Bonjour à tous,
Je débarque tout juste au royaume de Mint. J'ai iinstallé la Mint 4.0 Daryna Flu
xbox
Voilà ce que j'y ai remarqué une grosse faille de sécurité. L'application /usr/b
in/mintAssistant propose à l'utilisateur d'activer le mot de passe Root. Jusque
là, il n'y a pas trop de lésard, sauf que les droits de cette appli sont en 766,
donc sans mot de passe aucun on peut à loisir supprimer, modifier le mot de pas
se root.
Encore une fois, je débarque. Donc ma question est : Cette distribution a un but
mono-utilisateur, ou ai je trouvé un gros problème?
Linux Mint Forums
Sécurité
Moderator: rich_roast
11 posts
• Page 1 of 1
Re: Sécurité
by clem on Mon Feb 25, 2008 3:14 pm
Bonjour,
MintAssistant n'est lance qu'une seule fois et part du principe que le premier utilisateur a etre loggue est le meme que celui qui a procede a l'installation.
Clem.
MintAssistant n'est lance qu'une seule fois et part du principe que le premier utilisateur a etre loggue est le meme que celui qui a procede a l'installation.
Clem.
-
clem - Level 14
- Posts: 5387
- Joined: Wed Nov 15, 2006 8:34 am
Re: Sécurité
by Likarum on Tue Feb 26, 2008 3:55 pm
Ca pourrait-être évidement probable si les droits n'était pas en 766.
De base, gdm te connecte avec un utilisateur invité en cas d'inactivité. Donc toute personne se connecte avec se compte peut se rendre maître de la machine.
De base, gdm te connecte avec un utilisateur invité en cas d'inactivité. Donc toute personne se connecte avec se compte peut se rendre maître de la machine.
- Likarum
Re: Sécurité
by Tize on Wed Feb 27, 2008 6:35 am
Bonjour,
chez moi les droits du fichier mintAssistant n'ont jamais été en 766 mais bien en 755 mais cela ne change rien...visiblement toute personne peut lancer ce programme, c'est embêtant quand même...
chez moi les droits du fichier mintAssistant n'ont jamais été en 766 mais bien en 755 mais cela ne change rien...visiblement toute personne peut lancer ce programme, c'est embêtant quand même...
- Tize
- Level 1
- Posts: 13
- Joined: Wed Feb 27, 2008 6:08 am
Re: Sécurité
by likarum on Wed Feb 27, 2008 5:23 pm
Oui 755. Désolé 
C'est super dangereux. Attention, j'ai changé les droits manuellement de celui-ci, mais de mémoire ce n'était pas le seul qui posé le problème (mintInstall je crois)
Moi dans le doute tout utils qui commencé par mint s'est prix un chmod 750 dans le doute, et j'ai viré dans gdm l'utilisateur Mint.
Franchement, plus j'y réfléchi, plus je pense que c'est réellement catastrophique. Tu imagines un poste dans une boite qui met une mind, et bien si l'admin est négligeant il va se retrouver avec tout ses postes accessibles en root.
Et encore attention là on parle d'une faille concon, du genre c'est une béta, on a fait nos boulets ce n'est pas trop grave, mais seulement imaginé ce qu'il y a derrière.... Ou alors c'est une volonté de la team easy/easy/easy, mais là ce n'est pas assez clair.
C'est super dangereux. Attention, j'ai changé les droits manuellement de celui-ci, mais de mémoire ce n'était pas le seul qui posé le problème (mintInstall je crois)
Moi dans le doute tout utils qui commencé par mint s'est prix un chmod 750 dans le doute, et j'ai viré dans gdm l'utilisateur Mint.
Franchement, plus j'y réfléchi, plus je pense que c'est réellement catastrophique. Tu imagines un poste dans une boite qui met une mind, et bien si l'admin est négligeant il va se retrouver avec tout ses postes accessibles en root.
Et encore attention là on parle d'une faille concon, du genre c'est une béta, on a fait nos boulets ce n'est pas trop grave, mais seulement imaginé ce qu'il y a derrière.... Ou alors c'est une volonté de la team easy/easy/easy, mais là ce n'est pas assez clair.
- likarum
Re: Sécurité
by Tize on Wed Feb 27, 2008 6:36 pm
Oui c'est problématique... à moins d'être utilisée en monoposte ou alors quelque chose m'échappe (si quelqu'un peut confirmer ou infirmer)
Étant donné que Mint est basée sur Ubuntu, je me demande si la question se pose aussi sur cette dernière...?
Si quelqu'un peut m'éclairer merci d'avance...mais il est vrai que cela parait assez grave (et étonnant quand même !)
Étant donné que Mint est basée sur Ubuntu, je me demande si la question se pose aussi sur cette dernière...?
Si quelqu'un peut m'éclairer merci d'avance...mais il est vrai que cela parait assez grave (et étonnant quand même !)
- Tize
- Level 1
- Posts: 13
- Joined: Wed Feb 27, 2008 6:08 am
Re: Sécurité
by likarum on Thu Feb 28, 2008 3:16 pm
Non non le problème n'existe pas sur Ubuntu. C'est uniquement les appli de Mint qui sont ainsi.
- likarum
Re: Sécurité
by Tize on Thu Feb 28, 2008 3:21 pm
OK, merci pour la réponse. 
Peut être y aura-t-il des modifications à la prochaine version de Mint ? Clem ?
Peut être y aura-t-il des modifications à la prochaine version de Mint ? Clem ?
- Tize
- Level 1
- Posts: 13
- Joined: Wed Feb 27, 2008 6:08 am
Re: Sécurité
by clem on Thu Feb 28, 2008 8:27 pm
Salut,
Je ne comprends pas ou est la faille? Un utilisateur peut lancer mintAssistant, oui... et alors? S'il fait cela mintAssistant n'aura que les droits de cet utilisateur, et donc l'appli plantera. Faites le test. Lancez mintAssistant a la main depuis un terminal, sans sudo, et rendez-vous compte, aucune modification n'est faite sur le compte root our dans le terminal pour les fortunes.
Il y'a une enorme difference entre les permissions appliquees a un fichier et les permissions heritees de l'utilisateur et appliquees a un processus. Ce qui compte ici c'est que l'utilisateur ait les droits root, sinon mintAssistant ne pourra fonctioner correctement. Notez que GDM lance mintAssistant en mode root, et que depuis mintMenu la commande utilise gksu. Dans les deux cas mintAssistant requiert les droits de root ou d'un sudoer. Si vous lancez mintAssistant sans ces droits, vous verrez l'interface graphique... voila tout.
Si qqchose m'echappe n'hesitez pas mais je ne vois pas ou est la faille de securite. La plupart des outils Mint sont executables par tous, cela dit ils ne realisent des operations d'administration que quand ils ont les droits d'administration... c'est a dire quand ils sont lances par un sudoer ou par root.
Clem
Je ne comprends pas ou est la faille? Un utilisateur peut lancer mintAssistant, oui... et alors? S'il fait cela mintAssistant n'aura que les droits de cet utilisateur, et donc l'appli plantera. Faites le test. Lancez mintAssistant a la main depuis un terminal, sans sudo, et rendez-vous compte, aucune modification n'est faite sur le compte root our dans le terminal pour les fortunes.
Il y'a une enorme difference entre les permissions appliquees a un fichier et les permissions heritees de l'utilisateur et appliquees a un processus. Ce qui compte ici c'est que l'utilisateur ait les droits root, sinon mintAssistant ne pourra fonctioner correctement. Notez que GDM lance mintAssistant en mode root, et que depuis mintMenu la commande utilise gksu. Dans les deux cas mintAssistant requiert les droits de root ou d'un sudoer. Si vous lancez mintAssistant sans ces droits, vous verrez l'interface graphique... voila tout.
Si qqchose m'echappe n'hesitez pas mais je ne vois pas ou est la faille de securite. La plupart des outils Mint sont executables par tous, cela dit ils ne realisent des operations d'administration que quand ils ont les droits d'administration... c'est a dire quand ils sont lances par un sudoer ou par root.
Clem
-
clem - Level 14
- Posts: 5387
- Joined: Wed Nov 15, 2006 8:34 am
Re: Sécurité
by clem on Thu Feb 28, 2008 8:42 pm
Je ne sais pas si j'ai ete clair, je vais prendre un exemple. Tout le monde sous Linux peut lancer la commande "rm" et supprimer des fichier. Seulement voila, selon la personne qui lance "rm", cette commande peut ou ne peut pas supprimer tel ou tel fichier. De meme ici, selon la personne qui lance mintAssistant, mintAssistant pourra ou ne pourra pas modifier le compte root et les fortunes pour le terminal. Quant a GDM il faut etre root pour alterer sa configuration et il est justement configure pour n'offrir qu'une seule et unique session mintAssistant en mode root... au premier utilisateur a se logguer sur le systeme.
Donc les seules personnes a pouvoir acceder a root sont:
- root (si defini)
- l'utilisateur principal (defini lors de l'install)
- la toute premiere personne a se logguer sur le systeme (donc probablement definie lors de l'install, sinon en sudoer, en utilisateur simple)
Dans le scenario le plus courant, la personne installant Mint est aussi celle qui se definit en utilisateur principal et elle aussi celle a se logguer en premier et via mintInstall a se donner (ou pas) un acces root.
Clem
Donc les seules personnes a pouvoir acceder a root sont:
- root (si defini)
- l'utilisateur principal (defini lors de l'install)
- la toute premiere personne a se logguer sur le systeme (donc probablement definie lors de l'install, sinon en sudoer, en utilisateur simple)
Dans le scenario le plus courant, la personne installant Mint est aussi celle qui se definit en utilisateur principal et elle aussi celle a se logguer en premier et via mintInstall a se donner (ou pas) un acces root.
Clem
-
clem - Level 14
- Posts: 5387
- Joined: Wed Nov 15, 2006 8:34 am
Re: Sécurité
by Tize on Sat Mar 01, 2008 8:34 am
Ok, au temps pour moi, désolé...
Et merci beaucoup Clem pour ces précisions
Et merci beaucoup Clem pour ces précisions
- Tize
- Level 1
- Posts: 13
- Joined: Wed Feb 27, 2008 6:08 am
11 posts
• Page 1 of 1
Who is online
Users browsing this forum: No registered users and 2 guests