Aller au contenu

Debian et droits d'accès dans la root ( / )


Sujets conseillés

Posté

Hello, voilà j'ai une question qui m'intrigue sous Debian :unsure:

Par défaut un simple user peut aller en root ( / ) et voir ceci sous Debian lenny:

gecko64_AT_geckonline:/$ ls -ila
total 92
2 drwxr-xr-x 21 root root 4096 2008-10-07 18:17 .
2 drwxr-xr-x 21 root root 4096 2008-10-07 18:17 ..
488641 drwxr-xr-x 2 root root 4096 2008-10-18 15:52 bin
16289 drwxr-xr-x 3 root root 4096 2008-10-15 19:27 boot
542 drwxr-xr-x 12 root root 3400 2008-10-18 06:25 dev
122161 drwxr-xr-x 66 root root 4096 2008-10-19 01:13 etc
2 drwxr-xr-x 20 root root 4096 2008-10-15 21:56 home
24434 lrwxrwxrwx 1 root root 28 2008-10-07 18:17 initrd.img -> boot/initrd.img-2.6.26-1-686
342049 drwxr-xr-x 12 root root 12288 2008-10-14 19:42 lib
11 drwx------ 2 root root 16384 2008-10-07 18:09 lost+found
561937 drwxr-xr-x 3 root root 4096 2008-10-16 19:41 media
325761 drwxr-xr-x 2 root root 4096 2008-08-05 18:17 mnt
570081 drwxr-xr-x 2 root root 4096 2008-10-07 18:13 opt
1 dr-xr-xr-x 93 root root 0 2008-10-13 03:02 proc
309473 drwxr-xr-x 3 root root 4096 2008-10-19 02:20 root
594513 drwxr-xr-x 2 root root 4096 2008-10-18 15:52 sbin
545649 drwxr-xr-x 2 root root 4096 2008-09-16 09:38 selinux
578225 drwxr-xr-x 2 root root 4096 2008-10-07 18:13 srv
1 drwxr-xr-x 11 root root 0 2008-10-13 03:02 sys
171025 drwxrwxrwt 4 root root 4096 2008-10-17 22:06 tmp
529361 drwxr-xr-x 11 root root 4096 2008-10-07 18:21 usr
553793 drwxr-xr-x 14 root root 4096 2008-10-07 18:33 var
24435 lrwxrwxrwx 1 root root 25 2008-10-07 18:17 vmlinuz -> boot/vmlinuz-2.6.26-1-686

mais ce que je trouve fort sont ces 2 lignes ci :wacko: :

 24434 lrwxrwxrwx  1 root root	28 2008-10-07 18:17 initrd.img -> boot/initrd.img-2.6.26-1-686
24435 lrwxrwxrwx 1 root root 25 2008-10-07 18:17 vmlinuz -> boot/vmlinuz-2.6.26-1-686

ou je ne comprend pas la raison de l'existence de ces 2 liens symboliques qui en plus en chmod 777 peuvent être supprimés par n'importe quel utilisateur du système?

Quelqu'un sait m'expliquer? :-/

Merci :)

Posté

Qu'un utilisateur ait accès à / est normal...

Comment veux-tu qu'il accède au reste du serveur s'il n'avait pas accès ? :whistling:

Les permissions sont donc normales !

Quant-à la suppression des liens symboliques, elle ne peut se faire que si l'utilisateur a des droits d'écriture dans le répertoire parent (donc /)

Il en va de même pour tous les fichiers, quel que soit leur type. :P

Lance "ls -ld /" et tu verras !

Dan

Posté

Ha oui en effet, j'avais pas pensé aussi que la / avait des droits d'accès O_o'

Non mais en voyant ca me suis dis oula mais oui la c'est plus clair :blush:

Sinon pour l'accès a la root, ca me faisait un peu peur pcq je deviens un peu parano sur la sécurité et bon voilà ;)

Pcq la en fait, tout le monde a accès au détail de la configuration du serveur dans le /etc :P

Posté
Pcq la en fait, tout le monde a accès au détail de la configuration du serveur dans le /etc :P

Pour avoir accès à certaines infos, il faut déjà être loggué !

Lorsque tu fais un "ls -l" sur un répertoire, il faut bien que la commande "ls" que tu exécutes ait la possibilité de lire le fichier /etc/passwd pour trouver les relations UID<-->Login. Idem pour /etc/group.

Posté

Oui ces accès la eux sont restreint dans Debian j'avais vu :)

Loggué maintenant oui car j'ai quelques compte en SSH pour des amis sur mon serveur perso donc voilà :P

Posté

Normalement le fait que la configuration soit visible ne devrait pas poser de problème de sécurité. Et au contraire comme le dit Dan c'est parfois nécessaire au bon fonctionnement du système.

Après si tu veux tout cacher aux personnes qui se loggent sur ta machine il y a diverses solutions, comme le "chroot".

Posté

Oui j'ai pensé aussi au chroot mais ca me fait un peu peur de me dire que si un utilisateur veut par exemple lancer un binaire et que le chroot l'en empêche pour un souci d'accès...

N'ayant pas encore touché à ca, je suis un peu inquiet de savoir si ca va poser souci ou non...

Enfin je verrai bien en faisant des essais ;)

Merci :)

Posté

Oui un chroot est toujours délicat/chiant à mettre en place : le principe c'est que l'utilisateur n'a plus accès à rien (du moins uniquement au dossier que tu indiques), et c'est à toi de recopier tout ce dont il est susceptible d'avoir besoin.

Rien qu'avec PHP il y a des dizaines à de librairies à prévoir ; il y a bien des outils pour aider à préparer la prison (jail) mais ça reste assez pénible à faire (à mon goût).

Posté

Bha en même temps ce sont des amis de confiance donc je crois que je vais continuer a tourner comme je fais pour le moment ;)

Au mieux, voir ma configuration peut les aider a réaliser la leur :P

Je les ai pour beaucoup converti a Debian :whistling:

Posté

Si ça peut te rassurer même sur un système faisant de l'hébergement gratuit, sans safe mode, je n'utilise pas de chroot.

Le chroot je le réserve à applications posant vraiment problème (comme bind par le passé) ou des systèmes vraiment exposés.

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...