Léa-Linux & amis :   LinuxFR   GCU-Squad   GNU
Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par: Pierre Renié

Bonjour,
Je voudrais donner mon avis sur la sécurité de Linux pour un ordinateur de bureau (à la différence des serveurs).
Il est écrit sur la page [ecurite-ficheroot.html#Quand_et_comment_utiliser_le_Root" rel="nofollow">lea-linux.org] "Il est très dangereux et préjudiciable d'utiliser le root comme utilisateur principal ! On vous aura prévenu !"
Je trouve que ce danger est bien moins important qu'on ne le pense.

Tout d'abord, bien entendu, la parade principale est de mettre en place un pare feu et de mettre régulièrement à jour ses logiciels.

Ensuite, pour le cas où une faille de sécurité est exploitée, le fait de ne pas être root permet de limiter les dégâts. Mais quels types de dégâts peut-il se produire? Je vois ceux-ci:
* Vol de données confidentielles, de mots de passe, de numéros de cartes bancaires...
* Destruction de données importantes
* Utilisation de l'ordinateur pour envoyer des spams
etc...

Il n'est pas nécessaire d'être root pour faire ce genre de choses. Le serveur X permet à n'importe quel processus de l'utilisateur connecté de capter les frappes au clavier. Les données importantes pour moi sont mes fichiers personnels et non la distribution que j'ai installé. Un logiciel malveillant peut aussi s'installer dans les fichiers de l'utilisateur (.bashrc, .xsession... la liste des fichiers d'un utilisateur exécutés à chaque démarrage est très longue). Un logiciel malveillant peut même attendre que l'utilisateur ouvre un terminal root pour en prendre le contrôle et s'installer dans le système. La limite ne dépend que de l'intelligence du logiciel malveillant.

Je pense donc que pour que la gestion des privilèges apporte vraiment de la sécurité aux ordinateurs personnels, il faut empêcher à un programme de s'installer dans la configuration d'un utilisateur. Il faut donc que la configuration ne permette pas l'exécution de code. Les fichiers qui en contiennent doivent être purgés régulièrement. Mais il y en a tellement... Ça revient donc à réinitialiser toute la configuration d'un utilisateur.

Poste le Tuesday 6 May 2008 21:49:19
Répondre     Citer    
Re: Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par: AlSim

C'est dangereux surtout parce que l'utilisateur peut faire des erreurs plus facilement. Beaucoup de problèmes viennent de l'interface chaise-clavier, ne pas avoir les droits root limite les risques.

Ceci dit, certaines distributions (je n'en connais qu'une en fait, Slax) sont faites pour être utilisées en root...

[catwell.info]

Poste le Tuesday 6 May 2008 21:55:49
Répondre     Citer    
Re: Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par: oudoubah

Comme l'a dit Alsim, la première source de problèmes est l'interface chaise/clavier.

Il y a aussi un point très important pour la sécurité : installer via son gestionnaire de paquets (ou des sources, mais c'est plus long), au lieu d'aller récupérer ça sur download.jeveuxmonapplisaevecdeschevauxdetroie.com C'est aussi un point faible temporaire si un petit rigolo s'amuse à s'introduire sur les sites de la distribution (mais le problème sera rapidement réglé).

Citation
Pierre Renié
Je pense donc que pour que la gestion des
privilèges apporte vraiment de la sécurité aux
ordinateurs personnels, il faut empêcher à un
programme de s'installer dans la configuration
d'un utilisateur. Il faut donc que la
configuration ne permette pas l'exécution de code.
Les fichiers qui en contiennent doivent être
purgés régulièrement. Mais il y en a tellement...
Ça revient donc à réinitialiser toute la
configuration d'un utilisateur.

Une première méthode de sécurisation serait, pour chaque utilisateur, d'avoir un "sous-utilisateur", genre oudoubah-web qui lui seul est autorisé à se connecter au web, dans un environnement de droits restreints.

La meilleure solution de sécurité sera toujours dans l'éducation de l'utilisateur.

Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"

Poste le Wednesday 7 May 2008 10:31:11
Répondre     Citer    
Re: Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par: Pierre Renié

Citation
oudoubah
Il y a aussi un point très important pour la sécurité : installer via son gestionnaire de paquets (ou des sources, mais c'est plus long), au lieu d'aller récupérer ça sur
download.jeveuxmonapplisaevecdeschevauxdetroie.com
Bien sûr.
Citation
oudoubah
C'est aussi un point faible temporaire si un petit rigolo s'amuse à s'introduire sur les sites de la distribution (mais le problème sera rapidement réglé).
Là non, si quelqu'un s'introduit dans la distribution il peut installer du code malveillant dans tous les ordinateurs mis régulièrement à jour, ça aurait des conséquences très graves. Je fais confiance à la distribution pour les mesures qu'ils prennent pour la sécurité.

Citation
oudoubah
Une première méthode de sécurisation serait, pour chaque utilisateur, d'avoir un "sous-utilisateur", genre oudoubah-web qui lui seul est autorisé à se connecter au web, dans un environnement de droits restreints.
C'est relatif. Ça dépend sur quels sites on se connecte. Et des logiciels qui traitent les fichiers peuvent aussi avoir des failles de sécurité, comme le programme file: [cve.mitre.org] qui permet à fichier téléchargé d'installer du code malveillant sans que l'utilisateur n'ait à l'exécuter.
De plus, si on veut faire tourner des programme de ces 2 utilisateurs en même temps, il faut 2 serveurs X.

Citation
oudoubah
La meilleure solution de sécurité sera toujours
dans l'éducation de l'utilisateur.
Ça c'est un vrai problème pour ceux qui font de l'administration réseau, c'est finalement le point faible principal en sécurité.

L'utilisateur se croit parfois protégé, à tord. Même moi je pensais qu'un processus qui tourne sur un serveur X ne pouvait pas contrôler un terminal root. Mais inversement l'utilisateur peut croire que quelqu'un qui s'y connaît peut s'introduire facilement dans un système, donc à quoi bon sécuriser?

Il faut que l'utilisateur connaisse bien les risques. Je connais le risque du serveux X, je sais aussi que quand on a un accès physique à une machine on peut tout faire, et qu'avec NFS les permissions peuvent être contournées par n'importe quel utilisateur ayant les droits root en local sur sa machine (les droits root en local lui permettent d'usurper n'importe quel utilisateur non-root en NFS). Quelqu'un connaît d'autres risques dont on ne parle pas beaucoup?

Poste le Wednesday 7 May 2008 21:48:28
Répondre     Citer    
Re: Le manque de sécurité sous Linux pour les postes utilisateur

Ça fait un beau troll ce "débats", avec des arguments qui tiennent plus ou moins bien la route.
Si vous voulez vraiment de la sécurité, y'a un bouton marqué 'Power'. Il suffti d'appuyer dessus pendant 15s et vous êtes protéger à jamais.



C'est en forgeant qu'on devient forgeron, et c'est en sciant que Léonard De Vinci !

Mon site perso

Poste le Wednesday 7 May 2008 22:17:03
Répondre     Citer    
Re: Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par: Pierre Renié

Citation
Vincent-Xavier JUMEL
Ça fait un beau troll ce "débats", avec des arguments qui tiennent plus ou moins bien la route.
Plus ou moins... Qu'est-ce qui tient le moins la route?

Poste le Wednesday 7 May 2008 22:34:53
Répondre     Citer    
Re: Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par: Pierre Renié

Citation
Vincent-Xavier JUMEL
Si vous voulez vraiment de la sécurité, y'a un bouton marqué 'Power'. Il suffti d'appuyer dessus
pendant 15s et vous êtes protéger à jamais.
De la sécurité? Non, plutôt du déni de service.

Poste le Wednesday 7 May 2008 22:36:40
Répondre     Citer    
Re: Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par: merlin8282

Citation
Pierre Renié
Vincent-Xavier JUMEL a écrit confused smileyi vous voulez vraiment de la sécurité, y'a un bouton marqué 'Power'. Il suffti d'appuyer dessus pendant 15s et vous êtes protéger à jamais.De la sécurité? Non, plutôt du déni de service.
Et que faire du Wake-On-LAN ?

.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --

Poste le Tuesday 27 May 2008 13:18:08
Répondre     Citer    
Re: Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par: lolotux

Citation
merlin8282
...
Et que faire du Wake-On-LAN ?

Ben m'en faudrait un certains matins, lorsque je ne me réveille pas ! :-)

Software is like sex !
It's better when it's Free !

Poste le Tuesday 24 June 2008 10:01:46
Répondre     Citer    
Re: Le manque de sécurité sous Linux pour les postes utilisateur
Envoyé par: Triangle

Root or not-root that the question?

C'est si dur de taper su ou sudo dans un terminal?

Membre de l'APRIL « promouvoir et défendre le logiciel libre » - adhérez vous aussi! www.april.org

Poste le Wednesday 19 November 2008 08:02:23
Répondre     Citer    
Seuls les utilisateurs enregistrés peuvent poster des messages dans ce forum.
Ce forum !
Le manque de sécurité sous Linux pour les postes utilisateur
Débattez, trollez sur les distributions, les logiciels libres ....
Mais attention, débat ne veut pas dire insultes ! Restez courtois, merci.

Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons