Forum

Bonjour, je viens de découvrir un truc qui m'inquiète un peu, je n'avais jamais eu l'occasion ou la curiosité de démarrer mageia en mode dégradé. Ce soir, suite à une fausse manip (passage intempestif d'un chmod à 000 sur le dossier /home et oui ça arrive !!!!), je n'arrivais plus à démarrer sous mon user. Donc je me suis dit que j'allais essayer de démarrer en mode dégradé pour tenter de repasser le chmod à 731 comme il était auparavant. Donc je démarre Mageia en mode dégradé, bien sûr il n'y a pas de mode graphyque, on arrive directement sous la console. Et là stupeur, je tape su et il se met directement sous root sans me demander de mot de passe !!!!! je remets le chmod de /home à 731 puis je redémarre normalement et tout fonctionne. Mais ma question porte sur le fait qu'en mode dégradé, n'importe qui peut faire n'importe quoi tranquillement sans avoir à taper de mot de passe root c'est pas un peu dangereux ça ? !!! ou alors il y a peut-être quelque chose que je n'ai pas compris mais je pense qu'il serait souhaitable qu'en mode dégradé, la console en root soit protégée par le mot de passe root qu'en pensez-vous ? ou alors il faut peut-être faire une manip particulière pour que le mode dégradé soit protégé ? je ne pige pas très bien ce truc là car j'ai lu pas mal d'articles sur la sécurité des systèmes Linux, m

mince j'ai dû faire entrée sans faire gaffe désolé, je disais qu'en termes de protection l'histoire du mode dégradé c'est pas terrible, si quelqu'un pouvait m'éclairer là-dessus merci beaucoup pour vos réponses.

Ca se configure mais par défaut c'est pas restreins (cf msec chez nous) . D'ailleurs prend un bête linux ajoute /sbin/init a ton entrée du grub et puis voila.

Bonjour,
Si une personne a un accès physique à l'ordinateur il n'y a pas de sécurité... Par exemple avec un live cd on a accès à toutes les données du DD (sauf cryptage et encore)...

Bonjour, merci leuhmanu pour ta réponse, est-ce que tu pourrais m'en dire un peu plus car je t'avoue que je ne connais pas trop MSEC pour ne pas dire pas du tout !!!
Est-ce que ça se trouve dans CCM --> sécurité --> configurer la sécurité, les droits et la surveillance du système --> paramètres de sécurité --> sécurité du système --> ALLOW_ROOT_LOGIN qui est actuellement à yes, j'ai la possibilité de le passer à no ou désactivé ?
Dans la colonne description il est dit pour ce paramètre: "permettre la connexion directe sur terminal en tant que root"
Ce paramètre étant à yes ça veut bien dire que je peux me connecter directement sur un terminal en tant que root donc sans saisie du mot de passe mais je ne vois pas la notion de mode dégradé !!! quand je vais sur la console et que je veux passer en mode root je dois saisir le mot de passe root et c'est tant miaux !!!!
En même temps je viens d'essayer de rentrer sur un terminal par alt ctrl F7 ça marche, j'arrive sur le terminal mais j'ai un écran noir, le curseur en haut à gauche et puis plus rien !!!!! j'essaie de saisir quelque chose, rien ne se passe !!! bizarre non ?!!
Sous mageia 1 ça marchait, je crois me souvenir qu'il fallait saisir root puis le mot de passe mais là sous mageia 2 est-ce qu'il faut faire autre chose ?!!!
Merci pour vos réponses.

Salut,

Bon pas méchant ton affaire là ...

Comme déjà précisé, il faut un accès physique à la machine donc à moins que tu te fasses casser le local où se trouve la machine ... A l'instar de FreeBSD et du mode de maintenance "Single" cela est bien pratique de pouvoir accéder au compte root en mode maintenance sans password.

Ensuite tu peux ouvrir un autre TTY sur une distribution pour te loguer en compte root et faire la manipulation que tu souhaites faire.

Enfin, il vaut tout simplement éviter de "bricoler" les droits directement dans la /home par lot mais d'y aller doucement ...

Merci

Bonjour, pour répondre à Yann oui effectivement je n'avais pas pensé au live cd. Ceci dit je trouve quand même que par le mode dégradé c'est vraiment très rapide dès que tu as la main sur la console tu tapes su et terminé !!!!!! je me demande donc à quoi ça sert d'avoir des mots de passe utilisateurs et root alors qu'en 2 temps 3 mouvements si tu connais le truc tu peux te retrouver sous root et pourquoi pas taper la commande rm -rf /* et youp la boum !!!!!!! bon c'est vrai qu'avec un livecd c'est pareil juste un peu plus long le temps de répondre aux questions d'environnement !!
Bon, en fait, je ne vois plus trop bien à quoi ça sert d'avoir des mots de passe dans tous les coins (utilisateurS , et root) dans la mesure ou en moins de temps qu'il ne faut pour le dire tu te retrouve tranquillement sous root. Bref comme dis leuhmanu je vais voir pour configurer ça afin qu'on ne puisse pas accéder en mode dégradé directement à root sans password.
Reste le live cd mais là je ne sais pas si on peut interdire l'accès au lecteur de CD ?!!!!
Non, je dis ça ce n'est pas tellement pour mon PC (à la limite je peux mettre un password au niveau du BIOS !!!) mais on ne va pas faire de la paranoïa, seulement j'ai monté plusieurs PC chez des amis avec Mageia et je me dis que quelqu'un de mal intentionné pourrait mettre le bronx c'est tout.
Enfin pour répondre à XKomodor, j'ai bien dit que c'était une fausse manip de bricoler le chmod de /home, en fait je voulais faire un test de chmod sur mes documents en quand j'ai tapé la commande dans ma tête /home représentait mes documents ce qui est faux bien sûr.

Salut,

Si tu as des espions russes chez toi tu peux toujours mettre un mot de passe dans le BIOS pour interdire l'ordre de boot prédéfini par l'administrateur d'abord le HDD puis le DVD etc ... Ha mais si tu retires la pile de la carte mère, le mot de passe saute
mais le 100% n'existant pas ...

Bref tout ça pour dire que bon je pense que la polémique n'est pas de mise pour le coup du passe root, encore une fois il faut un accès PHYSIQUE à la machine. Je te reprends le coup de FreeBSD, je travaille chez un hébergeur où notre parc est 99.99% géré par cet OS je te dis comment faire :

• Notre datacenter est en banlieue toulousaine
• Tu passes les 3 sas sécurisés par biométrie
• Dans l'atelier on a un KVM qui gère tous les serveurs
• Tu choisis ta machine, tu as le choix environ 800 machines
• FreeBSD de base accepte CTRL+ALT+SUPPR pour rebooter (pas OpenBSD nativement par contre)
• Tu arrives au Booloader après le BIOS
• Tu appuies sur la touche 4 pour activer le mode single : accès en root sans mot de passe
  

Désolé je me moque un peu là mais c'est pas méchant bien sûr ... mais faut relativiser un peu quand même. Opensuse et d'autres GNU/linux par exemple proposent des mots de passe bon la belle affaire, donc sous mageia ca doit se paramétrer aussi non ?

Merci

Ah ouai d'accord !!!!! salut XKomodor, bon ok ton message est bien passé, maintenant moi aussi j'ai de l'humour, et je te le prouve, figures-toi que finalement j'ai décommandé le camion qui devait me porter 4 miradors et 10 km² de grillage barbelé que j'avais envisagé de mettre autour de mon PC afin de contre carrer tous les espions pas forcément russes que j'ai chez moi en permanence !!!!
Bon trève de plaisanterie, ce que je crois c'est que tu n'as pas compris ma question ou bien c'est moi qui me suis mal expliqué. Comme je te l'explique plus haut, je n'ai pas l'intention de mettre des miradors et du grillage barbelé autour de mon ordi, et encore moins de mettre un mot de passe au niveau du BIOS bien que mon BIOS me l'autorise. Non ce que je dis c'est que lorsque je me logue normalement sous mageia et que j'ouvre une console, si je veux saisir des commandes root, je dois taper su --> entrée --> puis le mot de passe root. Jusque là no problem en tout cas je pense. Ce que je trouve bizarre et que j'aurai aimé modifier, c'est qu'en faisant un démarrage en mode sans échec, (bien sûr je n'ai pas de mode graphyque) et j'arrive directement sur la console EN MODE ROOT sans avoir rien fait rien saisi. Ce qui me semblait plus logique aurait été de pouvoir arriver sur la console en mode utilisateur et de saisir su --> entrée --> mot de passe root pour passer en root comme lors d'un démarrage normal. Suis-je clair ?!!! Voilà c'est tout.
Pour faire ça, la personne qui m'a mise sur la voie c'est leuhmanu que je remercie au passage. Mais peut-être que toi XKomodor tu vas pouvoir me donner un coup de main supplémentaire.
Je suis dans allé dans msec par CCM --> sécurité --> configurer la sécurité etc ... --> paramètres de sécurité --> sécurité système puis j'ai changé le paramètre ENABLE_SULOGIN qui signifie "demander le mot de passe root lors du passage en mode single user" qui était à no, je l'ai mis à yes et le paramètre ALLOW_ROOT_LOGIN qui signifie "permettre la connexion directe sur terminal en tant que root" qui était à yes je l'ai mise à no. J'ai sauvegardé tout ça, j'ai redémarré en mode dégradé, ça n'a strictement rien changé !!!!!!! tu trouves que c'est normal ? si toi ou quelqu'un d'autre pouvait m'aider ça m'aidarait en plus à mieux connaître le système linux/mageia. Je précise que j'ai vérifié dans le fichier /etc/security/msec/security.conf, les paramètres que j'ai changé ont bien été pris en compte, pourtant leur significations ont l'air assez claires mais ça ne marche pas en dégradé j'arrive direct sur la console en root !!!!! je me demande si au démarrage je passe bien dans ce fichier pour récupérer ces paramètres !! peut-être qu'il y a moyen de le savoir mais je ne sais pas comment faire. C'est dommage, parce que j'aime beaucoup Mageia, je ne travaille plus que sous mageia mais parfois il y a quand même quelques trucs bizarres j'ai cité plus haut le problème qui est que si je vais sous une console par alt ctrl fn7 j'arrive bien sur la console mais rien ne se passe je n'ai pas la main, pourtant sous mageia 1 ça marchait !!
Bon voilà, bonne nuit, j'ai mis les espions à la porte jusqu'à demain.
Merci

Salut,

Si tu as un paramètre qui n'est pas pris en compte alors que tu as fait la manipulation ad-hoc c'est qu'il y a un bug vis-à-vis de MSEC et dans ce cas il faut le remonter aux devs. pour correction.

Maintenant entre le fait que tu n'ais pas de mot de passe en mode dégradé comme tu en parles dans tes tous premiers posts et le fait d'avoir un soucis dans MSEC, ce sont 2 notions différentes.

Il faut voir maintenant si le problème est reproductible et donc ouvrir un rapport de bug

Merci

hello

interressant ce post, j'allais en creer un du meme genre suite a un demarrage equivalent a zatox (en mode degrade)
quel surprise de me retrouver sur une console directement en root ...

alors je sais bien qu'un pc n'est jamais totalement inviolable ... mais si on peux freiner un minimum un eventuelle coquin de passage c'est aussi bien nan ? donc j'ai bien un pass pour acceder a mon bios avec le dd en 1er boot (donc pas de live cd) et je desactive toujours le login automatique

la finalement un lambda passant a cote de mon pc n'a juste qu'a rebooter en mode restreins pour avoir un accee root a ma machine ... je reste vraiment surpris et je me sens beaucoup moins en securite la

Pas vraiment d'accord avec XKomodor notamment. La sécurité est une chose très importante! Mageia en a quelques-unes, de sécurités, même si elle n'a pas SELinux par exemple. Mais cet accès root sans mot de passe est une grave faute. Un accès physique à une machine est toujours possible et pas seulement en fracturant ta porte. Il suffit parfois de faire rentrer chez soi quelqu'un que l'on croit "ami", ou au moins sérieux, ou un ouvrier pour un travail à faire chez toi ou... et si c'est quelqu'un de mal intentionné il suffit que tu t'absentes, préparer un repas, aux toilettes, ou que sais-je d'autre, il a accès à toute ta machine en 10 secondes à peine... Ce n'est qu'un exemple et dans le cas d'un portable c'est pire encore.

Maintenant, oui, la sécurité 100% n'existe pas mais il y a une limite tout de même. Pas de mot de passe root la dépasse, désolé. On peut aussi conseiller de crypter ses partitions, voir effectivement de mettre un mot de passe BIOS, notamment sur un portable.

Édité par linuxviolin Le 19/07/2012 à 20h27

Salut,



Y a pas à être d'accord avec moi ou pas.



1/ Le problème initial est lié sans nul doute à MSEC donc à un bug, donc ouvrir un rapport de bug, l'ouverture du rapport a-t'elle été faite car Mageia est en péril ?



2/ SELinux : MSEC se veut être un outil interne à Mandriva se rapprochant de SELinux, AppArmor dans la gestion de la sécurité certainement pas aussi fin certes que ces 2 "monstres" ...



3/ Pis aussi un boîtier en kevlar pour éviter l'attaque d'un aigle royal, des filtres anti-moustiques ayant le chicoungounia, pis un toit en béton dans le cas où Mir viendra à s'écraser (ha non c'est déjà fait) ...



En gros vas faire un tour sur une ML de FreeBSD pour leur expliquer que y a pas de mot de passe à leur mode single ( tu me le diras, je voudrais lire çà), eux t'expliqueront déjà que ton GNU/Linux est tout crevé de faille de sécurité, mal audité ... sans parler de notre ami Théo.



Quand je pense que la 3/4 des utilisateurs de Mageia ne savent même pas utiliser un fichier GPG faut arrêter un peu quand même hein !



Les gars vendredi c'est demain, donc garder les trolls bien au chaud et pis ouvrez des rapports de bug, ça c'est constructif vous verrez ...



Malgré tout je remets ce que dit Mageia sur Wikipedia :



Les objectifs de cette organisation sont listés dans l'annonce du 18 septembre 2010 10 :

- faire un système d'exploitation GNU/Linux facile à utiliser pour tout le monde ;

- fournir des outils intégrés de configuration du système ;

- garder un haut niveau d'intégration entre le système de base, le bureau (KDE / GNOME) et les applications, et surtout améliorer l'intégration des logiciels tiers (qu'ils soient libres ou propriétaires) ;

- prendre en charge de nouvelles architectures ;

- améliorer la compréhension informatique des utilisateurs de cette distribution.



Mais je n'évite pas les amis qui n'en sont pas en faite et qui voudrait péter le système le temps que tu ailles faire "caca"



Allez je m'en vais va !



Merci

Hum, étonnant de voir un parait-il sysadmin qui traite la sécurité avec tant d'insouciance, nonchalance, par-dessus la jambe, d'ironie... Sans parler du ton. Étonnant, oui, vraiment.

Ceci dit, il est possible d'avoir mal compris... peut-être.

Édité par linuxviolin Le 19/07/2012 à 21h23

Salut,

A quand le Godwin ?

Un peu cavalière la réponse vis à vis de mes compétences et surtout SANS arguments, relis les tiens, tu admettras quand même que c'est très comique !!

Pour le ton, autant je préfère la légèreté à la prétention surtout avec ce type d'argument fort

Reprends mes points un à un ... démontre moi que ... et pis on en rediscutera va ...

Pis sinon passez sous OpenBSD dans ce cas (clic dans ma signature) si tu veux du "secure sans faille", je vous filerai un coup de main ou simplement ouvrez le rapport de bug sur le bugzilla donc puisque le fond du problème est là, mais j'ai l'impression de prêcher dans le désert.

La bonne soirée.