On Thu, 31 Oct 2002, Moncho Jeremy wrote: > Bonsoir a tous, > > J'aimerais savoir comment faire pour empecher a certain compte d'une > machine (en l'occurance ROOT) d'acceder au reseau lan/internet, voir > meme au modem. Comment devrais-je m'y prendre?? Tout est possible, mais pas comme �a!
Le compte ROOT � par d�finition acc�s � TOUTE la machine! En configurant la valeur de ``umask'' � 077 dans /etc/profile et /etc/skel/.bash_profile, en modifiant les attibuts du squelette /etc/skel, et enfin en modifiant les attibuts des r�pertoire utilisateurs d�j� cr��s, dans /home, tu peux t'assurer que les utilisateurs n'aurront pas acc�s aux donn�es de tiers, entre eux... Pour des raisons de s�curit�, le compte root n'est pas UTILISE. Les seuls acc�s root sont pour des installations, configurations, mises en place. Pour effectuer des t�ches de fond (daemon) ou automatiques (cron) on cr�� des ``utilisateurs'' fictifs, charg�s de t�ches pr�cise avec des acc�s correctements restreints. p. ex mail, fetchmail, fetchnews, postgres, lp, etc. sont tous des utilisateurs diff�rents n'ayant mutuellement pas acc�s aux informations des autres. Voire les man pages concernant umask, chmod, $ apropos umask chmod et les livres de r�f�rences pour administrateurs U*ix, de la ``Courte information sur le syst�me UNIX et les r�seaux t�l�informatiques'' de Marc Schaefer au ``Linux Security HOWTO'' de Kevin Fenzi & Dave Wreski, en passant par ``Le Guide du ROOTard pour Linux'' de Eric Dumas, les documentations traitant du sujet ne manquent pas... Petit gag � NE PAS FAIRE: Au pire tu peux interdire l'acc�s root en rempla�ant /bin/bash par /bin/false sur la ligne root dans /etc/passwd. (Pour avoir un acc�s root, il faudra passer en ``init 1'', voire utiliser une disquette rescue ou une autre partition de d�marrage) Pour terminer, si tes utilisateurs ne veulent pas te laisser acc�der � certaines donn�es, alors il faut les former � l'utilisation de la cryptographie et de logiciels comme gpgp et ses interfaces. $ apt-cache search pgp Ils pourront alors encrypter des fichiers et les rendre parfaitement illisible pour qui ne connait pas la phrase de passe. Attention, en cas de perte de m�moire, les documments seront irrecup�rables (en principe;-) Ou utiliser l'encryption sur des syst�mes de fichier, qui n'autoriseront le montage qu'apr�s saisie d'une phrase de passe. Cela existe, je n'utilise pas et ne connais pas d'exemples. mais il existe un moyen d'effectuer ce genre de chose avec le device ``loop''. (probablement non-standard cause probl�mes d'import-export us). Pareil, dans ce cas, la trous de m�moires ne pardonnent pas. -- F�lix Hauri - <[EMAIL PROTECTED]> - http://www.f-hauri.ch -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se d�sabonner aussi.
