De plus, pour protéger le mot de passe root, si c'est vraiment crucial
pour vous, utilisez une authentification forte (rfid, bluetooth, clé
usb, empreinte digitale, etc...).
Perso, j'utilise mon téléphone portable, via bluetooth. Je dois au
préalable connecter mon téléphone à mon ordinateur pour m'authentifier.
Cette méthode n'est pas sans risque évidemment (suffit de changer
quelques fichiers dans pam et hop, ou de spoofer l'adresse mac de mon
téléphone, qui est écrite dans /etc/security/bluescan.conf).
[mode aventurier on]
Après il est possible de déloger ces fichiers de configuration sur une
clé usb, et de mettre un script pour les utiliser au plug de la clé
(j'en avais fait un comme ca, on attend le plug d'une clé usb avec un
numéro de série précis, quand elle est insérée, on la monte, et on fait
un lien symbolique de /etc/security/bluescan.conf par exemple, vers
celui qui est sur la clé. Quand on enleve la clé, hop, plus de soucis.)
[mode aventurier off]
Par contre pour un serveur, la protection de l'accès physique est
vraiment cruciale, indispensable, obligatoire et tout ce que vous
voulez, donc le problème de la partition crypter se pose moins. On se
soucis surtout des accès distants.
François Boisson a écrit :
Le Sun, 26 Apr 2009 22:15:59 +0200
François Cerbelle <franc...@cerbelle.net> a écrit:
Sinon, c'est tout simple (sans forcément tuer quelqu'un). Il suffit de
ne pas avoir de mot de passe pour root, comme proposé dans
l'installation "expert". Seuls les utilisateurs déclarés dans sudoers
peuvent lancer des commandes (choisies) en tant que root (pourquoi pas
un shell avec 'sudo -i').
Charlie pourra toujours le modifier, tu pourras toujours te connecter...
Pas vraiment, les méthodes permettant de modifier le mot de passe root
permettent aussi de mettre un mot de passe root (et de modifier celui d'un
utilisateur). Un accès physique à une machine permet de tout faire.
François Boisson
--
--
|
.:: Alfred Sawaya ::.
|
--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org