Gecko64 Posté 19 Octobre 2008 Posté 19 Octobre 2008 Hello, voilà j'ai une question qui m'intrigue sous Debian Par défaut un simple user peut aller en root ( / ) et voir ceci sous Debian lenny: gecko64_AT_geckonline:/$ ls -ilatotal 92 2 drwxr-xr-x 21 root root 4096 2008-10-07 18:17 . 2 drwxr-xr-x 21 root root 4096 2008-10-07 18:17 ..488641 drwxr-xr-x 2 root root 4096 2008-10-18 15:52 bin 16289 drwxr-xr-x 3 root root 4096 2008-10-15 19:27 boot 542 drwxr-xr-x 12 root root 3400 2008-10-18 06:25 dev122161 drwxr-xr-x 66 root root 4096 2008-10-19 01:13 etc 2 drwxr-xr-x 20 root root 4096 2008-10-15 21:56 home 24434 lrwxrwxrwx 1 root root 28 2008-10-07 18:17 initrd.img -> boot/initrd.img-2.6.26-1-686342049 drwxr-xr-x 12 root root 12288 2008-10-14 19:42 lib 11 drwx------ 2 root root 16384 2008-10-07 18:09 lost+found561937 drwxr-xr-x 3 root root 4096 2008-10-16 19:41 media325761 drwxr-xr-x 2 root root 4096 2008-08-05 18:17 mnt570081 drwxr-xr-x 2 root root 4096 2008-10-07 18:13 opt 1 dr-xr-xr-x 93 root root 0 2008-10-13 03:02 proc309473 drwxr-xr-x 3 root root 4096 2008-10-19 02:20 root594513 drwxr-xr-x 2 root root 4096 2008-10-18 15:52 sbin545649 drwxr-xr-x 2 root root 4096 2008-09-16 09:38 selinux578225 drwxr-xr-x 2 root root 4096 2008-10-07 18:13 srv 1 drwxr-xr-x 11 root root 0 2008-10-13 03:02 sys171025 drwxrwxrwt 4 root root 4096 2008-10-17 22:06 tmp529361 drwxr-xr-x 11 root root 4096 2008-10-07 18:21 usr553793 drwxr-xr-x 14 root root 4096 2008-10-07 18:33 var 24435 lrwxrwxrwx 1 root root 25 2008-10-07 18:17 vmlinuz -> boot/vmlinuz-2.6.26-1-686 mais ce que je trouve fort sont ces 2 lignes ci : 24434 lrwxrwxrwx 1 root root 28 2008-10-07 18:17 initrd.img -> boot/initrd.img-2.6.26-1-686 24435 lrwxrwxrwx 1 root root 25 2008-10-07 18:17 vmlinuz -> boot/vmlinuz-2.6.26-1-686 ou je ne comprend pas la raison de l'existence de ces 2 liens symboliques qui en plus en chmod 777 peuvent être supprimés par n'importe quel utilisateur du système? Quelqu'un sait m'expliquer? :-/ Merci
Dan Posté 19 Octobre 2008 Posté 19 Octobre 2008 Qu'un utilisateur ait accès à / est normal... Comment veux-tu qu'il accède au reste du serveur s'il n'avait pas accès ? Les permissions sont donc normales ! Quant-à la suppression des liens symboliques, elle ne peut se faire que si l'utilisateur a des droits d'écriture dans le répertoire parent (donc /) Il en va de même pour tous les fichiers, quel que soit leur type. Lance "ls -ld /" et tu verras ! Dan
Gecko64 Posté 19 Octobre 2008 Auteur Posté 19 Octobre 2008 Ha oui en effet, j'avais pas pensé aussi que la / avait des droits d'accès O_o' Non mais en voyant ca me suis dis oula mais oui la c'est plus clair Sinon pour l'accès a la root, ca me faisait un peu peur pcq je deviens un peu parano sur la sécurité et bon voilà Pcq la en fait, tout le monde a accès au détail de la configuration du serveur dans le /etc
Dan Posté 20 Octobre 2008 Posté 20 Octobre 2008 Pcq la en fait, tout le monde a accès au détail de la configuration du serveur dans le /etc Pour avoir accès à certaines infos, il faut déjà être loggué ! Lorsque tu fais un "ls -l" sur un répertoire, il faut bien que la commande "ls" que tu exécutes ait la possibilité de lire le fichier /etc/passwd pour trouver les relations UID<-->Login. Idem pour /etc/group.
Gecko64 Posté 20 Octobre 2008 Auteur Posté 20 Octobre 2008 Oui ces accès la eux sont restreint dans Debian j'avais vu Loggué maintenant oui car j'ai quelques compte en SSH pour des amis sur mon serveur perso donc voilà
Kioob Posté 20 Octobre 2008 Posté 20 Octobre 2008 Normalement le fait que la configuration soit visible ne devrait pas poser de problème de sécurité. Et au contraire comme le dit Dan c'est parfois nécessaire au bon fonctionnement du système. Après si tu veux tout cacher aux personnes qui se loggent sur ta machine il y a diverses solutions, comme le "chroot".
Gecko64 Posté 20 Octobre 2008 Auteur Posté 20 Octobre 2008 Oui j'ai pensé aussi au chroot mais ca me fait un peu peur de me dire que si un utilisateur veut par exemple lancer un binaire et que le chroot l'en empêche pour un souci d'accès... N'ayant pas encore touché à ca, je suis un peu inquiet de savoir si ca va poser souci ou non... Enfin je verrai bien en faisant des essais Merci
Kioob Posté 20 Octobre 2008 Posté 20 Octobre 2008 Oui un chroot est toujours délicat/chiant à mettre en place : le principe c'est que l'utilisateur n'a plus accès à rien (du moins uniquement au dossier que tu indiques), et c'est à toi de recopier tout ce dont il est susceptible d'avoir besoin. Rien qu'avec PHP il y a des dizaines à de librairies à prévoir ; il y a bien des outils pour aider à préparer la prison (jail) mais ça reste assez pénible à faire (à mon goût).
Gecko64 Posté 20 Octobre 2008 Auteur Posté 20 Octobre 2008 Bha en même temps ce sont des amis de confiance donc je crois que je vais continuer a tourner comme je fais pour le moment Au mieux, voir ma configuration peut les aider a réaliser la leur Je les ai pour beaucoup converti a Debian
Kioob Posté 20 Octobre 2008 Posté 20 Octobre 2008 Si ça peut te rassurer même sur un système faisant de l'hébergement gratuit, sans safe mode, je n'utilise pas de chroot. Le chroot je le réserve à applications posant vraiment problème (comme bind par le passé) ou des systèmes vraiment exposés.
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant