Root avec ou sans mot de passe ?

agp91 · 25-09-2024 14:54:22

Cette discussion à commencé dans un autre fil, pour ne pas l'encombrer, elle se poursuit ici (post suivant) :

agp91 a écrit :

Dans certains système, le mot de passe root n'est pas connu (par personne). Dans des systèmes fortement sécurisés le mdp root est fort (très long et complexe) pour résister à la force brut. N'étant pas connu, il n'est pas noté quelque par. Inconnu, il ne peux pas être saisi et échappe ainsi aux keylogers.

vv222 a écrit :

agp91 a écrit :
Dans certains système, le mot de passe root n'est pas connu (par personne). Dans des systèmes fortement sécurisés le mdp root est fort (très long et complexe) pour résister à la force brut. N'étant pas connu, il n'est pas noté quelque par. Inconnu, il ne peux pas être saisi et échappe ainsi aux keylogers.

Ça apporte quelque chose, comparé à simplement un compte root sans mot de passe ?

agp91 a écrit :

Je ne sais pas...
Je suis de la vielle école où l'on apprenait qu'un utilisateur doit toujours avoir un mot de passe.
Avec sudo c'est différent un autre utilisateur peut devenir root sans en connaître le mdp (s'il à les droits sudo adéquate). Alors le compte root n'a pas besoin de mdp.
Mais quand est-il si le besoin se fait ressentir de passé en mode récupération depuis grub ?

Pour ma pare je pense qu'un mot de passe très fort pour root est mieux.
Et de disposer d'un utilisateur spécifique avec mdp fort, pour utiliser sudo (appartenant au groupe sudo) voir avec accès ssh uniquement par clé.

mister_g a écrit :

agp91 a écrit :
Alors le compte root n'a pas besoin de mdp.

en fait si, il a besoin d'en avoir un.
il y a quelques mois j'ai cassé tout le démarrage de ma machine.
pour corriger mes erreurs, le mode recovery demande le mot de passe root. Si tu n'en n'as pas mis, tu ne pourras aller plus loin dans la résolution d'un problème de boot.
CF post N°9 de https://debian-facile.org/viewtopic.php?id=34429

vv222 a écrit :

agp91 a écrit :
Je ne sais pas...
Mais quand est-il si le besoin se fait ressentir de passé en mode récupération depuis grub ?

Dans ton exemple on est coincé, vu que tu précises bien que personne ne connaît ce mot de passe
C’est bien ça qui m’a fait réagir, pas simplement l’utilisation d’un mot de passe pour le compte root.

---

mister_g a écrit :
il y a quelques mois j'ai cassé tout le démarrage de ma machine.
pour corriger mes erreurs, le mode recovery demande le mot de passe root. Si tu n'en n'as pas mis, tu ne pourras aller plus loin dans la résolution d'un problème de boot.

C’est assez facile, en fait même quasiment trivial, d’ajouter (ou modifier) un mot de passe root à ce moment-là. Même sans connaître l’ancien.

agp91 · 25-09-2024 15:09:56

vv222 a écrit :

Dans ton exemple on est coincé, vu que tu précises bien que personne ne connaît ce mot de passe

C'est exact
J'ai oublié de signalé qu'il y a une personne qui connait le mdp de root : Celui qui a installé le système.

vv222 a écrit :

mister_g a écrit :
il y a quelques mois j'ai cassé tout le démarrage de ma machine.
pour corriger mes erreurs, le mode recovery demande le mot de passe root. Si tu n'en n'as pas mis, tu ne pourras aller plus loin dans la résolution d'un problème de boot.

C’est assez facile, en fait même quasiment trivial, d’ajouter (ou modifier) un mot de passe root à ce moment-là. Même sans connaître l’ancien.

En appuyant sur e dans le menu grub, puis en modifiant ro par rw et en ajoutant à la fin init=/bin/sh après quiet (sh ou bash) ?
Cela ne fonctionne que sur les système non crypté il me semble.

[edit]Après test cela fonctionne aussi sur un système crypté. La passe phrase sera demandée avant d'obtenir un shell root.

Dernière modification par agp91 (25-09-2024 15:27:34)

vv222 · 25-09-2024 15:29:36

agp91 a écrit :

En appuyant sur e dans le menu grub, puis en modifiant ro par rw et en ajoutant à la fin init=/bin/sh après quiet (sh ou bash) ?
Cela ne fonctionne que sur les système non crypté il me semble.

[edit]Après test cela fonctionne aussi sur un système crypté. La passe phrase sera demandée avant de d'obtenir un shell root.

C’est ça, en contournant le système d’init pour directement obtenir un shell root. Ce qui permet, entre autres, de définir/modifier le mot de passe root sans connaître l’ancien.

Tous les systèmes n’utilisant pas de chiffrement pour le support de stockage du système permettent ce genre d’approche. En cas de chiffrement par contre il est nécessaire d’avoir accès à la clé de déchiffrement pour pouvoir lancer ce shell root en premier lieu.

agp91 · 25-09-2024 15:55:25

Plop

La passe phrase des systèmes de fichier crypté n'est pas un gage total de sécurité.
Car tous ceux qui peuvent démarrer la machine connaissent cette passe phrase.
La seul protection que je connaisse c'est de mettre un mdp à grup pour qu'il soit demandé si un utilisateur connaissant la passe phrase édite grub.

Donc, pour sécurisé au mieux sa machine, il faut :
1) Mettre un mdp au BIOS (après avoir désactiver les boot sur CDROM et USB)
2) Mettre un mdp à GRUB
3) Crypter les systèmes de fichier (le système racine en particulier)

naguam · 25-09-2024 16:24:09

Attention le "pas de mots de passe root" faut faire attention a la configuration.

Il y a l'absence de mot de passe qui autorise n'importe qui a se login sans mot de passe. (champ de password vide dans /etc/shadow)

Et il y a l'absence de mot de passe qui n'autorise personne et donc "secure". (champ de password * ou ! dans /etc/shadow, attention pas !!)

Je precise que cela ne bloque pas l'authentification par des moyens indépendants comme le ssh par clef si permis.
(Depend généralement de la conf de PAM)

Le reste a déjà été dit sur l’accès physique, le single user mode et les questions de chiffrement.

Dernière modification par naguam (25-09-2024 16:32:16)

agp91 · 25-09-2024 16:45:27

naguam a écrit :

Il y a l'absence de mot de passe qui autorise n'importe qui a se login sans mot de passe. (champ de password vide dans /etc/shadow)

Et il y a l'absence de mot de passe qui n'autorise personne et donc "secure". (champ de password * ou ! dans /etc/shadow, attention pas !!)

passwd -l root

Ajoute un ! dans /etc/shadow

vv222 · 25-09-2024 20:40:08

naguam a écrit :

Il y a l'absence de mot de passe qui autorise n'importe qui a se login sans mot de passe. (champ de password vide dans /etc/shadow)

Je ne connais absolument aucune distribution qui configure ça quand on demande un compte root sans mot de passe, ce serait un choix vraiment étrange.

agp91 · 27-09-2024 16:26:03

La confusion vient des termes utilisés, il y a en fait :

L'utilisateur avec mot de passe, mot de passe non-bloqué
L'utilisateur avec mot de passe bloqué (qu'il est un mot de passe ou pas)
Et l’hérésie : L'utilisateur sans mot de passe, mot de passe non bloqué

L'hérésie (l'utilisateur sans mot de passe, mot de passe non-bloqué), peut-être obtenu qu'en éditant manuellement le fichier /etc/shadow, en vidant complément le second champs.

Le manuel shadow a écrit :

Chaque ligne de ce fichier contient 9 champs, séparés par des deux-points (« : »), dans l'ordre suivant :
nom de connexion de l'utilisateur (« login »)
Ce doit être un nom de compte valable, qui existe sur le système.
mot de passe chiffré
Ce champ peut être vide, auquel cas aucun mot de passe n'est requis pour s'authentifier en tant que nom de connexion spécifié. Cependant, certaines applications qui lisent le fichier /etc/shadow peuvent décider de ne permettre aucun accès si le champ du mot de passe est vide.
Un champ de mot de passe qui commence avec un point d'exclamation indique que le mot de passe est bloqué. Les caractères restants sur la ligne représentent le champ de mot de passe avant que le mot de passe n'ait été bloqué.
Si le champ mot de passe contient une chaîne qui n'est pas un résultat valide de crypt(3), par exemple ! ou *, l'utilisateur ne pourra pas utiliser de mot de passe unix pour se connecter (mais l'utilisateur pourra se connecter au système par d'autres moyens).
...

Lorsque l'on crée un utilisateur avec les commande groupadd et useradd, cet utilisateur est créé sans mot de passe (puisque passwd n'est pas utilisé), avec le mot de passe bloqué.

groupadd utest

useradd -g utest utest

grep utest /etc/shadow

utest:!:19993:0:99999:7:::

Le second champs contient un ! (point d'exclamation), ce qui indique un mot de passe bloqué
Même passwd ne permet pas de définir un mot de passe vide.

passwd utest

Nouveau mot de passe : 

Retapez le nouveau mot de passe : 

Aucun mot de passe n’a été fourni.

Nouveau mot de passe : 

Retapez le nouveau mot de passe : 

Aucun mot de passe n’a été fourni.

Nouveau mot de passe : 

Retapez le nouveau mot de passe : 

Aucun mot de passe n’a été fourni.

Mot de passe : Erreur de manipulation du jeton d’authentification

passwd : mot de passe inchangé

L'option -u de passwd permet de débloquer un mot de passe uniquement si un mot de passe existe

passwd -u utest

passwd : déverrouiller le mot de passe créerait un compte sans mot de passe.

Vous devriez définir un mot de passe avec usermod -p pour déverrouiller le mot de passe de ce compte.

Donné un mot de passe (non vide) avec passwd, débloque le mot de passe

passwd utest

Nouveau mot de passe : 

Retapez le nouveau mot de passe : 

passwd : mot de passe mis à jour avec succès

grep utest /etc/shadow

utest:$y$j9T$7vKv1D32IZGdOEXp4/Ut7/$3O6T/HWbcSwULQlUM.3h7QThbrBzMV3q8nLKsoBtrr8:19993:0:99999:7:::

Le second champ contient le mot de passe crypté et le point d’exclamation à disparut. Le mot de passe est débloqué et n'est pas vide.
L'option -l de la commande passwd permet de bloquer le mot de passe

passwd -l utest

passwd : mot de passe changé.

grep utest /etc/shadow

utest:!$y$j9T$7vKv1D32IZGdOEXp4/Ut7/$3O6T/HWbcSwULQlUM.3h7QThbrBzMV3q8nLKsoBtrr8:19993:0:99999:7:::

Un point d’exclamation à été ajouté devant le mot de passe crypté : Le mot de passe est bloqué.

====

userdel -f utest

Dernière modification par agp91 (27-09-2024 16:37:42)

Tawal · 27-09-2024 20:22:44

En tant qu'utilisateur administrateur, je ne vois pas l'intérêt des mots de passe vides.
Et pourtant quand je regarde mon fichier /etc/shadow, il existe des utilisateurs "système/applications" ayant des mots de passe vides et/ou bloqués.
Il doit y avoir un intérêt que je ne saisis pas.

ubub · 27-09-2024 20:36:25

... attribuer des accès temporaires ? ....
Y'a le même cas de figure prévu dans la commande passwd

-d, --delete
Supprimer le mot de passe (le rendre vide) d'un utilisateur. C'est une façon rapide de supprimer l'authentification par mot de passe pour un compte. Il rend le compte indiqué sans mot de passe.

++++
... Faire des blagues

Dernière modification par ubub (27-09-2024 20:37:56)

agp91 · 27-09-2024 21:24:44

Tout les sutilisateurs sans mdp doivent avoir le mdp bloqué (disposer de ! ou * dans le second champs)
Un compte sans mdp dont le mdp est non bloqué est une hérésie et devrait soit au minimum être désactivé ou mieux supprimer.
L'option -d de passwd est dangereuse et ne devrait être utilisée qu'avec l'option l (passwd -dl)

Dernière modification par agp91 (27-09-2024 21:32:12)

naguam · 01-10-2024 09:40:04

vv222 a écrit :

Je ne connais absolument aucune distribution qui configure ça quand on demande un compte root sans mot de passe, ce serait un choix vraiment étrange.

En effet ce n'est pas ce que j'ai dis.

Le seul moment ou j'ai pu voir cela, c'est sur des liveCD n'utilisant pas un sudo NOPASSWD.

Toutefois je pense que c'est bon a savoir quand on manipule des utilisateurs.

Dernière modification par naguam (01-10-2024 09:40:19)

Tawal · 01-10-2024 18:58:53

Merci de toutes ces infos.
Maintenant je comprends mieux le pourquoi d'un "root" sans mot de passe (live CD/USB).
Je le comprends aussi pour un utilisateur "normal" : une sorte de session "invité".
Mais il y encore des subtilités dans le système d'authentification/accès :
comment expliquer les utilisateurs "systèmes" sans mot de passe ?
Que dire de l'utilisateur "système" _apt ? N'y aurait-il pas une sorte de délégation de pouvoir interne au système ?

vv222 · 01-10-2024 19:04:56

Tawal a écrit :

comment expliquer les utilisateurs "systèmes" sans mot de passe ?

Parce qu’il n’y a aucune bonne raison de se connecter en tant qu’un de ces utilisateurs, donc cette connexion est rendue impossible par l’absence de mot de passe.

Tawal · 01-10-2024 19:10:46

Oui je te suis.
Mais comment fait le système pour "débloquer" cet utilisateur au moment opportun ?
N'est-ce pas là qu'agirait une "délégation" ?

vv222 · 01-10-2024 19:48:55

Il n’y a rien à débloquer du tout.

Ce qui n’est pas permis c’est de s’authentifier comme un de ces utilisateurs, mais ça n’empêche pas le compte root de démarrer des opérations en tant que ceux-ci. En fait ce serait un assez bon résumé des comptes utilisateurs sans mot de passe : ce sont des comptes qui ne doivent pouvoir être utilisés que par root.

Tawal · 02-10-2024 22:21:29

Mais oui !
Il y a une belle différence entre "en tant que" et "être connecté".
Merci, cela éclairci ma compréhension.

agp91 · 03-10-2024 10:25:42

Les utilisateurs sans mdp, avec mdp bloqué sont des utilisateurs systèmes utilisés par root pour lancer les démons ou contrôler des ressources.
Comme l'a expliqué vv222, il n'y a que root qui peut les utiliser, pour exécuter un programme ou devenir eux.

Un utilisateur sans mdp, avec mdp non bloqués sont connectables par n'importe qui.
D'où leurs dangerosités, car ils offrent une surface d'attaque non négligeable.
Et ne doivent donc pas exister.

Dernière modification par agp91 (03-10-2024 10:27:31)

vv222 · 03-10-2024 11:33:29

Tawal a écrit :

Il y a une belle différence entre "en tant que" et "être connecté".

Ouaip, et en effet ce n’est pas une différence très intuitive.

Encore pire : il y a une différence entre "se connecter" et "être connecté", et celle-ci permet de s’embrouiller encore plus

Debian-facile

#1 25-09-2024 14:54:22

Root avec ou sans mot de passe ?

#2 25-09-2024 15:09:56

Re : Root avec ou sans mot de passe ?

#3 25-09-2024 15:29:36

Re : Root avec ou sans mot de passe ?

#4 25-09-2024 15:55:25

Re : Root avec ou sans mot de passe ?

#5 25-09-2024 16:24:09

Re : Root avec ou sans mot de passe ?

#6 25-09-2024 16:45:27

Re : Root avec ou sans mot de passe ?

#7 25-09-2024 20:40:08

Re : Root avec ou sans mot de passe ?

#8 27-09-2024 16:26:03

Re : Root avec ou sans mot de passe ?

#9 27-09-2024 20:22:44

Re : Root avec ou sans mot de passe ?

#10 27-09-2024 20:36:25

Re : Root avec ou sans mot de passe ?

#11 27-09-2024 21:24:44

Re : Root avec ou sans mot de passe ?

#12 01-10-2024 09:40:04

Re : Root avec ou sans mot de passe ?

#13 01-10-2024 18:58:53

Re : Root avec ou sans mot de passe ?

#14 01-10-2024 19:04:56

Re : Root avec ou sans mot de passe ?

#15 01-10-2024 19:10:46

Re : Root avec ou sans mot de passe ?

#16 01-10-2024 19:48:55

Re : Root avec ou sans mot de passe ?

#17 02-10-2024 22:21:29

Re : Root avec ou sans mot de passe ?

#18 03-10-2024 10:25:42

Re : Root avec ou sans mot de passe ?

#19 03-10-2024 11:33:29

Re : Root avec ou sans mot de passe ?

Pied de page des forums