Re: sudo et with--tty-tickets [posté aussi sur user]
Yves-Alexis Perez cor...@debian.org wrote: Désolé pour les sous-titres. Quitte à mettre des sous-titres, autant que ce soit les bons : Si tu exécutes un script d'une source non trustée sous un compte avec des droits élargis (sudo ou autre) sans à minima lire le script au préalable et prendre des précautions, alors tu mérites qu'il t'arrive quelque chose (de préférence un objet lourd et contondant à forte vélocité, pour te passer l'envie de recommencer). JB. -- Julien BLACHE - Debian GNU/Linux Developer - jbla...@debian.org Public key available on http://www.jblache.org - KeyID: F5D6 5169 GPG Fingerprint : 935A 79F1 C8B3 3521 FD62 7CC7 CD61 4FD7 F5D6 5169 -- To UNSUBSCRIBE, email to debian-devel-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo et with--tty-tickets [posté aussi sur user]
(désolé de casser le fil, je ne suis pas abonné et ne vois les réponses que par l'intermédiaire des archives). Bon, je ne tiens pas à faire une polémique quelconque sur un problème dont finalement je me moque. Seulement juste une remarque: Quitte à mettre des sous-titres, autant que ce soit les bons : Si tu exécutes un script d'une source non trustée sous un compte avec des droits élargis (sudo ou autre) sans à minima lire le script au préalable et prendre des précautions, alors tu mérites qu'il t'arrive quelque chose (de préférence un objet lourd et contondant à forte vélocité, pour te passer l'envie de recommencer). De même il est important qu'un enfant se prenne une bagnole dans la tronche si il ne regarde pas en traversant, ça lui apprend vite fait le code de la route. Il n'est pas forcément question d'un script lancé volontairement. Je pensais juste à un script lancé par une applet java silencieuse dans une page Web. Si l'option tty_tickets n'est pas installé, ce script fonctionnera si la personne utilise la configuration standard type Ubuntu (que je répreouve), on se retrouve devant un problème identique au machine Windows. Bien évidemment il n'y a que des crétins pour naviguer avec java d'activé, ça mérite un deuxièmle objet lourd et contondant dans la tronche. .. «C'est bien fait pour leur gueule quand on est incompétent on n'utilise pas un ordinateur» semble être l'opinion majoritaire même si une simple configuration par défaut peut considérablement limiter les dégats. Ok, je m'incline. Que les novices se débrouillent. François Boisson (qui arrête tout débat, ça n'est pas son but et il des coups à donner dans la tronche des élèves qui ont fait des erreurs dans les copies qu'il corrige). -- To UNSUBSCRIBE, email to debian-devel-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo et with--tty-tickets [posté aussi sur user]
Justeune précision tout de même pour cette configuration si horrible: Elle est indiquée telle que dans le manuel de référence de Debian http://www.debian.org/doc/manuals/debian-reference/ch01.fr.html#_sudo_configuration Cordialement François Boisson -- To UNSUBSCRIBE, email to debian-devel-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
sudo et with--tty-tickets [posté aussi sur user]
Je viens de découvrir que le sudo de debian (sur squeeze) est compilé SANS l'option --with-tty-tickets et configuré par défaut avec un timestamp de 15 minutues. Cela signifie que si on fait un sudo sur un xterm par exemple, un script exécuté de manière quelconque comportant un sudo silencieux obtiendrait les droits (test fait) sans avoir à fournir de mot de passe. Avec l'option, seul un sudo fait dans la même «console» (même tty ou même fenêtre xterm) se voit dispensé de fournir ce mot de passe, un sudo dans une autre fenêtre se voit demandé le mot de passe. Cela veut dire qu'une utilisation à la Ubuntu de sudo rend la machine fragile et sensible à n'importe quel script exécuté sans faire attention comme sous windows. Pour résoudre ce problème il suffit de refaire les paquets sudo en activant cette option (cf http://forum.debian-fr.org/viewtopic.php?p=252230#p252230 ) J'ai fait des paquets pour squeeze si cela intéresse des gens (cf lien) Mais pourquoi diable cette option a-t-elle été supprimée de la configuration par défaut alors qu'elle me parait un élément basique de sécurité? François Boisson (qui n'utilise de toute façon pas sudo mais tout de même...) -- To UNSUBSCRIBE, email to debian-devel-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo et with--tty-tickets [posté aussi sur user]
Le Fri, 29 Jan 2010 17:10:21 +0100 Mike Hommey m...@glandium.org a écrit: Au hasard, parce que la configuration par défaut demande un mot de passe à chaque fois, et que si quelqu'un modifie les sudoers pour changer ça, il devrait aussi activer tty_tickets (man sudoers). Pas vraiment, la configuration par défaut instaure un timestamp de 15mn (vérifié par test). Par ailleurs, il est vrai que je n'avais pas vu que c'était activable en configurant sudoers, c'est bizarre du coup d'en faire une option de compilation sur le ./configure). Merci de la réponse François Boisson PS: Je ne suis pas abonné à la liste, merci du CC -- To UNSUBSCRIBE, email to debian-devel-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo et with--tty-tickets [posté aussi sur user]
François Boisson user.anti-s...@maison.homelinux.net wrote: Cela veut dire qu'une utilisation à la Ubuntu de sudo rend la machine fragile et sensible à n'importe quel script exécuté sans faire attention comme sous windows. Tu as très bien identifié le problème, tu sais donc parfaitement quoi faire pour le résoudre. JB. -- Julien BLACHE - Debian GNU/Linux Developer - jbla...@debian.org Public key available on http://www.jblache.org - KeyID: F5D6 5169 GPG Fingerprint : 935A 79F1 C8B3 3521 FD62 7CC7 CD61 4FD7 F5D6 5169 -- To UNSUBSCRIBE, email to debian-devel-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org