisé que par obligation et non par commodité.
On ne dit pas à un âne de ne pas dévorer le boisseau d'avoine qu'on lui met sous le nez... cool
A noter que pour une commande unique qui nécessite root, il est recommandé d'utiliser su avec l'option -c comme ça :
su -c 'VotreCommandeUnique'
Afin de rester dans un terminal user à la fin de l'exécution de la commande.
J'ai pas bien capté l'interêt du su -c "commande".
Merci
Ma patrie c'est le monde, ma famille c'est l'humanité.
Hors ligne
Dernière modification par smolski (02-02-2014 19:15:04)
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
Ma patrie c'est le monde, ma famille c'est l'humanité.
Hors ligne
L'important n'est pas la chute mais l'atterrissage...
Chapardeur de chocolat DF!!!
Admin un jour, admin toujours...
Utilisateur de plusieurs OS de type Unix comme GNU/Linux, Système BSD (FreeBSD, OpenBSD, NetBSD), Système Solaris (OpenIndiana et divers autres distrib du projet ILLUMOS) . I love Unix !!!
Hors ligne
L'important n'est pas la chute mais l'atterrissage...
Chapardeur de chocolat DF!!!
Admin un jour, admin toujours...
Utilisateur de plusieurs OS de type Unix comme GNU/Linux, Système BSD (FreeBSD, OpenBSD, NetBSD), Système Solaris (OpenIndiana et divers autres distrib du projet ILLUMOS) . I love Unix !!!
Hors ligne
La musique : une certaine façon de s’asseoir sur l’éternité.
Hors ligne
Hors ligne
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
Ben moi qui croyais qu'il fallait éviter d'ouvrir des applications graphiques en root...
Sa dépent laguespa, ya pas vrt de règles.
Si tu veux utiliser wireshark ou clamav...et bien d'autres il faut que tu passe en root
D'ailleurs quand tu ouvres synaptic par exemple, on te demande toon mot de passe root et là c'est l'équivalent d'une commande précédé de gksu.
Dernière modification par nifseg (20-02-2014 05:34:24)
L'important n'est pas la chute mais l'atterrissage...
Chapardeur de chocolat DF!!!
Admin un jour, admin toujours...
Utilisateur de plusieurs OS de type Unix comme GNU/Linux, Système BSD (FreeBSD, OpenBSD, NetBSD), Système Solaris (OpenIndiana et divers autres distrib du projet ILLUMOS) . I love Unix !!!
Hors ligne
La musique : une certaine façon de s’asseoir sur l’éternité.
Hors ligne
Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
Hors ligne
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
La musique : une certaine façon de s’asseoir sur l’éternité.
Hors ligne
gksu te permet de lancer une appli en root sans tout casser
gksu : primer le système. —>
Dernière modification par Invité-2 (20-02-2014 11:23:11)
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
La musique : une certaine façon de s’asseoir sur l’éternité.
Hors ligne
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
synaptic utilise un mécanisme d'élévation de privilège en te demandant le pass root au milieu.
gparted utilise PolicyKit pour donner à ton utilisateur les CAPabilities nécessaires pour modifier le disque.
Si tu lances gparted via gksu, tu passe via l'élévation de privilège standard.
Avant d'apprendre, j'aime comprendre !
Qui ou quoi te fait affirmer cela ?
Les binaires de gparted et de synaptic sont dans /usr/sbin/ donc en dehors du contenu de la variable PATH d'un simple utilisateur.
Cependant il existe, dans /usr/bin/, des scripts -pkexec qui lancent avec les privilèges 'root' les binaires qui vont bien.
/usr/sbin/gparted est lui-même un script qui lance /usr/sbin/gpartedbin.
Voici un file sur ces 3 fichiers.
Comment puis-je savoir que l'un utilise l'élévation de privilèges et l'autre policykit
LeDub content de retrouver un forum comme pouvait l'être Andesi à la bonne époque !
Hors ligne
Les binaires de gparted et de synaptic sont dans /usr/sbin/ donc en dehors du contenu de la variable PATH d'un simple utilisateur.
Ce qui, nous sommes d'accord, n'empêche en rien les utilisateurs de les exétuter.
Cependant il existe, dans /usr/bin/, des scripts -pkexec qui lancent avec les privilèges 'root' les binaires qui vont bien.
Mais contrairement à su ou sudo, la vérification se fait via PolicyKit. C'est le pk de pkexec
Cela signifie que cela peut s'inscrire dans une stratégie de gestion plus fine des privilèges.
Comment puis-je savoir que l'un utilise l'élévation de privilèges et l'autre policykit
En fait, dans les deux cas il y a élévation de privilèges.
Pour su, sudo, pkexec, tu peux remarquer en affichant leurs droits avec stat par exemple qu'ils ont le bit setuid d'activé. Cela signifie que les applications s'exécutent avec les droits du propriétaire de l'application, c'est à dire, ici, root.
Par contre, les mécanismes d'authentification sont très différents. su (sans préciser d'autre nom d'utilisateur) vérifie que le pass entré est le pass root, sudo (dans sa configuration par défaut) vérifie que le pass entré est le pass utilisateur et que l'utilisateur est légitime pour le fichier sudoers.
pkexec va, lui, demander à policykit quels sont les privilèges (dans le système de privilège de PolicyKit) nécessaires pour exécuter la commande (de partitionnement par exemple). Il va trouver cela dans le fichier /usr/share/polkit-1/actions/com.ubuntu.pkexec.gparted.policy, toujours si l'on s'intéresse au cas de gparted.
Il y verra qu'il faut être membre du groupe (au sens PolicyKit) admins, lequel est défini dans /etc/polkit-1/localauthority.conf.d/51-debian-sudo.conf comme étant composé des membres du groupe (au sens UNIX) sudo.
Je pensais que synaptic permettait une élévation de privilège pendant l'exécution, mais visiblement pas. Par contre, la logithèque le fait dans mes souvenirs. Étant donné qu'elle n'est pas setuid, elle doit forker et exécuter un programme d'installation setuid. Après vérification, elle utilise policykit elle aussi, et échoue lamentablement sur mon système, tentant probablement (via un appel dbus) de demander à apt-daemon de faire l'installation.
La plupart des infos peut être devinée depuis les logs
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
Pages : 1