Daniel Cordey wrote:
>
> On Thursday 23 August 2001 10:35, Marc SCHAEFER wrote:
> >
> > Les permissions sont un concept de base d'UNIX, quand m�me!
>
> Loin de moi l'idee de le remettre en question. Je trouve simplement ch...
> de devoir ajouter les utilisateurs de mon systeme a un groupe particulier
> simplement parcequ'il veulent etablir une connection Internet. Si j'avais
> une conncetion permanente je n'aurais pas besoin de le faire ! C'est l�
> que le bas blesse... ce n'est pas logique.
Si c'est logique. En effet, les utilisateurs d'une liaison permanente
peuvent certes l'utiliser sans permission sp�ciale, mais ils ne peuvent
pas non plus l'�tablir ou la modifier sans permission.
Il me semble d'ailleurs que c'est la m�me chose avec une liaison par pppd.
Une fois lanc�e, tous les utilisateurs peuvent l'utiliser, non ?
> De plus, si je dois encore
> utiliser d'autres logiciels de ce genre, je vais me trouver dans
> l'obligation de rajouter mes utilisateurs a autant de groupes qu'ils y a
> d'application de ce genre !
Mais sur un syst�me classique, il y a des utilisateurs comme 'httpd' ou
'nobody' qui ne devraient effectivement pas �tablir une connexion.
> Au lieu de cela, nous avons le risque que l'utilisateur lambda, qui vient
> de W*, finisse par se loguer en root parceque plein d'application ne
> tournent pas en tant qu'utilisateur autre que root... Comme quoi, certains
> dogmes peuvent nous mener a la derision :-)
Tout � fait, il y a l� un risque certain.
Mais je suppose que les distributions tr�s grand public commencent �
offrir des interfaces utilisateurs int�gr�es et compl�tes, non ?
> Chacun de mes enfants a un compte sur l'ordinateur ainsi que la
> possibilite d'acceder a Internet. En quoi le fait de mettre 6755 sur pppd
> ou de les rajouter dans le groupe va-t-il changer la possibilite d'etre
> victime d'un "buffer Overflow"...
Il me semble que si tu as un serveur Web tournant en utilisateur 'httpd',
alors si quelqu'un prend possession de ton serveur Web � cause d'une
vuln�rabilit� dedans, il pourra en plus devenir 'root' au lieu de 'httpd'
si tu as des logiciels SUID root ex�cutables par 'httpd'.
> Non, comme tu le dis tres justement, je
> ne vois pas pourquoi il faudrait que pppd tourne avec le SUID, surtout si
> c'est simplement pour pouvoir faire l'open de /dev/ttyS0 qui est en 660 !
Une protection utile et r�aliste offertes par les permissions Unix
classiques et celle contre les sites payant offrant des logiciels d'acc�s
'gratuit' mais par un num�ro de t�l�phone genre 156...
Sur Windows les enfants risquent de pouvoir installer et utiliser un
tel logiciel. Sur un Unix bien prot�g� non.
Marc Mongenet
PS : Merci � Marc Schaefer dont la r�ponse a largement �clair� mon
argumentation.
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question. Ouais, pour se d�sabonner aussi.
