logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 25-09-2024 14:54:22

agp91
Membre
Distrib. : GNU Debian stable
(G)UI : xfce
Inscription : 12-02-2023

Root avec ou sans mot de passe ?

Cette discussion à commencé dans un autre fil, pour ne pas l'encombrer, elle se poursuit ici (post suivant) :

agp91 a écrit :

Dans certains système, le mot de passe root n'est pas connu (par personne). Dans des systèmes fortement sécurisés le mdp root est fort (très long et complexe) pour résister à la force brut. N'étant pas connu, il n'est pas noté quelque par. Inconnu, il ne peux pas être saisi et échappe ainsi aux keylogers.


vv222 a écrit :

agp91 a écrit :

Dans certains système, le mot de passe root n'est pas connu (par personne). Dans des systèmes fortement sécurisés le mdp root est fort (très long et complexe) pour résister à la force brut. N'étant pas connu, il n'est pas noté quelque par. Inconnu, il ne peux pas être saisi et échappe ainsi aux keylogers.


Ça apporte quelque chose, comparé à simplement un compte root sans mot de passe ?


agp91 a écrit :

Je ne sais pas...
Je suis de la vielle école où l'on apprenait qu'un utilisateur doit toujours avoir un mot de passe.
Avec sudo c'est différent un autre utilisateur peut devenir root sans en connaître le mdp (s'il à les droits sudo adéquate). Alors le compte root n'a pas besoin de mdp.
Mais quand est-il si le besoin se fait ressentir de passé en mode récupération depuis grub ?

Pour ma pare je pense qu'un mot de passe très fort pour root est mieux.
Et de disposer d'un utilisateur spécifique avec mdp fort, pour utiliser sudo (appartenant au groupe sudo) voir avec accès ssh uniquement par clé.


mister_g a écrit :

agp91 a écrit :

Alors le compte root n'a pas besoin de mdp.



en fait si, il a besoin d'en avoir un.
il y a quelques mois  j'ai cassé tout le démarrage de ma machine.
pour corriger mes erreurs, le mode recovery demande le mot de passe root. Si tu n'en n'as pas mis, tu ne pourras aller plus loin dans la résolution d'un problème de boot.
CF post N°9 de https://debian-facile.org/viewtopic.php?id=34429


vv222 a écrit :

agp91 a écrit :

Je ne sais pas...
Mais quand est-il si le besoin se fait ressentir de passé en mode récupération depuis grub ?


Dans ton exemple on est coincé, vu que tu précises bien que personne ne connaît ce mot de passe wink
C’est bien ça qui m’a fait réagir, pas simplement l’utilisation d’un mot de passe pour le compte root.

---

mister_g a écrit :

il y a quelques mois  j'ai cassé tout le démarrage de ma machine.
pour corriger mes erreurs, le mode recovery demande le mot de passe root. Si tu n'en n'as pas mis, tu ne pourras aller plus loin dans la résolution d'un problème de boot.


C’est assez facile, en fait même quasiment trivial, d’ajouter (ou modifier) un mot de passe root à ce moment-là. Même sans connaître l’ancien.


La liberté est gratuite et accessible à tous. Sinon ça n'en est pas.

En ligne

#2 25-09-2024 15:09:56

agp91
Membre
Distrib. : GNU Debian stable
(G)UI : xfce
Inscription : 12-02-2023

Re : Root avec ou sans mot de passe ?

vv222 a écrit :

Dans ton exemple on est coincé, vu que tu précises bien que personne ne connaît ce mot de passe wink

C'est exact lol
ops.gifJ'ai oublié de signalé qu'il y a une personne qui connait le mdp de root : Celui qui a installé le système.

vv222 a écrit :

mister_g a écrit :

il y a quelques mois  j'ai cassé tout le démarrage de ma machine.
pour corriger mes erreurs, le mode recovery demande le mot de passe root. Si tu n'en n'as pas mis, tu ne pourras aller plus loin dans la résolution d'un problème de boot.


C’est assez facile, en fait même quasiment trivial, d’ajouter (ou modifier) un mot de passe root à ce moment-là. Même sans connaître l’ancien.


En appuyant sur e dans le menu grub, puis en modifiant ro par rw et en ajoutant à la fin init=/bin/sh après quiet (sh ou bash) ?
Cela ne fonctionne que sur les système non crypté il me semble.

[edit]Après test cela fonctionne aussi sur un système crypté. La passe phrase sera demandée avant d'obtenir un shell root.

Dernière modification par agp91 (25-09-2024 15:27:34)


La liberté est gratuite et accessible à tous. Sinon ça n'en est pas.

En ligne

#3 25-09-2024 15:29:36

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Root avec ou sans mot de passe ?

agp91 a écrit :

En appuyant sur e dans le menu grub, puis en modifiant ro par rw et en ajoutant à la fin init=/bin/sh après quiet (sh ou bash) ?
Cela ne fonctionne que sur les système non crypté il me semble.

[edit]Après test cela fonctionne aussi sur un système crypté. La passe phrase sera demandée avant de d'obtenir un shell root.


C’est ça, en contournant le système d’init pour directement obtenir un shell root. Ce qui permet, entre autres, de définir/modifier le mot de passe root sans connaître l’ancien.

Tous les systèmes n’utilisant pas de chiffrement pour le support de stockage du système permettent ce genre d’approche. En cas de chiffrement par contre il est nécessaire d’avoir accès à la clé de déchiffrement pour pouvoir lancer ce shell root en premier lieu.


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#4 25-09-2024 15:55:25

agp91
Membre
Distrib. : GNU Debian stable
(G)UI : xfce
Inscription : 12-02-2023

Re : Root avec ou sans mot de passe ?

Plop

La passe phrase des systèmes de fichier crypté n'est pas un gage total de sécurité.
Car tous ceux qui peuvent démarrer la machine connaissent cette passe phrase.
La seul protection que je connaisse c'est de mettre un mdp à grup pour qu'il soit demandé si un utilisateur connaissant la passe phrase édite grub.

Donc, pour sécurisé au mieux sa machine, il faut :
1) Mettre un mdp au BIOS (après avoir désactiver les boot sur CDROM et USB)
2) Mettre un mdp à GRUB
3) Crypter les systèmes de fichier (le système racine en particulier)

La liberté est gratuite et accessible à tous. Sinon ça n'en est pas.

En ligne

#5 25-09-2024 16:24:09

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : Root avec ou sans mot de passe ?

Attention le "pas de mots de passe root" faut faire attention a la configuration.

Il y a l'absence de mot de passe qui autorise n'importe qui a se login sans mot de passe. (champ de password vide dans /etc/shadow)

Et il y a l'absence de mot de passe qui n'autorise personne et donc "secure". (champ de password * ou ! dans /etc/shadow, attention pas !!)

Je precise que cela ne bloque pas l'authentification par des moyens indépendants comme le ssh par clef si permis.
(Depend généralement de la conf de PAM)

Le reste a déjà été dit sur l’accès physique, le single user mode et les questions de chiffrement.

Dernière modification par naguam (25-09-2024 16:32:16)

Hors ligne

#6 25-09-2024 16:45:27

agp91
Membre
Distrib. : GNU Debian stable
(G)UI : xfce
Inscription : 12-02-2023

Re : Root avec ou sans mot de passe ?

naguam a écrit :

Il y a l'absence de mot de passe qui autorise n'importe qui a se login sans mot de passe. (champ de password vide dans /etc/shadow)

Et il y a l'absence de mot de passe qui n'autorise personne et donc "secure". (champ de password * ou ! dans /etc/shadow, attention pas !!)


yes.gif

passwd -l root

Ajoute un ! dans /etc/shadow


La liberté est gratuite et accessible à tous. Sinon ça n'en est pas.

En ligne

#7 25-09-2024 20:40:08

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Root avec ou sans mot de passe ?

naguam a écrit :

Il y a l'absence de mot de passe qui autorise n'importe qui a se login sans mot de passe. (champ de password vide dans /etc/shadow)


Je ne connais absolument aucune distribution qui configure ça quand on demande un compte root sans mot de passe, ce serait un choix vraiment étrange.


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#8 27-09-2024 16:26:03

agp91
Membre
Distrib. : GNU Debian stable
(G)UI : xfce
Inscription : 12-02-2023

Re : Root avec ou sans mot de passe ?

La confusion vient des termes utilisés, il y a en fait :

  • L'utilisateur avec mot de passe, mot de passe non-bloqué

  • L'utilisateur avec mot de passe bloqué (qu'il est un mot de passe ou pas)

  • Et l’hérésie : L'utilisateur sans mot de passe, mot de passe non bloqué

L'hérésie (l'utilisateur sans mot de passe, mot de passe non-bloqué), peut-être obtenu qu'en éditant manuellement le fichier /etc/shadow, en vidant complément le second champs.

Le manuel shadow a écrit :

Chaque ligne de ce fichier contient 9 champs, séparés par des deux-points (« : »), dans l'ordre suivant :
nom de connexion de l'utilisateur (« login »)
Ce doit être un nom de compte valable, qui existe sur le système.
mot de passe chiffré
Ce champ peut être vide, auquel cas aucun mot de passe n'est requis pour s'authentifier en tant que nom de connexion spécifié. Cependant, certaines applications qui lisent le fichier /etc/shadow peuvent décider de ne permettre aucun accès si le champ du mot de passe est vide.
Un champ de mot de passe qui commence avec un point d'exclamation indique que le mot de passe est bloqué. Les caractères restants sur la ligne représentent le champ de mot de passe avant que le mot de passe n'ait été bloqué.
Si le champ mot de passe contient une chaîne qui n'est pas un résultat valide de crypt(3), par exemple ! ou *, l'utilisateur ne pourra pas utiliser de mot de passe unix pour se connecter (mais l'utilisateur pourra se connecter au système par d'autres moyens).
...



Lorsque l'on crée un utilisateur avec les commande groupadd et useradd, cet utilisateur est créé sans mot de passe (puisque passwd n'est pas utilisé), avec le mot de passe bloqué.

groupadd utest
useradd -g utest utest

grep utest /etc/shadow

utest:!:19993:0:99999:7:::

Le second champs contient un ! (point d'exclamation), ce qui indique un mot de passe bloqué
Même passwd ne permet pas de définir un mot de passe vide.

passwd utest

Nouveau mot de passe :
Retapez le nouveau mot de passe :
Aucun mot de passe n’a été fourni.
Nouveau mot de passe :
Retapez le nouveau mot de passe :
Aucun mot de passe n’a été fourni.
Nouveau mot de passe :
Retapez le nouveau mot de passe :
Aucun mot de passe n’a été fourni.
Mot de passe : Erreur de manipulation du jeton d’authentification
passwd : mot de passe inchangé
 

L'option -u de passwd permet de débloquer un mot de passe uniquement si un mot de passe existe

passwd -u utest

passwd : déverrouiller le mot de passe créerait un compte sans mot de passe.
Vous devriez définir un mot de passe avec usermod -p pour déverrouiller le mot de passe de ce compte.

Donné un mot de passe (non vide) avec passwd, débloque le mot de passe

passwd utest

Nouveau mot de passe :
Retapez le nouveau mot de passe :
passwd : mot de passe mis à jour avec succès

grep utest /etc/shadow

utest:$y$j9T$7vKv1D32IZGdOEXp4/Ut7/$3O6T/HWbcSwULQlUM.3h7QThbrBzMV3q8nLKsoBtrr8:19993:0:99999:7:::

Le second champ contient le mot de passe crypté et le point d’exclamation à disparut. Le mot de passe est débloqué et n'est pas vide.
L'option -l de la commande passwd permet de bloquer le mot de passe

passwd -l utest

passwd : mot de passe changé.

grep utest /etc/shadow

utest:!$y$j9T$7vKv1D32IZGdOEXp4/Ut7/$3O6T/HWbcSwULQlUM.3h7QThbrBzMV3q8nLKsoBtrr8:19993:0:99999:7:::

Un point d’exclamation à été ajouté devant le mot de passe crypté : Le mot de passe est bloqué.

====

userdel -f utest

Dernière modification par agp91 (27-09-2024 16:37:42)


La liberté est gratuite et accessible à tous. Sinon ça n'en est pas.

En ligne

#9 27-09-2024 20:22:44

Tawal
Membre
Distrib. : Debian Stable à jour
Noyau : amd64
(G)UI : Xfce
Inscription : 25-02-2021

Re : Root avec ou sans mot de passe ?

En tant qu'utilisateur administrateur, je ne vois pas l'intérêt des mots de passe vides.
Et pourtant quand je regarde mon fichier /etc/shadow, il existe des utilisateurs "système/applications" ayant des mots de passe vides et/ou bloqués.
Il doit y avoir un intérêt que je ne saisis pas.

Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !

Hors ligne

#10 27-09-2024 20:36:25

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : Root avec ou sans mot de passe ?

... attribuer des accès temporaires ? ....
Y'a le même cas de figure prévu dans la commande passwd

-d, --delete
Supprimer le mot de passe (le rendre vide) d'un utilisateur. C'est une façon rapide de supprimer l'authentification par mot de passe pour un compte. Il rend le compte indiqué sans mot de passe.



++++
... Faire des blagues big_smile

Dernière modification par ubub (27-09-2024 20:37:56)

En ligne

#11 27-09-2024 21:24:44

agp91
Membre
Distrib. : GNU Debian stable
(G)UI : xfce
Inscription : 12-02-2023

Re : Root avec ou sans mot de passe ?

Tout les sutilisateurs sans mdp doivent avoir le mdp bloqué (disposer de ! ou * dans le second champs)
Un compte sans mdp dont le mdp est non bloqué est une hérésie et devrait soit au minimum être désactivé ou mieux supprimer.
L'option -d de passwd est dangereuse et ne devrait être utilisée qu'avec l'option l (passwd -dl)

Dernière modification par agp91 (27-09-2024 21:32:12)


La liberté est gratuite et accessible à tous. Sinon ça n'en est pas.

En ligne

#12 01-10-2024 09:40:04

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : Root avec ou sans mot de passe ?

vv222 a écrit :

Je ne connais absolument aucune distribution qui configure ça quand on demande un compte root sans mot de passe, ce serait un choix vraiment étrange.


En effet ce n'est pas ce que j'ai dis.

Le seul moment ou j'ai pu voir cela, c'est sur des liveCD n'utilisant pas un sudo NOPASSWD.

Toutefois je pense que c'est bon a savoir quand on manipule des utilisateurs.

Dernière modification par naguam (01-10-2024 09:40:19)

Hors ligne

#13 01-10-2024 18:58:53

Tawal
Membre
Distrib. : Debian Stable à jour
Noyau : amd64
(G)UI : Xfce
Inscription : 25-02-2021

Re : Root avec ou sans mot de passe ?

Merci de toutes ces infos.
Maintenant je comprends mieux le pourquoi d'un "root" sans mot de passe (live CD/USB).
Je le comprends aussi pour un utilisateur "normal" : une sorte de session "invité".
Mais il y encore des subtilités dans le système d'authentification/accès :
comment expliquer les utilisateurs "systèmes" sans mot de passe ?
Que dire de l'utilisateur "système" _apt ? N'y aurait-il pas une sorte de délégation de pouvoir interne au système ?

Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !

Hors ligne

#14 01-10-2024 19:04:56

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Root avec ou sans mot de passe ?

Tawal a écrit :

comment expliquer les utilisateurs "systèmes" sans mot de passe ?


Parce qu’il n’y a aucune bonne raison de se connecter en tant qu’un de ces utilisateurs, donc cette connexion est rendue impossible par l’absence de mot de passe.


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#15 01-10-2024 19:10:46

Tawal
Membre
Distrib. : Debian Stable à jour
Noyau : amd64
(G)UI : Xfce
Inscription : 25-02-2021

Re : Root avec ou sans mot de passe ?

Oui je te suis.
Mais comment fait le système pour "débloquer" cet utilisateur au moment opportun ?
N'est-ce pas là qu'agirait une "délégation" ?

Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !

Hors ligne

#16 01-10-2024 19:48:55

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Root avec ou sans mot de passe ?

Il n’y a rien à débloquer du tout.

Ce qui n’est pas permis c’est de s’authentifier comme un de ces utilisateurs, mais ça n’empêche pas le compte root de démarrer des opérations en tant que ceux-ci. En fait ce serait un assez bon résumé des comptes utilisateurs sans mot de passe : ce sont des comptes qui ne doivent pouvoir être utilisés que par root.

Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#17 02-10-2024 22:21:29

Tawal
Membre
Distrib. : Debian Stable à jour
Noyau : amd64
(G)UI : Xfce
Inscription : 25-02-2021

Re : Root avec ou sans mot de passe ?

Mais oui !
Il y a une belle différence entre "en tant que" et "être connecté".
Merci, cela éclairci ma compréhension.

Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !

Hors ligne

#18 03-10-2024 10:25:42

agp91
Membre
Distrib. : GNU Debian stable
(G)UI : xfce
Inscription : 12-02-2023

Re : Root avec ou sans mot de passe ?

Les utilisateurs sans mdp, avec mdp bloqué sont des utilisateurs systèmes utilisés par root pour lancer les démons ou contrôler des ressources.
Comme l'a expliqué vv222, il n'y a que root qui peut les utiliser, pour exécuter un programme ou devenir eux.

Un utilisateur sans mdp, avec mdp non bloqués sont connectables par n'importe qui.
D'où leurs dangerosités, car ils offrent une surface d'attaque non négligeable.
Et ne doivent donc pas exister.

Dernière modification par agp91 (03-10-2024 10:27:31)


La liberté est gratuite et accessible à tous. Sinon ça n'en est pas.

En ligne

#19 03-10-2024 11:33:29

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Root avec ou sans mot de passe ?

Tawal a écrit :

Il y a une belle différence entre "en tant que" et "être connecté".


Ouaip, et en effet ce n’est pas une différence très intuitive.

Encore pire : il y a une différence entre "se connecter" et "être connecté", et celle-ci permet de s’embrouiller encore plus wink


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

Pied de page des forums