Sécurité

French Forum

Moderator: killer de bug

Likarum

Sécurité

Postby Likarum » Mon Feb 25, 2008 3:29 am

Bonjour à tous,

Je débarque tout juste au royaume de Mint. J'ai iinstallé la Mint 4.0 Daryna Flu
xbox
Voilà ce que j'y ai remarqué une grosse faille de sécurité. L'application /usr/b
in/mintAssistant propose à l'utilisateur d'activer le mot de passe Root. Jusque
là, il n'y a pas trop de lésard, sauf que les droits de cette appli sont en 766,
donc sans mot de passe aucun on peut à loisir supprimer, modifier le mot de pas
se root.
Encore une fois, je débarque. Donc ma question est : Cette distribution a un but
mono-utilisateur, ou ai je trouvé un gros problème?

User avatar
clem
Level 15
Level 15
Posts: 5662
Joined: Wed Nov 15, 2006 8:34 am
Contact:

Re: Sécurité

Postby clem » Mon Feb 25, 2008 3:14 pm

Bonjour,

MintAssistant n'est lance qu'une seule fois et part du principe que le premier utilisateur a etre loggue est le meme que celui qui a procede a l'installation.

Clem.
Image

Likarum

Re: Sécurité

Postby Likarum » Tue Feb 26, 2008 3:55 pm

Ca pourrait-être évidement probable si les droits n'était pas en 766.
De base, gdm te connecte avec un utilisateur invité en cas d'inactivité. Donc toute personne se connecte avec se compte peut se rendre maître de la machine.

Tize
Level 1
Level 1
Posts: 13
Joined: Wed Feb 27, 2008 6:08 am

Re: Sécurité

Postby Tize » Wed Feb 27, 2008 6:35 am

Bonjour,
chez moi les droits du fichier mintAssistant n'ont jamais été en 766 mais bien en 755 mais cela ne change rien...visiblement toute personne peut lancer ce programme, c'est embêtant quand même... :(

likarum

Re: Sécurité

Postby likarum » Wed Feb 27, 2008 5:23 pm

Oui 755. Désolé :oops:

C'est super dangereux. Attention, j'ai changé les droits manuellement de celui-ci, mais de mémoire ce n'était pas le seul qui posé le problème (mintInstall je crois)
Moi dans le doute tout utils qui commencé par mint s'est prix un chmod 750 dans le doute, et j'ai viré dans gdm l'utilisateur Mint.
Franchement, plus j'y réfléchi, plus je pense que c'est réellement catastrophique. Tu imagines un poste dans une boite qui met une mind, et bien si l'admin est négligeant il va se retrouver avec tout ses postes accessibles en root.
Et encore attention là on parle d'une faille concon, du genre c'est une béta, on a fait nos boulets ce n'est pas trop grave, mais seulement imaginé ce qu'il y a derrière.... Ou alors c'est une volonté de la team easy/easy/easy, mais là ce n'est pas assez clair.

Tize
Level 1
Level 1
Posts: 13
Joined: Wed Feb 27, 2008 6:08 am

Re: Sécurité

Postby Tize » Wed Feb 27, 2008 6:36 pm

Oui c'est problématique... à moins d'être utilisée en monoposte ou alors quelque chose m'échappe (si quelqu'un peut confirmer ou infirmer)
Étant donné que Mint est basée sur Ubuntu, je me demande si la question se pose aussi sur cette dernière...?
Si quelqu'un peut m'éclairer merci d'avance...mais il est vrai que cela parait assez grave (et étonnant quand même !)

likarum

Re: Sécurité

Postby likarum » Thu Feb 28, 2008 3:16 pm

Non non le problème n'existe pas sur Ubuntu. C'est uniquement les appli de Mint qui sont ainsi.

Tize
Level 1
Level 1
Posts: 13
Joined: Wed Feb 27, 2008 6:08 am

Re: Sécurité

Postby Tize » Thu Feb 28, 2008 3:21 pm

OK, merci pour la réponse. :D
Peut être y aura-t-il des modifications à la prochaine version de Mint ? Clem ?

User avatar
clem
Level 15
Level 15
Posts: 5662
Joined: Wed Nov 15, 2006 8:34 am
Contact:

Re: Sécurité

Postby clem » Thu Feb 28, 2008 8:27 pm

Salut,

Je ne comprends pas ou est la faille? Un utilisateur peut lancer mintAssistant, oui... et alors? S'il fait cela mintAssistant n'aura que les droits de cet utilisateur, et donc l'appli plantera. Faites le test. Lancez mintAssistant a la main depuis un terminal, sans sudo, et rendez-vous compte, aucune modification n'est faite sur le compte root our dans le terminal pour les fortunes.

Il y'a une enorme difference entre les permissions appliquees a un fichier et les permissions heritees de l'utilisateur et appliquees a un processus. Ce qui compte ici c'est que l'utilisateur ait les droits root, sinon mintAssistant ne pourra fonctioner correctement. Notez que GDM lance mintAssistant en mode root, et que depuis mintMenu la commande utilise gksu. Dans les deux cas mintAssistant requiert les droits de root ou d'un sudoer. Si vous lancez mintAssistant sans ces droits, vous verrez l'interface graphique... voila tout.

Si qqchose m'echappe n'hesitez pas mais je ne vois pas ou est la faille de securite. La plupart des outils Mint sont executables par tous, cela dit ils ne realisent des operations d'administration que quand ils ont les droits d'administration... c'est a dire quand ils sont lances par un sudoer ou par root.

Clem
Image

User avatar
clem
Level 15
Level 15
Posts: 5662
Joined: Wed Nov 15, 2006 8:34 am
Contact:

Re: Sécurité

Postby clem » Thu Feb 28, 2008 8:42 pm

Je ne sais pas si j'ai ete clair, je vais prendre un exemple. Tout le monde sous Linux peut lancer la commande "rm" et supprimer des fichier. Seulement voila, selon la personne qui lance "rm", cette commande peut ou ne peut pas supprimer tel ou tel fichier. De meme ici, selon la personne qui lance mintAssistant, mintAssistant pourra ou ne pourra pas modifier le compte root et les fortunes pour le terminal. Quant a GDM il faut etre root pour alterer sa configuration et il est justement configure pour n'offrir qu'une seule et unique session mintAssistant en mode root... au premier utilisateur a se logguer sur le systeme.

Donc les seules personnes a pouvoir acceder a root sont:
- root (si defini)
- l'utilisateur principal (defini lors de l'install)
- la toute premiere personne a se logguer sur le systeme (donc probablement definie lors de l'install, sinon en sudoer, en utilisateur simple)

Dans le scenario le plus courant, la personne installant Mint est aussi celle qui se definit en utilisateur principal et elle aussi celle a se logguer en premier et via mintInstall a se donner (ou pas) un acces root.

Clem
Image

Tize
Level 1
Level 1
Posts: 13
Joined: Wed Feb 27, 2008 6:08 am

Re: Sécurité

Postby Tize » Sat Mar 01, 2008 8:34 am

Ok, au temps pour moi, désolé... :oops:
Et merci beaucoup Clem pour ces précisions :D


Return to “Français (French)”

Who is online

Users browsing this forum: No registered users and 1 guest