Forum

Reprise du message précédent

Salut,

A quand le Godwin ?

Un peu cavalière la réponse vis à vis de mes compétences et surtout SANS arguments, relis les tiens, tu admettras quand même que c'est très comique !!

Pour le ton, autant je préfère la légèreté à la prétention surtout avec ce type d'argument fort

Reprends mes points un à un ... démontre moi que ... et pis on en rediscutera va ...

Pis sinon passez sous OpenBSD dans ce cas (clic dans ma signature) si tu veux du "secure sans faille", je vous filerai un coup de main ou simplement ouvrez le rapport de bug sur le bugzilla donc puisque le fond du problème est là, mais j'ai l'impression de prêcher dans le désert.

La bonne soirée.

Je n'ai pas mis en doute quelques compétences que ce soit, je m'étonnais juste de la désinvolture des propos, du post, sur ce sujet de la sécurité... That's all.

Quand à la prétention dont tu parles, je ne vois pas où elle est, si ce n'est peut-être dans l'œil de celui qui regarde...

À propos du rapport de bug, je suis d'accord.

Édité par linuxviolin Le 19/07/2012 à 22h07

Hola les gars, bonsoir à tous, je ne pensais pas alimenter une telle polémique en ouvrant ce post. Donc comme c'est moi qui suis à l'origine je vous demande simplement qu'on essaie de démêler le problème ensemble sans se facher et dans la plus grande courtoisie. Personnellement je pense qu'il ne faut pas en cas de démarrage dégradé arriver sur une console en mode root sans autre forme de procès. Tout au moins il faut être capable, par l'intermédiaire d'un paramétrage (par exemple dans MSEC) de dire soit je souhaite en cas de boot en mode dégradé arriver sur une console en mode root soit je souhaite arriver sur une console en mode utilisateur.
Donc comme dit XKomodor il faut peut-être ouvrir un rapport de bug. Je vous propose de le faire, par exemple en faisant 2 tests de paramétrages dans MSEC, un avec le minimum et un autre avec les paramètres qui semblent normalement régler ce problème. La seule chose c'est que je ne sais pas à quel endroit je dois faire ça. Si quelqu'un peut me dire à quel endroit je dois ouvrir ce rapport de bug ?!! peut-être toi XKomodor ?!!!
Je vais faire les 2 tests dont je viens de parler et je reviens dès que j'ai fini, peut-être que quelqu'un m'aura répondu.
Et surtout ZEN

Comme promis, je reviens vers vous j'ai donc fait 2 démarrages en mode dégradé avec les 2 fichiers /etc/security/msec/security.conf suivants:
Premier fichier security.conf sans paramétrage particulier security_1.conf.txt
Deuxième fichier security.conf avec paramétrage particulier security_2.conf.txt
J'ai modifé les noms _1 et _2 pour les différencier et j'ai rajouté un .txt derrière pour pouvoir les monter. Bien sûr en réalité il n'y a qu'un fichier qui se nomme security.conf.
Je précise que j'ai vérifié par CCM que MSEC est actif au démarrage -->

Bon voilà, je veux bien ouvrir un rapport de bug mais je ne sais pas où !!!
Comme tu me dis XKomodor je vais regarder sur bugzilla.
A + bonne soirée et toujours ZEN

Salut,

Le bugzilla de mageia est sur cette adresse :
https://bugs.mageia.org/

Il faut qu'il soit rédiger en anglais et avec un maximum de précision.

Habituellement, si vous ne vous en sortez pas, Leuhmanu ou david.david des gars de l'équipe Cauldron de MLO peuvent te filer un coup de main.

Enfin, tu peux passer le soir sur le chan IRC de MLO (freenode #MLO) pour venir te faire expliquer : c'est plus simple.

Merci



PS : je tache dans parler à Ennael sur le dit IRC.

Bonjour, d'accord XKomodor pour aller sur le canal IRC de MLO pour voir comment on déclare un bug sur bugzilla, mais pas ce soir because ce soir je vais danser le tango donc ce sera plutôt pour un autre soir.
Concernant le bug dont on parle, je veux quand même rajouter: "si bug il y a" parce que c'est peut-être moi qui n'ai pas paramétré MSEC correctement ou peut-être c'est à un autre niveau !!! c'est pour ça que ça aurait été bien que quelqu'un d'autre (par exemple dans les personnes intéressées par ce problème) fassent la manip au niveau de MSEC et fassent un test pour voir si je ne raconte pas trop de co....ies
Bon voilà @+

Salut,

Sans doute en venant sur l'IRC quelqu'un pourra te dire en direct live si tu as fait une erreur de paramétrage ou bien si le problème est reproductible .... Tu y trouves souvent Ennael

A voir.

Bon tango

Merci

Zatox,

Suite à ta venue sur l'irc MLO, j'ai pu reproduire le problème. J'ai ouvert un bug :

https://bugs.mageia.org/show_bug.cgi?id=6841

Salut vouf, ok pour le bug, donc si je comprends bien tu as pu le reproduire !!! je laisse le sujet ouvert pour le moment.
Merci d'avoir ouvert le bug, j'avais vu quelque part qu'il fallait ouvrir ça en anglais !!!

Bonjour,



En fait, via le bug, on a l'explication. Le problème est lié au fait que msec met à jour le fichier /etc/inittab. Quand on active la saisie obligatoire du mot de passe pour root en mode single user on a dans ce fichier :







Comme l'explique Colin Guthrie, le fichier /etc/inittab n'est plus utilisé avec systemd. La méthode de contournement consiste à modifier le fichier /etc/sysconfig/init



Par défaut on a dans ce fichier





Il suffit de changer sa valeur pour que le mot de passe soit exigé avec le mode failsafe en





J'ai testé la manip et cela fonctionne. Pensez à appuyer toutefois sur entrée car le prompt ne s'affiche pas pour y saisir le mot de passe.



En espérant que msec soit mis à niveau...

OK vouf, j'ai remplacé SINGLE=/sbin/sushell par SINGLE=/sbin/sulogin dans le fichier /etc/sysconfig/init
Maintenant ça marche quand on arrive sur la ligne:
Started single.service si on fait entrée il affiche:
Login incorrect
Give root password for maintenance
(or type Control -D to continue)
Si je tape mon mot de passe root --> c'est bon.

Juste un petit détail: ça fonctionne comme ça quelque soit la valeur du paramètre ENABLE_SULOGIN à yes ou no.
J'ai fait le test pour ces 2 valeurs, ça ne change rien avec SINGLE=/sbin/sulogin dans le fichier /etc/sysconfig/init ça suffit pour être obligé de taper le mot de passe root en mode dégradé.
Faudra voir si un jour MSEC est modifié !!

Salut,

Du fait que Mageia2 soit passée en systemd, on peut penser que la correction du MSEC sera fait en conséquence.

Ensuite, le rapport de bug ouvert par Vouf (merci à lui ) permettra aux dev. de ne pas oublier ce détail.

Merci

Et si quelqu'un connait du python c'est l'occasion de ce montrer, normalement le lien donné dans le bug est bon (modulo de trois trucs)

Bonjour, pas tout à fait d'accord avec toi nmrk.n quand tu dis:
"Ce qui est pratique avec ça c'est que l'on peut même oublier son mot de passe root et malgré tout se tirer d'affaire vite fait, appréciable, non ? Sinon la seule solution serait de tout réinstaller, de quoi faire râler, non ?"
Concernant la philosophie du mot de passe je dis ceci:
Pourquoi mettre un mot de passe root qui ne va être utilisable qu'en mode normal et qui ne sert à rien en mode dégradé ?!!!!!!! Il y a quelque chose là que je ne comprends pas !!!!!!!!
Je ne sais si à l'instal de mageia il est possible de ne pas définir de mot de passe root, mais si c'est possible à ce moment là ceux qui veulent définissent un mot de passe root qui sera demandé quelque soit le mode d'accès à la machine et ceux qui ne veulent pas de mot de passe root n'en mettent pas.
Fin d'aparté sur la philosophie du mot de passe.
En fait le problème qu'on est entrain de traiter c'est celui de MSEC qui apparemment ne fonctionne pas tout à fait comme il faudrait dans la mesure où après positionnement du paramètre ENABLE_SULOGIN le mot de passe root n'est toujours pas demandé en mode dégradé alors qu'il devrait l'être.
Concernant ta question : ""pourquoi faut-il un accès physique à la machine pour la faire démarrer en mode single root ?
j'aurai tendance à répondre ceci:
Si tu n'as pas d'accès physique à la machine ça veut dire que tu a un accès distant dans ce cas je pense qu'il faut que la machine soit démarrée pour que tu puisse te connecter dessus, et il faut que tout ce qui concerne le réseau soit également actif, je ne crois pas que ce soit le cas en mode dégradé.
Comme je ne suis pas très compétent là-dessus, peut-être que des spécialistes pourront donner leur avis.

Salut,

L'accès physique veut bien dire que c'est un accès au clavier directement connecté sur la machine : en gros être sur la machine donc ... à contrario d'un accès SSH par exemple ...

Donc encore une fois il faudrait que quelqu'un de très mal intentionné, connaissant le fait que tu as une Mageia, que ton PC n'ai pas de "sécurité" en local (mot de passe bios) etc ... pour venir te mettre le souk dans la machine, sachant que pour ma part d'autres le font et que pourtant la sécurité est un peu plus mis en avant que Mageia et GNU/Linux en général etc ... bref.

C'est pour cela que j'avais réagit en étant aussi taquin sur le post de "linuxviolin", car là c'est du Agatha CHRISTIE ou Conan DOYLE

Voila

Merci

J'avais pas pigé que c'était une boutade !!!