Vous n'êtes pas identifié(e).
melissa6969#32 a écrit :
su
ça n'existe plus depuis Buster.....
c'est
su -
ça serait bien de pas donner de fausses infos...
Sous Buster la page man de su est datée de Juillet 2014 !
Quand on critique, on est supposé 1) apporter la preuve de l'erreur et 2) donner des arguments compréhensibles et sérieux.
1/Ce serait bien que tu indiques le numéro (#) du message qui serait concerné par cette fausse infos.
2/En général, et ça ne date pas d’hier, le tiret sert à introduire une option. Cependant, tu peux utiliser su sans option. Par exemple, sous Buster:
merlin@debian:~$ su
Mot de passe :
root@debian:/home/merlin#
2014.??
ha, on est pas en 2019 en ce moment.??
bah la réponse est ............ dans ta propre réponse, preuve que tu sais pas de quoi tu parles une fois encore.
tu te connectes en root et tu trouves normal que tu sois dans ton /home avec su.??
une connexion en root est censé te placer dans ton répertoire root, donc on utilise su -
et comme on est en 2019, et que le man date de 2014 (mais tu peux y participer pour le remettre au gout du jour hein), et que l'annonce a été faite par debian, je pense que le message est clair, su est "mort", pas besoin de tergiverser 3 000 ans sur un truc annoncé publiquement par debian, ils maitrisent quand même le truc il me semble.
Dernière modification par melissa6969 (20-09-2019 09:52:20)
Quamdiu est spes est, Est vitae.
Fiet in posterum melius
Hors ligne
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
Le compte utilisateur NP (Non Privilégié)=Utilisateur standard (appelation GUI) : uid=1001(merlin-np) gid=1001(merlin-np) groupes=1001(merlin-np).Ce compte est crée par défaut lors de l'installation si le mdp root est activé c'est à dire définit. Ne peut pas administrer le système, car il ne connaît pas le mdp root et n’est pas inscrit au groupe sudo. Par défaut, ce compte n'est inscrit à aucun groupe secondaire
Si. L'utilisateur merlin-np que tu montres n'a pas été créé lors de l'installation mais ultérieurement par adduser sans l'option --add_extra_groups.
Le groupe sudo est le seul groupe dont le rattachement à un compte permet l’acquisition des privilèges root pour ce compte.
C'est faux. Ce n'est vrai que dans la configuration par défaut de sudo.
L’inscription au groupe root permet d’obtenir toutes les permissions d’accès aux fichiers, puisque qu’on peut lire, écrire ou exécuter sur l’ensemble des fichiers utilisateurs
C'est également faux. L'appartenance d'un utilisateur au groupe root ne lui donne des permissions que sur les fichiers appartenant à ce groupe.
si l'admi sudo s'inscrit au groupe adm, il pourra consulter les journaux systèmes
Un sudoer n'en a pas besoin puisqu'il peut déjà consulter les journaux via sudo.
c’est à dire que les permissions ne s’appliquent pas.
Ce n'est pas vrai, on peut empêcher root de modifier un fichier, via « chattr »
Tu confonds les permissions et les attributs.
De même que root ne peut pas écrire dans un système de fichiers ou un périphérique en lecture seule mais ça n'a rien à voir avec les permissions.
Il vaut mieux montrer que raconter.
Hors ligne
captnfab a écrit :c’est à dire que les permissions ne s’appliquent pas.
Ce n'est pas vrai, on peut empêcher root de modifier un fichier, via « chattr »
Tu confonds les permissions et les attributs.
De même que root ne peut pas écrire dans un système de fichiers ou un périphérique en lecture seule mais ça n'a rien à voir avec les permissions.
En effet, merci de la correction
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
merlin a écrit :
Il me semble que tu te contredis. Tu oppose ‘’accéder au réseau ‘’ et ‘’établir une connexion’’ !? Pour moi, ces deux expressions sont synonymes. Non ?
Non : accéder au réseau, c'est communiquer en utilisant une connexion réseau établie (au sens de liaison, pas au sens de connexion TCP qui n'est qu'une communication). Etablir une connexion réseau c'est activer et configure l'interface, ce qui nécessite des privilèges. C'est la même distinction qu'entre "accéder au contenu d'un système de fichiers monté" (modulo les permissions) et "monter un système de fichiers" (qui nécessite des privilèges).
J’ai un doute, le système Debian lui-même utilise « établir une connection » dans le sens de « accéder au réseau ». En effet, quand je branche ma clef usb ethernet ou quand j’active la connexion wifi, le système me signale par une infobulle que ‘’la connexion est établie’’ !:
Je pense qu’il s’agit d’un problème de linguistique, mauvaise traduction ou raccourcis facile (entre spécialistes). Non ?
De mon point de vue, créer deux logins avec même UID, ça reste créer un seul utilisateur avec deux moyens de se connecter, deux HOME, deux SHELL… Mais un seul compte derrière.
Ça reste « confidentiel » parce que c'est bien souvent inutile.
N’est-ce pas proche du concept de « compte partagé » ? Souvent inutile, ça veut dire parfois utile, donc à garder sous le coude.
La distinction utilisateur humains/utilisateurs systèmes ne fait pas de sens pour le système.,
Le système est borné, il n’a qu’un seul point de vue, tandis que pour l’utilisateur humain qui doit contrôler sa machine, ou bien pirater celle d’un autre, la distinction est importante. Je rappelle que cette discussion s’adresse à des utilisateurs humains (et notamment des débutants). Cependant, je remerçie captnfab de m’informer du point de vue du système car ça m’aide à mieux distinguer.
Les comptes utilisateurs: types, configurations et usages (version 5)
Les termes utilisés pour définir les comptes utilisateur humains sous Lignux sont très divers et appoximatifs. C’est la confusion générale (pour les débutants) : superutilisateur, root, administrateur, administrateur système, user , utilisateur, utilisateur classique, utilisateur simple et utilisateur standard.
En essayant de décrire les différents types de compte, j’ai essayé, autant que faire se peut, de tenir compte du point de vue du système (les fichiers de configurations) et de celui de l’utilisateur humain.
A/Trois types de compte sont distinguables dans le système Debian
Ces comptes sont enregistrés dans le fichier /etc/passwd : $ cat -n /etc/passwd
le compte root (root): UID=0 ;
les comptes systèmes: 1 ≤ UID ≤ 999, programmes (démons ?) qui travaillent en arrière-plan pour le système. Par défaut (sur mon système), il y en a 35.
Liste officielle :...........……………. (histoire de repérer d’éventuels intrus) ?;le compte utilisateur (user): 1000 ≤ UID.
B/Les deux types de compte humains
Le compte root: c’est le super-utilisateur ou administrateur système, il possède tous les privilèges. Il est donc non-configurable. Il est essentiellement destiné à l’administration du système (débutants), même si il est possible d’utiliser diverses applications graphiques ou non (spécialistes) ;
Le compte utilisateur: utilisateur non-root. Par défaut, il ne possède aucun privilège ni permission. Ce compte est personnalisable (configurable) par rattachement ou non aux groupes secondaires (obtention de permissions) ou à certains programmes (élévation de privilèges).
C/Les configurations par défaut du compte utilisateur
Par défaut, lors de l’installation, le système nous propose deux configurations de base que l’on peut ensuite personnalisées comme indiqué ci-dessus :
la configuration ‘’utilisateur standard’’: ce compte est créé par défaut par l'installateur Debian si le mdp root est définit. Par défaut, il ne possède aucun privilège ni permission . Il ne peut donc pas administrer le système. Sauf si l’utilisateur détient le mdp root (accès root via su -);
la configuration ‘’administrateur’’: ce compte est créé par défaut par l'installateur Debian si le mdp root n'est pas définit. Cet utilisateur inscrit au groupe sudo peut administrer le système via sudo.
Ces deux configurations sont visibles dans l’application ‘’Utilisateurs et Groupes’’ (Menu/Administration/). Il faut bien noter que ces deux configurations du compte de type ‘’utilisateur’’, sont présentées, à tort, comme des types de compte, ce qui induit en erreur le débutant sur la réalité sous-jacente (le point de vue du système) :
Même si le système ne distingue pas de catégories pour les types de compte et les types de configuration, ce qui ne l’empêche pas de reconnaître chaque compte ou chaque configuration, cette distinction permet à l’utilisateur humain (notamment débutant) de mieux comprendre les différentes possibilités.
Qu’en pensez-vous ?
Processeur Intel Core i5-3320M-2,6 GHz.
Hors ligne
J’ai un doute, le système Debian lui-même utilise « établir une connection » dans le sens de « accéder au réseau ». En effet, quand je branche ma clef usb ethernet ou quand j’active la connexion wifi, le système me signale par une infobulle que ‘’la connexion est établie’’ !:
Où vois-tu que "établir une connexion" est pris dans le sens de "accéder au réseau" ?
Pour moi "établir une connexion" a exactement le sens que je lui ai donné, et "accéder au réseau" c'est utiliser le réseau, par exemple naviguer sur un site web.
Captnfab#50 a écrit :
La distinction utilisateur humains/utilisateurs systèmes ne fait pas de sens pour le système.,
Je voudrais nuancer. Les mêmes mécanismes de gestion s'appliquent aux deux types d'utilisateurs, mais ils se différencient par leurs caractéristiques techniques : les utilisateurs système n'ont pas de mot de passe, de shell, de répertoire personnel... et on ne peut pas ouvrir une session avec.
Il vaut mieux montrer que raconter.
Hors ligne
merlin a écrit :Captnfab#50 a écrit :
La distinction utilisateur humains/utilisateurs systèmes ne fait pas de sens pour le système.,
Je voudrais nuancer. Les mêmes mécanismes de gestion s'appliquent aux deux types d'utilisateurs, mais ils se différencient par leurs caractéristiques techniques : les utilisateurs système n'ont pas de mot de passe, de shell, de répertoire personnel... et on ne peut pas ouvrir une session avec.
je ne vois pas pourquoi les "utilisateurs système" n'aurait pas de shell ou de répertoire personnel ?
pour le mot de passe, rien n’empercherai d'en mettre un.
est-ce que tu peux prendre un exemple concret parce que j'ai du mal à te suivre ?
je suis seulement d'accord sur le fait qu'on ne peut généralement pas ouvrir de session avec.
concernant les distinctions faites par merlin, j'avoue que je m'y perds et je ne vois pas la finalité d'essayer de faire arbitrairement des catégories et sous catégories.
je crois qu'il y aurait moins de confusion à expliquer le fichier /etc/passwd que d'essayer de réinventer les choses.
Hors ligne
je ne vois pas pourquoi les "utilisateurs système" n'aurait pas de shell ou de répertoire personnel ?
Parce qu'ils n'en ont pas besoin.
pour le mot de passe, rien n’empercherai d'en mettre un.
Et si ma tante en avait, on l'appellerait mon oncle. Désolé pour cet accès de trivialité, mais évidemment si on donne a un utilisateur système toutes les caractéristiques d'un utilisateur normal, alors plus rien ne l'en distingue.
est-ce que tu peux prendre un exemple concret parce que j'ai du mal à te suivre ?
Pas besoin d'aller chercher bien loin, il suffit de regarder l'utilisateur "lp" que tu as cité. Tu ne vas quand même pas soutenir sérieusement que nologin est un shell et que /var/spool/lpd est un répertoire personnel ? Ce répertoire n'existe même pas sur mon système.
Il vaut mieux montrer que raconter.
Hors ligne
/etc/passwd contient différentes informations sur les comptes utilisateurs. Ces informations consistent en sept champs séparés par des
deux-points (« : ») :
· nom de connexion de l'utilisateur (« login »)
· un mot de passe chiffré optionnel
· l'identifiant numérique de l'utilisateur
· l'identifiant numérique du groupe de l'utilisateur
· le nom complet de l'utilisateur ou un champ de commentaires
· le répertoire personnel de l'utilisateur
· l'interpréteur de commandes de l'utilisateur (optionnel)
que le répertoire personnel et le shell soit inutile c'est une chose mais ils sont bien définit dans le fichier passwd.
ici, le repertoir utilisé est bien utilisé.
et si tu considère le shell comme ici https://fr.wikipedia.org/wiki/Shell_Unix ça n'a rien à voir
j'imagine qu'on aurait pu envisager le fichier passwd pour laisser ces champs vide (j'ai pas testé pour voir ce qu'il se passerait).
Hors ligne
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
Processeur Intel Core i5-3320M-2,6 GHz.
Hors ligne
saitama-san a écrit :je ne vois pas pourquoi les "utilisateurs système" n'aurait pas de shell ou de répertoire personnel ?
Parce qu'ils n'en ont pas besoin.
saitama-san a écrit :pour le mot de passe, rien n’empercherai d'en mettre un.
Et si ma tante en avait, on l'appellerait mon oncle. Désolé pour cet accès de trivialité, mais évidemment si on donne a un utilisateur système toutes les caractéristiques d'un utilisateur normal, alors plus rien ne l'en distingue.
Tout cela est inquiètant. Cela signifie qu’un attaquant, une fois passé facilement le pare-feu non-configuré du débutant, peut aussi facilement (pas de mdp !) utiliser l’un des 35 comptes système pour attaquer les autres comptes utilisateurs et ensuite dissimuler ses activités, sous l’apparence d’un processus service.
Il est difficile de trouver sur le web des informations sur ces comptes système.
N’est-il pas indispensable de définir un mdp pour chacun de ces comptes système ?
Processeur Intel Core i5-3320M-2,6 GHz.
Hors ligne
Tout cela est inquiètant.
J'ai aucune formation en sécurité, mais des principes de base me suffisent à être un peu interpelé par l'énormité de ce que tu avances x)
Un mot de passe est en soit une surface de risque ; pas de mot de passe c'est retirer une surface d'attaque en fait (mais c'est même pas la question en fait). >.<
Essaye de t'identifier en tant que lp tu va vite comprendre.
Et ça sort d'où l'affirmation que si y a pas de parfeu on peut "facilement" s'identifier dans une machine ? D'où ça te vient ?
Pas de parfeu c'est la possibilité de contacter certains ports sur la machine, où si des applications lancées écoutent à ces ports, il y a possibilité d'ouvrir une connexion, un "dialogue". Pour pouvoir faire quoique ce soit à partir de là, il faut qu'il y ait des bugs/failles dans ces applications-là (et encore doive-t-elles être installées, lancées, et écouter) pour ne serais-ce que commencer à penser à une "attaquer". On est très loin d'avoir la possibilité d'essayer de rentrer un mot de passe à ce niveau.
Bref.
C'est pas de la sécurité informatique à ce niveau, c'est introduction à l'informatique - il faut peut-être que tu commences par le commencement si ça t'intéresse >.>
Dernière modification par otyugh (11-10-2019 01:12:24)
En ligne
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
…….pas de mot de passe c'est retirer une surface d'attaque…….
Tu confonds ‘’pas de mdp’’ et ‘’mdp verrouillé=authentification par une autre méthode’’ !?
Un mdp faible ou pire, pas de mdp, est une surface d’attaque. Tandis qu’un mdp fort ne constitue pas une surface d’attaque car il est inattaquable, dans le sens où il faudrait trop de moyens et de temps pour le casser.
Quand je tente de me connecter à un compte système (lp ou un autre), le système me réclame un mdp !? Ce retour est une anomalie puisque les mdp des comptes système sont verrouilés, c’est à dire, d’après le manuel de passwd, qu’il n’est pas possible de s’y connecter via le mdp. Mais le manuel précise qu’il est possible de le faire avec une autre méthode d’authentification (par exemple une clé SSH). J’en déduit donc qu’il existe plusieurs méthodes (autre que le mdp) pour se connecter à un compte système (autre que le compte root).
……...L'authentification par mot de passe est désactivée quoi…….
Oui, effectivement, merci. Mais alors, quels sont les autres moyens, pour moi ou un pirate, de se connecter à l’un de ces comptes systèmes ?
Concernant une introduction à l’informatique, j’ai justement quelques questions à poser. Si je ne comprend pas, je ne suis pas en sécurité.
Comment fonctionnent ces comptes systèmes ? A quels services sont-ils associés ? Sont-ils tous utiles ? J’ai lu, ici et là sur le web, qu’il faudrait faire le tri et supprimer les services inutiles.
Quels sont les services utiles pour une utilisation de type bureautique et multimédia ? Quels sont les services spécifiques à un serveur ?
Y-aurait-il un manuel ou un site web qui détaillerait le fonctionnement de tous ces comptes systèmes ?
Processeur Intel Core i5-3320M-2,6 GHz.
Hors ligne
Dernière modification par Debian Alain (20-10-2019 20:40:29)
Hors ligne
Pour chacun d'eux, tu peux consulter la page man si elle existe, pour avoir une idée du rôle du programme. Exemple :
savoir d'où il provient avec
Et une fois que tu as repéré le paquet, avoir plus d'info sur la fonction générale du paquet :
Si tu ne comprends pas à quoi sert le paquet, ou n'es pas sûr d'en avoir besoin, tu peux faire semblant de l'enlever
Et là, tu regardes les paquets qu'il veut t'enlever. Si ce sont des paquets dont tu n'as pas besoin, alors tu peux y aller sans trop de risque en enlevant tout ça.
À l'inverse, si c'est un paquet vital qui s'en va, ça veut dire que le service en question est important pour celui-ci et donc pour ton utilisation.
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
Un utilisateur système sans mot de passe (au sens « pas de mot de passe valide », pas au sens « avec un mot de passe vide »), n'est pas une surface d'attaque.
C’est faux ! Dans le cas des comptes système, le verrouillage du mdp implique nécessairement une autre méthode d’identification (par exemple, une clé SSH), comme cela est clairement expliqué par le manuel de passwd (option lock). Il y a donc transfert de la surface d’attaque, du mdp vers la clé SSH.
Extrait du manuel passwd
-l, --lock
Verrouiller le mot de passe du compte indiqué. Cette option
désactive un mot de passe en le modifiant par une valeur qui ne
correspond pas à un mot de passe chiffré possible (cela ajoute un
« ! » au début du mot de passe).
Veuillez noter que cela ne désactive pas le compte. L'utilisateur
peut toujours se connecter en utilisant une autre méthode
d'authentification (par exemple une clé SSH). Pour désactiver un
compte, les administrateurs devraient utiliser usermod --expiredate
1 (cela définit la date d'expiration du compte au 2 janvier 1970).
Les utilisateurs avec un mot de passe verrouillé ne sont pas
autorisés à le changer.
Il s’agit donc de comprendre si la surface d’attaque de cette configuration par défaut ‘’identification par clé SSH’’ est plus grande ou non par rapport à la configuration ‘’identification par mdp’’.
SSH est un protocole de contrôle à distance qui permet d’administrer ou d’utiliser une machine via un réseau (locale ou Internet).
Si un utilisateur légitime à besoin de se connecter à une machine distante, il va logiquement se connecter à un compte utilisateur ou bien au compte root.
Pourquoi aurait-il besoin de se connecter à un compte système ?
Pourquoi ces comptes systèmes sont-ils configurés par défaut pour un accès distant par authentification avec une clé SSH ?
Processeur Intel Core i5-3320M-2,6 GHz.
Hors ligne
Extrait du manuel ssh-OpenSSH SSH client (remote login program).
-q Quiet mode. Causes most warning and diagnostic messages to be suppressed.
Le programme SSH-serveur fonctionne comme un démon, il est décrit par par le manuel sshd.
Concernant l’option quiet, la page man de sshd est plus explicite :
Extrait du manuel sshd - OpenSSH SSH daemon.
-q' Quiet mode. Nothing is sent to the system log. Normally the beginning, authentication, and termination of each connection is logged.
Pourquoi un utilisateur légitime aurait-il besoin de se connecter à sa machine distante en utilisant une porte dérobée (l’un des comptes système) et en désactivant l’enregistrement des journaux ?
Processeur Intel Core i5-3320M-2,6 GHz.
Hors ligne
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne