La laborieuse réparation des autorisations de Leopard, Réactions à la news du 05-11-2007

[dulrich]

@Dulrich :
Quand tu n'es pas un utilisateur très avancé tu n'as strictement rien à faire en root ... C'est d'ailleurs pour ça que le compte est inactif sur certaines distro linux (et OSX...)

En tant que développeur, il m'arrive de me logguer en root, pour débuguer dans Xcode des trucs qui doivent tourner en root.
Il y a des exceptions.

Mais c'est vrai qu'en général il faut préférer "sudo"

ça dépend... je bosse exclusivement (via ssh) en root sur les serveurs. La raison est simple, le root ne peut pas faire de ssh. L'utilisation de sudo est proscrite car si un des admins se fait casser son mot de passe lors d'une des très nombreuses attaques ssh qu'on subit, il a l'accès root garanti.
Bref, dire que "sudo" est la manière de faire, c'est comme dire qu'un bouquin de cuisine a la seule vraie recette du couscous.

[jujuhtst]

Bref, dire que "sudo" est la manière de faire, c'est comme dire qu'un bouquin de cuisine a la seule vraie recette du couscous.

C'est des conditions bien particulières donc dire que "se loguer en root c'est bien" est une abération dans la majeure partie des cas.

Oui j'utilise moi aussi parfois su à la place de sudo mais je le fais en connaissance de cause. Le principe des droits unix est justement de ne pas être "maitre de l'univers" pour ne pas tout foutre en l'air, sinon les gens peuvent aller sur windows 98. Là on pouvait facilement tout casser ...

De plus pour le ssh, l'identification par "clef" n'est pas plus adéquate que celle par mdp ? Et comment tu fais pour bosser en root via ssh si justement le root ne peux pas s'y connecter (ce qui est le réglage de base de sshd) ?

[dulrich]

Oui j'utilise moi aussi parfois su à la place de sudo mais je le fais en connaissance de cause. Le principe des droits unix est justement de ne pas être "maitre de l'univers" pour ne pas tout foutre en l'air, sinon les gens peuvent aller sur windows 98. Là on pouvait facilement tout casser ...

Pourquoi tu casserais moins en sudo qu'en root? Les droits sont identiques, après si tu sais pas ce que tu fais ou tu ne sais pas te relire en root, tu ne sauras pas non plus en sudo.

De plus pour le ssh, l'identification par "clef" n'est pas plus adéquate que celle par mdp ? Et comment tu fais pour bosser en root via ssh si justement le root ne peux pas s'y connecter (ce qui est le réglage de base de sshd) ?

La méthode par clef a des inconvénients... tu n'es pas toujours sur ton poste de travail quand à minuit il faut régler un problème.
Pour bosser en root via ssh sur des machines qui sont configurées pour refuser une connexion root :
- tu te connectes en user
- tu "su"

[jujuhtst]

Pourquoi tu casserais moins en sudo qu'en root? Les droits sont identiques, après si tu sais pas ce que tu fais ou tu ne sais pas te relire en root, tu ne sauras pas non plus en sudo.

Je parle de se "logguer" en root. Et le sudo faut l'entrer à chaque commande (il demande le mot de passe uniquement la première fois pdt un certain temps) donc je trouve que le sudo oblige plus de vigilance que de se logguer une fois pour toute en root.

La méthode par clef a des inconvénients... tu n'es pas toujours sur ton poste de travail quand à minuit il faut régler un problème.

Je suis d'accord avec ça

Pour bosser en root via ssh sur des machines qui sont configurées pour refuser une connexion root :
- tu te connectes en user
- tu "su"

Je dirai juste :
"privilege escalation vulnerability"
Un utilisateur distant ne devrait ni pouvoir faire du "su" ni "sudo" ... (enfin il ne devrait parfois même pas pouvoir se logguer pour une sécurité correcte )

Ce message a été modifié par jujuhtst - 8 Nov 2007, 18:40.

[Cochonou]

Je parle de se "logguer" en root. Et le sudo faut l'entrer à chaque commande (il demande le mot de passe uniquement la première fois pdt un certain temps) donc je trouve que le sudo oblige plus de vigilance que de se logguer une fois pour toute en root.

Et si je tape sudo su ? Ca rentre dans quelle catégorie ?

[jujuhtst]

Et si je tape sudo su ? Ca rentre dans quelle catégorie ?

Tu le fais normalement que lorsque le compte root est désactivé (sur ubuntu et osx par ex), donc c'est se logguer en root, et c'est mal

[schlum]

Et si je tape sudo su ? Ca rentre dans quelle catégorie ?

Tu le fais normalement que lorsque le compte root est désactivé (sur ubuntu et osx par ex), donc c'est se logguer en root, et c'est mal

Est activé tu veux dire ?

[jujuhtst]

Est activé tu veux dire ?

Non désactivé justement

Cela te loggue en root

[schlum]

Ah, "sudo su", mal lu...
Bah ça sert à rien "sudo su", c'est pareil que "sudo sh"

[TitouDoc]

Réparation des autorisations pour « Mac OSX »
ATTENTION : le fichier SUID « usr/libexec/load_hdi » a été modifié et ne sera pas réparé.
ATTENTION : le fichier SUID « System/Library/PrivateFrameworks/DiskManagement.framework/Versions/A/Resources/DiskManagementTool » a été modifié et ne sera pas réparé.
ATTENTION : le fichier SUID « System/Library/PrivateFrameworks/DesktopServicesPriv.framework/Versions/A/Resources/Locum » a été modifié et ne sera pas réparé.
ATTENTION : le fichier SUID « System/Library/PrivateFrameworks/Install.framework/Versions/A/Resources/runner » a été modifié et ne sera pas réparé.
ATTENTION : le fichier SUID « System/Library/PrivateFrameworks/Admin.framework/Versions/A/Resources/readconfig » a été modifié et ne sera pas réparé.
ATTENTION : le fichier SUID « System/Library/PrivateFrameworks/Admin.framework/Versions/A/Resources/writeconfig » a été modifié et ne sera pas réparé.
ATTENTION : le fichier SUID « usr/libexec/authopen » a été modifié et ne sera pas réparé.
ATTENTION : le fichier SUID « System/Library/CoreServices/Finder.app/Contents/Resources/OwnerGroupTool » a été modifié et ne sera pas réparé.
ATTENTION : le fichier SUID « System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent » a été modifié et ne sera pas réparé.

Réparation des autorisations terminée

C'est grâve docteur ? Le système semble marcher correctement mais ça me turlupine :s

[schlum]

Ben c'est l'objet de la news hein... Il suffit de la lire, et de lire les commentaires sur ce sujet.

[TitouDoc]

La news parle de cette autorisation :

ATTENTION : le fichier SUID « System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent » a été modifié et ne sera pas réparé.

Je m'inquiètes pour les autres :s

[schlum]

Même combat...

[Ar_H]

Voilà ce que j'obtiens sur mon G4 Mirrored après une petite heure de patience…

Vérification des permissions de « LEO »
ATTENTION : le fichier SUID « usr/libexec/load_hdi » a été modifié et ne sera pas réparé.
ATTENTION : le fichier SUID « System/Library/PrivateFrameworks/DiskManagement.framework/Versions/A/Resources/DiskManagementTool » a été modifié et ne sera pas réparé.
ATTENTION : le fichier SUID « System/Library/PrivateFrameworks/DesktopServicesPriv.framework/Versions/A/Resources/Locum » a été modifié et ne sera pas réparé.
ATTENTION : le fichier SUID « System/Library/PrivateFrameworks/Install.framework/Versions/A/Resources/runner » a été modifié et ne sera pas réparé.
ATTENTION : le fichier SUID « System/Library/PrivateFrameworks/Admin.framework/Versions/A/Resources/readconfig » a été modifié et ne sera pas réparé.
ATTENTION : le fichier SUID « System/Library/PrivateFrameworks/Admin.framework/Versions/A/Resources/writeconfig » a été modifié et ne sera pas réparé.
ATTENTION : le fichier SUID « usr/libexec/authopen » a été modifié et ne sera pas réparé.
ATTENTION : le fichier SUID « System/Library/CoreServices/Finder.app/Contents/Resources/OwnerGroupTool » a été modifié et ne sera pas réparé.
ATTENTION : le fichier SUID « System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent » a été modifié et ne sera pas réparé.


Je m'inquiète ou pas tout de suite lol

Ce message a été modifié par Ar_H - 17 Jan 2008, 11:30.

[Rigodon]

Il faut comprendre "a été modifié par une mise à jour Apple et ne sera pas réparé car c'est tout à fait normal". Puis, réparer les autorisations ça ne veut rien dire, ça n'existe pas sur linux. C'est juste intéressant de constater parfois que l'installation du flash player par exemple modifie les autorisations du dossier /Library

[schlum]

Euh, y a quand même exactement la même question 2 posts au dessus

[matcauthron]

Puis, réparer les autorisations ça ne veut rien dire, ça n'existe pas sur linux.

C'est faux. Certaines distributions Linux, comme OpenSUSE, font tourner un script de vérification/réparation des permissions régulièrement. Cela permet de contrôler que certains programmes ne se retrouvent pas par erreur avec le bit SUID-root activé (par exemple wodim, anciennement cdrecord), que le sticky bit est bien présent sur /tmp, etc.

Ce message a été modifié par matcauthron - 17 Jan 2008, 16:31.