logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#51 20-09-2019 09:49:15

melissa6969
Banni(e)
Inscription : 30-11-2016

Re : Les comptes utilisateurs : types, configurations et usages.

merlin a écrit :

melissa6969#32  a écrit :


su
ça n'existe plus depuis Buster.....
c'est
su -
ça serait bien de pas donner de fausses infos...


Sous Buster la page man de su est datée de Juillet 2014 !
Quand on critique, on est supposé 1) apporter la preuve de l'erreur et 2) donner des arguments compréhensibles et sérieux.
1/Ce serait bien que tu indiques le numéro (#) du message qui serait concerné par cette fausse infos.
2/En général, et ça ne date pas d’hier, le tiret sert à introduire une option. Cependant, tu peux utiliser su sans option. Par exemple, sous Buster:
merlin@debian:~$ su
Mot de passe :
root@debian:/home/merlin#


2014.??
ha, on est pas en 2019 en ce moment.??

bah la réponse est ............ dans ta propre réponse, preuve que tu sais pas de quoi tu parles une fois encore.
tu te connectes en root et tu trouves normal que tu sois dans ton /home avec su.??
une connexion en root est censé te placer dans ton répertoire root, donc on utilise su -
et comme on est en 2019, et que le man date de 2014 (mais tu peux y participer pour le remettre au gout du jour hein), et que l'annonce a été faite par debian, je pense que le message est clair, su est "mort", pas besoin de tergiverser 3 000 ans sur un truc annoncé publiquement par debian, ils maitrisent quand même le truc il me semble.

Dernière modification par melissa6969 (20-09-2019 09:52:20)


Quamdiu est spes est, Est vitae.
Fiet in posterum melius

Hors ligne

#52 20-09-2019 10:06:19

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : Les comptes utilisateurs : types, configurations et usages.

Dommage que ce fil parte plusieurs fois en vrille, le tuto y afférent n'en est que plus difficile à mettre en place.

Arrêter les mots qui ne servent pas directement à la compréhension des comptes utilisateur et root rendrait les choses bien plus facile pour suivre le sujet.

Par ailleurs...

Nous avons un tuto su de 2013 :
https://debian-facile.org/doc:systeme:su

Nous avons un tuto root-superutilisateur de la même année 2013 :
https://debian-facile.org/doc:systeme:superutilisateur

Dans chacun d'eux il y a un renvoi vers le forum, si vous voulez coopérer à leur amélioration, c'est facile d'agir sur l'un et sur l'autre sans les emmêler ! big_smile

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#53 20-09-2019 13:14:38

raleur
Membre
Inscription : 03-10-2014

Re : Les comptes utilisateurs : types, configurations et usages.

merlin a écrit :

Le compte utilisateur  NP (Non Privilégié)=Utilisateur standard (appelation GUI) : uid=1001(merlin-np) gid=1001(merlin-np) groupes=1001(merlin-np).Ce compte est crée par défaut lors de l'installation si le mdp root est activé c'est à dire définit. Ne peut pas administrer le système, car il ne connaît pas le mdp root et n’est pas inscrit au groupe sudo. Par défaut, ce compte n'est inscrit à aucun groupe secondaire


Si. L'utilisateur merlin-np que tu montres n'a pas été créé lors de l'installation mais ultérieurement par adduser sans l'option --add_extra_groups.

merlin a écrit :

Le groupe sudo  est le seul groupe dont le rattachement à un compte permet l’acquisition des privilèges root pour ce compte.


C'est faux. Ce n'est vrai que dans la configuration par défaut de sudo.

merlin a écrit :

L’inscription au   groupe root  permet d’obtenir toutes les permissions d’accès aux fichiers, puisque qu’on peut lire, écrire ou exécuter  sur l’ensemble des fichiers utilisateurs


C'est également faux. L'appartenance d'un utilisateur au groupe root ne lui donne des permissions que sur les fichiers appartenant à ce groupe.

merlin a écrit :

si l'admi sudo s'inscrit au groupe adm, il pourra consulter les journaux systèmes


Un sudoer n'en a pas besoin puisqu'il peut déjà consulter les journaux via sudo.

captnfab a écrit :

c’est à dire que les permissions ne s’appliquent pas.


Ce n'est pas vrai, on peut empêcher root de modifier un fichier, via « chattr »


Tu confonds les permissions et les attributs.
De même que root ne peut pas écrire dans un système de fichiers ou un périphérique en lecture seule mais ça n'a rien à voir avec les permissions.


Il vaut mieux montrer que raconter.

Hors ligne

#54 20-09-2019 16:29:34

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : Les comptes utilisateurs : types, configurations et usages.

raleur a écrit :

captnfab a écrit :

c’est à dire que les permissions ne s’appliquent pas.


Ce n'est pas vrai, on peut empêcher root de modifier un fichier, via « chattr »


Tu confonds les permissions et les attributs.
De même que root ne peut pas écrire dans un système de fichiers ou un périphérique en lecture seule mais ça n'a rien à voir avec les permissions.


En effet, merci de la correction smile


captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#55 27-09-2019 20:21:16

merlin
Membre
Distrib. : debian 10.0 (x86-64)
Noyau : 4.19.0-5-amd64
(G)UI : Cinnamon, Gnome, XFCE
Inscription : 07-04-2019

Re : Les comptes utilisateurs : types, configurations et usages.

Nouveau titre : Les comptes utilisateurs : types, configurations et usages.
J'ai encore modifié le titre de cette discussion. Pour mémoire :
-le premier titre était le suivant: Installation PC : peut-on conserver seulement le compte administrateur ?;
-le second titre était : Les comptes utilisateurs : définitions et confusions ?

raleur#47 a écrit :


merlin a écrit :


    Il me semble que tu te contredis. Tu oppose ‘’accéder au réseau ‘’  et ‘’établir une connexion’’ !? Pour moi, ces deux expressions sont synonymes. Non ?


Non : accéder au réseau, c'est communiquer en utilisant une connexion réseau établie (au sens de liaison, pas au sens de connexion TCP qui n'est qu'une communication). Etablir une connexion réseau c'est activer et configure l'interface, ce qui nécessite des privilèges. C'est la même distinction qu'entre "accéder au contenu d'un système de fichiers monté" (modulo les permissions) et "monter un système de fichiers" (qui nécessite des privilèges).


J’ai un doute, le système Debian lui-même utilise « établir une connection » dans le sens de « accéder au réseau ». En effet, quand je branche ma clef usb ethernet ou quand j’active la connexion wifi, le système me signale par une infobulle  que ‘’la connexion est établie’’ !:
92.184.108.15-5d8ce9210d728.png
Je pense qu’il s’agit d’un problème de linguistique, mauvaise traduction ou raccourcis facile (entre spécialistes). Non ?

Captnfab#48 a écrit :


De mon point de vue, créer deux logins avec même UID, ça reste créer un seul utilisateur avec deux moyens de se connecter, deux HOME, deux SHELL… Mais un seul compte derrière.
Ça reste « confidentiel » parce que c'est bien souvent inutile.


N’est-ce pas proche du concept de « compte partagé » ? Souvent inutile, ça veut dire parfois utile, donc à garder sous le coude.

Captnfab#50 a écrit :


La distinction utilisateur humains/utilisateurs systèmes ne fait pas de sens pour le système.,


Le système est borné, il n’a qu’un seul point de vue, tandis que pour l’utilisateur humain qui doit contrôler sa machine, ou bien pirater celle d’un autre, la distinction est importante.  Je rappelle que cette discussion s’adresse à des utilisateurs humains (et notamment des débutants). Cependant, je remerçie captnfab de m’informer du point de vue du système car ça m’aide à mieux distinguer.

Les comptes utilisateurs: types, configurations et usages (version 5)
Les termes utilisés pour définir les comptes utilisateur humains sous Lignux sont très divers et appoximatifs. C’est la confusion générale (pour les débutants) : superutilisateur, root, administrateur, administrateur système, user , utilisateur, utilisateur classique, utilisateur simple et utilisateur standard.
En essayant de décrire les différents types de compte, j’ai essayé, autant que faire se peut, de tenir compte du point de vue du système (les fichiers de configurations) et de celui de l’utilisateur humain.

A/Trois types de compte sont distinguables dans le système Debian
Ces comptes sont enregistrés dans le fichier /etc/passwd : $ cat -n /etc/passwd

  • le compte root (root): UID=0 ;

  • les comptes systèmes: 1 ≤ UID ≤ 999, programmes (démons ?) qui travaillent en arrière-plan pour le système. Par défaut (sur mon système), il y en a 35.
    Liste officielle :...........……………. (histoire de repérer d’éventuels intrus) ?;

  • le compte utilisateur (user): 1000 ≤ UID.



B/Les deux types de compte humains

  • Le compte root: c’est le super-utilisateur ou administrateur système, il possède tous les privilèges. Il est donc non-configurable. Il est essentiellement destiné à l’administration du système (débutants), même si il est possible d’utiliser diverses applications graphiques ou non (spécialistes) ;

  • Le compte utilisateur: utilisateur non-root. Par défaut, il ne possède aucun privilège ni permission. Ce compte est personnalisable (configurable) par rattachement ou non aux groupes secondaires (obtention de permissions) ou à certains programmes (élévation de privilèges).



C/Les configurations par défaut du compte utilisateur
Par défaut, lors de l’installation, le système nous propose deux configurations de base que l’on peut ensuite personnalisées comme indiqué ci-dessus :

  • la configuration ‘’utilisateur standard’’: ce compte est créé par défaut par l'installateur Debian si le mdp root est définit. Par défaut, il ne possède aucun privilège ni permission . Il ne peut donc pas administrer le système. Sauf si l’utilisateur détient le mdp root (accès root via su -);

  • la configuration ‘’administrateur’’: ce compte est créé par défaut par l'installateur Debian si le mdp root n'est pas définit. Cet utilisateur inscrit au groupe sudo peut administrer le système via sudo.



Ces deux configurations sont visibles dans l’application ‘’Utilisateurs et Groupes’’ (Menu/Administration/). Il faut bien noter que ces deux configurations du compte de type ‘’utilisateur’’, sont présentées, à tort, comme des types de compte, ce qui induit en erreur le débutant sur la réalité sous-jacente (le point de vue du système) :
92.184.108.67-5d8e5e011ae2a.png
92.184.108.67-5d8e5e011b059.png

Même si le système ne distingue pas de catégories pour les types de compte et les types de configuration, ce qui ne l’empêche pas de reconnaître chaque compte ou chaque configuration, cette distinction permet à l’utilisateur humain (notamment débutant) de mieux comprendre les différentes possibilités.

Qu’en pensez-vous ?


Processeur Intel Core i5-3320M-2,6 GHz.

Hors ligne

#56 27-09-2019 21:40:45

raleur
Membre
Inscription : 03-10-2014

Re : Les comptes utilisateurs : types, configurations et usages.

merlin a écrit :

J’ai un doute, le système Debian lui-même utilise « établir une connection » dans le sens de « accéder au réseau ». En effet, quand je branche ma clef usb ethernet ou quand j’active la connexion wifi, le système me signale par une infobulle  que ‘’la connexion est établie’’ !:


Où vois-tu que "établir une connexion" est pris dans le sens de "accéder au réseau" ?
Pour moi "établir une connexion" a exactement le sens que je lui ai donné, et "accéder au réseau" c'est utiliser le réseau, par exemple naviguer sur un site web.

merlin a écrit :

Captnfab#50 a écrit :
    La distinction utilisateur humains/utilisateurs systèmes ne fait pas de sens pour le système.,


Je voudrais nuancer. Les mêmes mécanismes de gestion s'appliquent aux deux types d'utilisateurs, mais ils se différencient par leurs caractéristiques techniques : les utilisateurs système n'ont pas de mot de passe, de shell, de répertoire personnel... et on ne peut pas ouvrir une session avec.


Il vaut mieux montrer que raconter.

Hors ligne

#57 28-09-2019 10:15:09

saitama-san
Membre
Distrib. : stable
(G)UI : gnome
Inscription : 28-07-2019

Re : Les comptes utilisateurs : types, configurations et usages.

merlin a écrit :

Captnfab#50 a écrit :
    La distinction utilisateur humains/utilisateurs systèmes ne fait pas de sens pour le système.,


Je voudrais nuancer. Les mêmes mécanismes de gestion s'appliquent aux deux types d'utilisateurs, mais ils se différencient par leurs caractéristiques techniques : les utilisateurs système n'ont pas de mot de passe, de shell, de répertoire personnel... et on ne peut pas ouvrir une session avec.



lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin                                                                                          


je ne vois pas pourquoi les "utilisateurs système" n'aurait pas de shell ou de répertoire personnel ?
pour le mot de passe, rien n’empercherai d'en mettre un.

est-ce que tu peux prendre un exemple concret parce que j'ai du mal à te suivre ?
je suis seulement d'accord sur le fait qu'on ne peut généralement pas ouvrir de session avec.

concernant les distinctions faites par merlin, j'avoue que je m'y perds et je ne vois pas la finalité d'essayer de faire arbitrairement des catégories et sous catégories.
je crois qu'il y aurait moins de confusion à expliquer le fichier /etc/passwd que d'essayer de réinventer les choses.

Hors ligne

#58 28-09-2019 11:57:21

raleur
Membre
Inscription : 03-10-2014

Re : Les comptes utilisateurs : types, configurations et usages.

saitama-san a écrit :

je ne vois pas pourquoi les "utilisateurs système" n'aurait pas de shell ou de répertoire personnel ?


Parce qu'ils n'en ont pas besoin.

saitama-san a écrit :

pour le mot de passe, rien n’empercherai d'en mettre un.


Et si ma tante en avait, on l'appellerait mon oncle. Désolé pour cet accès de trivialité, mais évidemment si on donne a un utilisateur système toutes les caractéristiques d'un utilisateur normal, alors plus rien ne l'en distingue.

saitama-san a écrit :

est-ce que tu peux prendre un exemple concret parce que j'ai du mal à te suivre ?


Pas besoin d'aller chercher bien loin, il suffit de regarder l'utilisateur "lp" que tu as cité. Tu ne vas quand même pas soutenir sérieusement que nologin est un shell et que /var/spool/lpd est un répertoire personnel ? Ce répertoire n'existe même pas sur mon système.


Il vaut mieux montrer que raconter.

Hors ligne

#59 28-09-2019 20:32:26

saitama-san
Membre
Distrib. : stable
(G)UI : gnome
Inscription : 28-07-2019

Re : Les comptes utilisateurs : types, configurations et usages.

si on se base sur le fichier /etc/passwd et le man, je ne vois pas de raisons de les considérer autrement :

/etc/passwd contient différentes informations sur les comptes utilisateurs. Ces informations consistent en sept champs séparés par des
       deux-points (« : ») :

       ·   nom de connexion de l'utilisateur (« login »)

       ·   un mot de passe chiffré optionnel

       ·   l'identifiant numérique de l'utilisateur

       ·   l'identifiant numérique du groupe de l'utilisateur

       ·   le nom complet de l'utilisateur ou un champ de commentaires

       ·   le répertoire personnel de l'utilisateur

       ·   l'interpréteur de commandes de l'utilisateur (optionnel)


que le répertoire personnel et le shell soit inutile c'est une chose mais ils sont bien définit dans le fichier passwd.

Debian-gdm:x:117:122:Gnome Display Manager:/var/lib/gdm3:/bin/false


ici, le repertoir utilisé est bien utilisé.

et si tu considère le shell comme ici https://fr.wikipedia.org/wiki/Shell_Unix ça n'a rien à voir

j'imagine qu'on aurait pu envisager le fichier passwd pour laisser ces champs vide (j'ai pas testé pour voir ce qu'il se passerait).

Hors ligne

#60 30-09-2019 10:35:15

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : Les comptes utilisateurs : types, configurations et usages.

@merlin: ça me semble bien mieux tout ça smile

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#61 01-10-2019 21:01:21

merlin
Membre
Distrib. : debian 10.0 (x86-64)
Noyau : 4.19.0-5-amd64
(G)UI : Cinnamon, Gnome, XFCE
Inscription : 07-04-2019

Re : Les comptes utilisateurs : types, configurations et usages.

@tous et notamment à captnfab et raleur :
Afin de ne pas surcharger cette discussion, j’ai lancé une nouvelle discussion sur le thème suivant: 
‘’Etablir une connexion réseau’’ vs ‘’accéder au réseau ‘’?

Processeur Intel Core i5-3320M-2,6 GHz.

Hors ligne

#62 10-10-2019 19:52:02

merlin
Membre
Distrib. : debian 10.0 (x86-64)
Noyau : 4.19.0-5-amd64
(G)UI : Cinnamon, Gnome, XFCE
Inscription : 07-04-2019

Re : Les comptes utilisateurs : types, configurations et usages.

raleur#58 a écrit :

saitama-san a écrit :

je ne vois pas pourquoi les "utilisateurs système" n'aurait pas de shell ou de répertoire personnel ?


Parce qu'ils n'en ont pas besoin.

saitama-san a écrit :

pour le mot de passe, rien n’empercherai d'en mettre un.


Et si ma tante en avait, on l'appellerait mon oncle. Désolé pour cet accès de trivialité, mais évidemment si on donne a un utilisateur système toutes les caractéristiques d'un utilisateur normal, alors plus rien ne l'en distingue.


Tout cela est inquiètant. Cela signifie qu’un attaquant, une fois passé facilement le pare-feu non-configuré du débutant, peut aussi facilement (pas de mdp !) utiliser l’un des 35 comptes système pour attaquer les autres comptes utilisateurs et ensuite dissimuler ses activités, sous l’apparence d’un processus service.
Il est difficile de trouver sur le web des informations sur ces comptes système.
N’est-il pas indispensable de définir un mdp pour chacun de ces comptes système ?


Processeur Intel Core i5-3320M-2,6 GHz.

Hors ligne

#63 11-10-2019 01:10:28

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Les comptes utilisateurs : types, configurations et usages.

Tout cela est inquiètant.


J'ai aucune formation en sécurité, mais des principes de base me suffisent à être un peu interpelé par l'énormité de ce que tu avances x)

Un mot de passe est en soit une surface de risque ; pas de mot de passe c'est retirer une surface d'attaque en fait (mais c'est même pas la question en fait).  >.<
Essaye de t'identifier en tant que lp tu va vite comprendre.

su lp



Et ça sort d'où l'affirmation que si y a pas de parfeu on peut "facilement" s'identifier dans une machine ? D'où ça te vient ?
Pas de parfeu c'est la possibilité de contacter certains ports sur la machine, où si des applications lancées écoutent à ces ports, il y a possibilité d'ouvrir une connexion, un "dialogue". Pour pouvoir faire quoique ce soit à partir de là, il faut qu'il y ait des bugs/failles dans ces applications-là (et encore doive-t-elles être installées, lancées, et écouter) pour ne serais-ce que commencer à penser à une "attaquer". On est très loin d'avoir la possibilité d'essayer de rentrer un mot de passe à ce niveau.

Bref.
C'est pas de la sécurité informatique à ce niveau, c'est introduction à l'informatique - il faut peut-être que tu commences par le commencement si ça t'intéresse >.>

Dernière modification par otyugh (11-10-2019 01:12:24)


virtue_signaling.pngpalestine.png
~1821942.svg

En ligne

#64 11-10-2019 08:16:51

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : Les comptes utilisateurs : types, configurations et usages.

Quand on dit que les utilisateurs systèmes n'ont pas de mot de passe, ça veut dire qu'il n'y a aucun moyen de se connecter à leur compte par mot de passe.
L'authentification par mot de passe est désactivée quoi.
Et concrètement, le fichier shadow contenant les mots de passe ne contient pas un hash valide, ce qui empêche l'auth par mot de passe de fonctionner.

Ensuite, le pare-feu par défaut est effectivement vierge. Mais ça ne veut pas dire que la machine par défaut n'est pas protégée.
Si ssh est installé, pour se connecter via ssh, il faut quand-même le user/pass, ou connaître une faille de openssh. De même, si d'autres services écoutent, à moins de connaître une faille pour ces services, le système est bien protégé des intrusions…

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#65 20-10-2019 20:08:01

merlin
Membre
Distrib. : debian 10.0 (x86-64)
Noyau : 4.19.0-5-amd64
(G)UI : Cinnamon, Gnome, XFCE
Inscription : 07-04-2019

Re : Les comptes utilisateurs : types, configurations et usages.

otyugh#63 a écrit :

…….pas de mot de passe c'est retirer une surface d'attaque…….


Tu confonds ‘’pas de mdp’’ et ‘’mdp verrouillé=authentification par une autre méthode’’ !?
Un mdp faible ou pire, pas de mdp, est une surface d’attaque. Tandis qu’un mdp fort ne constitue pas une surface d’attaque car il est inattaquable, dans le sens où il faudrait trop de moyens et de temps pour le casser.
Quand je tente de me connecter à un compte système (lp ou un autre), le système me réclame un mdp !? Ce retour est une anomalie puisque les mdp des comptes système sont verrouilés, c’est à dire, d’après le manuel de passwd, qu’il n’est pas possible de s’y connecter via le mdp. Mais le manuel précise qu’il est possible de le faire avec une autre méthode d’authentification (par exemple une clé SSH). J’en déduit donc qu’il existe plusieurs méthodes (autre que le mdp) pour se connecter à un compte système (autre que le compte root).

captnfab#64 a écrit :

……...L'authentification par mot de passe est désactivée quoi…….


Oui, effectivement, merci. Mais alors, quels sont les autres moyens, pour moi ou un pirate, de se connecter à l’un de ces comptes systèmes ?

Concernant une introduction à l’informatique, j’ai justement quelques questions à poser. Si je ne comprend pas, je ne suis pas en sécurité.
Comment fonctionnent ces comptes systèmes ? A quels services sont-ils associés ? Sont-ils tous utiles ? J’ai lu, ici et là sur le web, qu’il faudrait faire le tri et supprimer les services inutiles.
Quels sont les services utiles pour une utilisation de type bureautique et multimédia ? Quels sont les services spécifiques à un serveur ?
Y-aurait-il un manuel ou un site web qui détaillerait le fonctionnement de tous ces comptes systèmes ?


Processeur Intel Core i5-3320M-2,6 GHz.

Hors ligne

#66 20-10-2019 20:39:25

Debian Alain
Membre
Lieu : Bretagne
Distrib. : sid (unstable) / bullseye (stable)
Noyau : Linux sid 6.4.0-3-amd64
(G)UI : Gnome X.org (X11) / GDM3
Inscription : 11-03-2017
Site Web

Re : Les comptes utilisateurs : types, configurations et usages.

bonsoir merlin big_smile

je ne suis que très difficilement tes thèses et tes développements et surtout pas de  trop près vu le peu que j'y comprends de leur intérêt , mais ,

si tu veux creuser la constitution d'un linux typique , intéresse toi à Linux From Scratch ( -- L.F.S. -- ) par exemple .

Dernière modification par Debian Alain (20-10-2019 20:40:29)

Hors ligne

#67 21-10-2019 07:00:14

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : Les comptes utilisateurs : types, configurations et usages.

Un utilisateur système sans mot de passe (au sens « pas de mot de passe valide », pas au sens « avec un mot de passe vide »), n'est pas une surface d'attaque.
La surface d'attaque, c'est le service qui tourne, et en particulier le service qui écoute sur un port (et à ce sujet, tu as en général plutôt intérêt. à ce que deux services tournent sous deux utilisateurs systèmes différents plutôt que sous le même, car cela augmente l'isolation des données et des processus).

Tu peux lister les processus en train d'écouter sur un port via

ss -pltn


Pour chacun d'eux, tu peux consulter la page man si elle existe, pour avoir une idée du rôle du programme. Exemple :

man rpcbind


savoir d'où il provient avec

dpkg -S rpcbind


Et une fois que tu as repéré le paquet, avoir plus d'info sur la fonction générale du paquet :

apt show rpcbind


Si tu ne comprends pas à quoi sert le paquet, ou n'es pas sûr d'en avoir besoin, tu peux faire semblant de l'enlever

apt -s remove rpcbind


Et là, tu regardes les paquets qu'il veut t'enlever. Si ce sont des paquets dont tu n'as pas besoin, alors tu peux y aller sans trop de risque en enlevant tout ça.
À l'inverse, si c'est un paquet vital qui s'en va, ça veut dire que le service en question est important pour celui-ci et donc pour ton utilisation.


captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#68 21-10-2019 07:27:11

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : Les comptes utilisateurs : types, configurations et usages.

Impec matelot !
Transposé dans le wiki concernant la sécurité :
https://debian-facile.org/doc:systeme:s … s-services

character0117.gif

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#69 01-11-2019 15:54:22

merlin
Membre
Distrib. : debian 10.0 (x86-64)
Noyau : 4.19.0-5-amd64
(G)UI : Cinnamon, Gnome, XFCE
Inscription : 07-04-2019

Re : Les comptes utilisateurs : types, configurations et usages.

captnfab#67 a écrit :


Un utilisateur système sans mot de passe (au sens « pas de mot de passe valide », pas au sens « avec un mot de passe vide »), n'est pas une surface d'attaque.


C’est faux ! Dans le cas des comptes système, le verrouillage du mdp implique nécessairement une autre méthode d’identification (par exemple, une clé SSH), comme cela est clairement expliqué par le manuel de passwd (option lock). Il y a donc transfert de la surface d’attaque, du mdp vers la clé SSH.

Extrait du manuel passwd
-l, --lock
           Verrouiller le mot de passe du compte indiqué. Cette option
           désactive un mot de passe en le modifiant par une valeur qui ne
           correspond pas à un mot de passe chiffré possible (cela ajoute un
           « ! » au début du mot de passe).

           Veuillez noter que cela ne désactive pas le compte. L'utilisateur
           peut toujours se connecter en utilisant une autre méthode
           d'authentification (par exemple une clé SSH). Pour désactiver un
           compte, les administrateurs devraient utiliser usermod --expiredate
           1 (cela définit la date d'expiration du compte au 2 janvier 1970).

           Les utilisateurs avec un mot de passe verrouillé ne sont pas
           autorisés à le changer.



Il s’agit donc de comprendre si la surface d’attaque de cette configuration par défaut ‘’identification par clé SSH’’ est plus grande ou non par rapport à la configuration ‘’identification par mdp’’.

SSH est un protocole de contrôle à distance qui permet d’administrer ou d’utiliser une machine via un réseau (locale ou Internet).
Si un utilisateur légitime à besoin de se connecter à une machine distante, il va logiquement se connecter à un compte utilisateur ou bien au compte root.
Pourquoi aurait-il besoin de se connecter à un compte système ?
Pourquoi ces comptes systèmes sont-ils configurés par défaut pour un accès distant par authentification avec une clé SSH ?


Processeur Intel Core i5-3320M-2,6 GHz.

Hors ligne

#70 11-11-2019 22:22:01

merlin
Membre
Distrib. : debian 10.0 (x86-64)
Noyau : 4.19.0-5-amd64
(G)UI : Cinnamon, Gnome, XFCE
Inscription : 07-04-2019

Re : Les comptes utilisateurs : types, configurations et usages.

Le programme SSH-client est décrit par le manuel ssh. Ce programme ssh présente une option particulière :

Extrait du manuel ssh-OpenSSH SSH client (remote login program).
-q      Quiet mode.  Causes most warning and diagnostic messages to be suppressed.


Le programme SSH-serveur fonctionne comme un démon, il est décrit par par le manuel sshd.
Concernant l’option quiet, la page man de sshd est plus explicite :

Extrait du manuel sshd - OpenSSH SSH daemon.
-q' Quiet mode. Nothing is sent to the system log. Normally the beginning, authentication, and termination of each connection is logged.


Pourquoi un utilisateur légitime aurait-il besoin de se connecter à sa machine distante en utilisant une porte dérobée (l’un des comptes système) et en désactivant l’enregistrement des journaux ?


Processeur Intel Core i5-3320M-2,6 GHz.

Hors ligne

#71 12-11-2019 09:14:48

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : Les comptes utilisateurs : types, configurations et usages.

L'utilisateur légitime ne lance que le programme client, tout ce qu'il peut faire c'est rajouter l'option -q au client, qui ne masque que les warnings que le client lui aurait affiché à lui. Ça peut être utile dans un script par exemple.
Le serveur (daemon) est lancé par le système. L'administrateur peut choisir de masquer les enregistrements et warnings s'il estime que c'est nécessaire. Et nul doute qu'il existe des cas dans lesquels c'est légitime.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

Pied de page des forums