On Thu, 23 Aug 2001, Daniel Cordey wrote:
> La necessite d'ajouter les utilisateurs au groupe 'dialout' est assez
(dip dans le cas de Debian)
> maladroite, sans compter que l'utilisateur non-tres-averti n'aura pas la
> moindre idee de ce qu'il faut faire, vu l'absence totale d'un message
> clair. C'est a cause de trucs comme �a que certains finissent par revenir
> a W*...:-(
Les permissions sont un concept de base d'UNIX, quand m�me!
Le `trusted' concept de sendmail est diff�rent, car il s'applique � un
programme ex�cutable par tous, dont certains ont plus de droits que
d'autres (peuvent changer le From: sans mise en garde).
Dans le cas de programmes � usage restreint comme pppd, avec besoin de
suid, je pr�f�re que ceux qui peuvent l'ex�cuter (le groupe) soient
limit�s en nombre (en cas de bug du suid ...). Utiliser un syst�me
`trusted' rendrait le programme vuln�rable � une attaque de buffer
overflow par 100% des utilisateurs ... et ce genre de programmes, je
pr�f�re en avoir qu'un ou deux (genre: passwd et sendmail).
Dans d'autre cas, comme un programme de terminal, je pr�f�re renoncer au
suid et prot�ger le UNIX device (/dev/ttyS0).
PS: avez-vous upgrad� � sendmail 8.11.6 (exploit local) ? :->
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question. Ouais, pour se d�sabonner aussi.
