Conversation
precedente ou
suivante
Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par:
Pierre Renié
Bonjour,
Je voudrais donner mon avis sur la sécurité de Linux pour un ordinateur de bureau (à la différence des serveurs).
Il est écrit sur la page [ecurite-ficheroot.html#Quand_et_comment_utiliser_le_Root" rel="nofollow">lea-linux.org] "Il est très dangereux et préjudiciable d'utiliser le root comme utilisateur principal ! On vous aura prévenu !"
Je trouve que ce danger est bien moins important qu'on ne le pense.
Tout d'abord, bien entendu, la parade principale est de mettre en place un pare feu et de mettre régulièrement à jour ses logiciels.
Ensuite, pour le cas où une faille de sécurité est exploitée, le fait de ne pas être root permet de limiter les dégâts. Mais quels types de dégâts peut-il se produire? Je vois ceux-ci:
* Vol de données confidentielles, de mots de passe, de numéros de cartes bancaires...
* Destruction de données importantes
* Utilisation de l'ordinateur pour envoyer des spams
etc...
Il n'est pas nécessaire d'être root pour faire ce genre de choses. Le serveur X permet à n'importe quel processus de l'utilisateur connecté de capter les frappes au clavier. Les données importantes pour moi sont mes fichiers personnels et non la distribution que j'ai installé. Un logiciel malveillant peut aussi s'installer dans les fichiers de l'utilisateur (.bashrc, .xsession... la liste des fichiers d'un utilisateur exécutés à chaque démarrage est très longue). Un logiciel malveillant peut même attendre que l'utilisateur ouvre un terminal root pour en prendre le contrôle et s'installer dans le système. La limite ne dépend que de l'intelligence du logiciel malveillant.
Je pense donc que pour que la gestion des privilèges apporte vraiment de la sécurité aux ordinateurs personnels, il faut empêcher à un programme de s'installer dans la configuration d'un utilisateur. Il faut donc que la configuration ne permette pas l'exécution de code. Les fichiers qui en contiennent doivent être purgés régulièrement. Mais il y en a tellement... Ça revient donc à réinitialiser toute la configuration d'un utilisateur.
Je voudrais donner mon avis sur la sécurité de Linux pour un ordinateur de bureau (à la différence des serveurs).
Il est écrit sur la page [ecurite-ficheroot.html#Quand_et_comment_utiliser_le_Root" rel="nofollow">lea-linux.org] "Il est très dangereux et préjudiciable d'utiliser le root comme utilisateur principal ! On vous aura prévenu !"
Je trouve que ce danger est bien moins important qu'on ne le pense.
Tout d'abord, bien entendu, la parade principale est de mettre en place un pare feu et de mettre régulièrement à jour ses logiciels.
Ensuite, pour le cas où une faille de sécurité est exploitée, le fait de ne pas être root permet de limiter les dégâts. Mais quels types de dégâts peut-il se produire? Je vois ceux-ci:
* Vol de données confidentielles, de mots de passe, de numéros de cartes bancaires...
* Destruction de données importantes
* Utilisation de l'ordinateur pour envoyer des spams
etc...
Il n'est pas nécessaire d'être root pour faire ce genre de choses. Le serveur X permet à n'importe quel processus de l'utilisateur connecté de capter les frappes au clavier. Les données importantes pour moi sont mes fichiers personnels et non la distribution que j'ai installé. Un logiciel malveillant peut aussi s'installer dans les fichiers de l'utilisateur (.bashrc, .xsession... la liste des fichiers d'un utilisateur exécutés à chaque démarrage est très longue). Un logiciel malveillant peut même attendre que l'utilisateur ouvre un terminal root pour en prendre le contrôle et s'installer dans le système. La limite ne dépend que de l'intelligence du logiciel malveillant.
Je pense donc que pour que la gestion des privilèges apporte vraiment de la sécurité aux ordinateurs personnels, il faut empêcher à un programme de s'installer dans la configuration d'un utilisateur. Il faut donc que la configuration ne permette pas l'exécution de code. Les fichiers qui en contiennent doivent être purgés régulièrement. Mais il y en a tellement... Ça revient donc à réinitialiser toute la configuration d'un utilisateur.
Poste le Tuesday 6 May 2008 21:49:19
Re: Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par:
AlSim
C'est dangereux surtout parce que l'utilisateur peut faire des erreurs plus facilement. Beaucoup de problèmes viennent de l'interface chaise-clavier, ne pas avoir les droits root limite les risques.
Ceci dit, certaines distributions (je n'en connais qu'une en fait, Slax) sont faites pour être utilisées en root...
[catwell.info]
Ceci dit, certaines distributions (je n'en connais qu'une en fait, Slax) sont faites pour être utilisées en root...
[catwell.info]
Poste le Tuesday 6 May 2008 21:55:49
Re: Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par:
oudoubah
Comme l'a dit Alsim, la première source de problèmes est l'interface chaise/clavier.
Il y a aussi un point très important pour la sécurité : installer via son gestionnaire de paquets (ou des sources, mais c'est plus long), au lieu d'aller récupérer ça sur download.jeveuxmonapplisaevecdeschevauxdetroie.com C'est aussi un point faible temporaire si un petit rigolo s'amuse à s'introduire sur les sites de la distribution (mais le problème sera rapidement réglé).
Une première méthode de sécurisation serait, pour chaque utilisateur, d'avoir un "sous-utilisateur", genre oudoubah-web qui lui seul est autorisé à se connecter au web, dans un environnement de droits restreints.
La meilleure solution de sécurité sera toujours dans l'éducation de l'utilisateur.
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Il y a aussi un point très important pour la sécurité : installer via son gestionnaire de paquets (ou des sources, mais c'est plus long), au lieu d'aller récupérer ça sur download.jeveuxmonapplisaevecdeschevauxdetroie.com C'est aussi un point faible temporaire si un petit rigolo s'amuse à s'introduire sur les sites de la distribution (mais le problème sera rapidement réglé).
Citation
Pierre Renié
Je pense donc que pour que la gestion des
privilèges apporte vraiment de la sécurité aux
ordinateurs personnels, il faut empêcher à un
programme de s'installer dans la configuration
d'un utilisateur. Il faut donc que la
configuration ne permette pas l'exécution de code.
Les fichiers qui en contiennent doivent être
purgés régulièrement. Mais il y en a tellement...
Ça revient donc à réinitialiser toute la
configuration d'un utilisateur.
Une première méthode de sécurisation serait, pour chaque utilisateur, d'avoir un "sous-utilisateur", genre oudoubah-web qui lui seul est autorisé à se connecter au web, dans un environnement de droits restreints.
La meilleure solution de sécurité sera toujours dans l'éducation de l'utilisateur.
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Poste le Wednesday 7 May 2008 10:31:11
Re: Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par:
Pierre Renié
Bien sûr.Citation
oudoubah
Il y a aussi un point très important pour la sécurité : installer via son gestionnaire de paquets (ou des sources, mais c'est plus long), au lieu d'aller récupérer ça sur
download.jeveuxmonapplisaevecdeschevauxdetroie.com
Là non, si quelqu'un s'introduit dans la distribution il peut installer du code malveillant dans tous les ordinateurs mis régulièrement à jour, ça aurait des conséquences très graves. Je fais confiance à la distribution pour les mesures qu'ils prennent pour la sécurité.Citation
oudoubah
C'est aussi un point faible temporaire si un petit rigolo s'amuse à s'introduire sur les sites de la distribution (mais le problème sera rapidement réglé).
C'est relatif. Ça dépend sur quels sites on se connecte. Et des logiciels qui traitent les fichiers peuvent aussi avoir des failles de sécurité, comme le programme file: [cve.mitre.org] qui permet à fichier téléchargé d'installer du code malveillant sans que l'utilisateur n'ait à l'exécuter.Citation
oudoubah
Une première méthode de sécurisation serait, pour chaque utilisateur, d'avoir un "sous-utilisateur", genre oudoubah-web qui lui seul est autorisé à se connecter au web, dans un environnement de droits restreints.
De plus, si on veut faire tourner des programme de ces 2 utilisateurs en même temps, il faut 2 serveurs X.
Ça c'est un vrai problème pour ceux qui font de l'administration réseau, c'est finalement le point faible principal en sécurité.Citation
oudoubah
La meilleure solution de sécurité sera toujours
dans l'éducation de l'utilisateur.
L'utilisateur se croit parfois protégé, à tord. Même moi je pensais qu'un processus qui tourne sur un serveur X ne pouvait pas contrôler un terminal root. Mais inversement l'utilisateur peut croire que quelqu'un qui s'y connaît peut s'introduire facilement dans un système, donc à quoi bon sécuriser?
Il faut que l'utilisateur connaisse bien les risques. Je connais le risque du serveux X, je sais aussi que quand on a un accès physique à une machine on peut tout faire, et qu'avec NFS les permissions peuvent être contournées par n'importe quel utilisateur ayant les droits root en local sur sa machine (les droits root en local lui permettent d'usurper n'importe quel utilisateur non-root en NFS). Quelqu'un connaît d'autres risques dont on ne parle pas beaucoup?
Poste le Wednesday 7 May 2008 21:48:28
Re: Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par:
Vincent-Xavier JUMEL
Ça fait un beau troll ce "débats", avec des arguments qui tiennent plus ou moins bien la route.
Si vous voulez vraiment de la sécurité, y'a un bouton marqué 'Power'. Il suffti d'appuyer dessus pendant 15s et vous êtes protéger à jamais.
C'est en forgeant qu'on devient forgeron, et c'est en sciant que Léonard De Vinci !
Mon site perso
Si vous voulez vraiment de la sécurité, y'a un bouton marqué 'Power'. Il suffti d'appuyer dessus pendant 15s et vous êtes protéger à jamais.
C'est en forgeant qu'on devient forgeron, et c'est en sciant que Léonard De Vinci !
Mon site perso
Poste le Wednesday 7 May 2008 22:17:03
Re: Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par:
Pierre Renié
Plus ou moins... Qu'est-ce qui tient le moins la route?Citation
Vincent-Xavier JUMEL
Ça fait un beau troll ce "débats", avec des arguments qui tiennent plus ou moins bien la route.
Poste le Wednesday 7 May 2008 22:34:53
Re: Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par:
Pierre Renié
De la sécurité? Non, plutôt du déni de service.Citation
Vincent-Xavier JUMEL
Si vous voulez vraiment de la sécurité, y'a un bouton marqué 'Power'. Il suffti d'appuyer dessus
pendant 15s et vous êtes protéger à jamais.
Poste le Wednesday 7 May 2008 22:36:40
Re: Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par:
merlin8282
Et que faire du Wake-On-LAN ?Citation
Pierre Renié
Vincent-Xavier JUMEL a écriti vous voulez vraiment de la sécurité, y'a un bouton marqué 'Power'. Il suffti d'appuyer dessus pendant 15s et vous êtes protéger à jamais.De la sécurité? Non, plutôt du déni de service.
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Poste le Tuesday 27 May 2008 13:18:08
Re: Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par:
lolotux
Citation
merlin8282
...
Et que faire du Wake-On-LAN ?
Ben m'en faudrait un certains matins, lorsque je ne me réveille pas ! :-)
Software is like sex !
It's better when it's Free !
Poste le Tuesday 24 June 2008 10:01:46
Re: Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par:
Triangle
Root or not-root that the question?
C'est si dur de taper su ou sudo dans un terminal?
Membre de l'APRIL « promouvoir et défendre le logiciel libre » - adhérez vous aussi! www.april.org
C'est si dur de taper su ou sudo dans un terminal?
Membre de l'APRIL « promouvoir et défendre le logiciel libre » - adhérez vous aussi! www.april.org
Poste le Wednesday 19 November 2008 08:02:23
Seuls les utilisateurs enregistrés peuvent poster des messages dans ce forum.
Ce forum !
Le manque de sécurité sous Linux pour les postes utilisateur
Débattez, trollez sur les distributions, les logiciels libres ....
Mais attention, débat ne veut pas dire insultes ! Restez courtois, merci.
Mais attention, débat ne veut pas dire insultes ! Restez courtois, merci.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons