> > Pourquoi sous Debian-Sarge, la complexité du mot de passe n'est exigée que > > pour les users > > mais pas pour le compte root ? > > Le contraire ou les deux aurait été plus logique ... > Pour obtenir un compte root, il "suffit" d'utiliser une faille et > d'injecter un shell-code. > Root n'est pas censé travailler sur une machine, sauf exceptions. Donc > il sera plus judicieux de capturer/cracker le mot de passe d'un > utilisateur pour pouvoir profiter des failles utilisables localement. Si > ma mémoire est bonne, c'est ce qui est arrivé aux serveurs Debian > l'année dernière (ou il y a deux ans ? Le temps passe tellement vite...) **** je comprends .
mais on aurait pu exiger la complexité sur tous les comptes dont root :-) antoine