Pages : 1
#1 Le 13/05/2008, à 16:30
- zeugme
[sécurité] supprimer des utilisateurs par défaut
Bonjour à tous,
Je souhaites supprimer des utilisateurs par défauts
qui semblent (et c'est toute la quesrtion) ne servir à rien ...
Au minimum, j'envisage de leur doner /bin/false comme shell au lieu de /bin/sh ...
Qu'en pensez-vous ? Est-ce une bêtise ?
Note : c'est pour un serveur qui doit être le plus "secure" possible ...
Liste des utilisateurs en question :
Leur donner /bin/false au lieu de /nbin/sh :
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
man:x:6:12:man:/var/cache/man:/bin/sh (vraiment utile pour man d'avoir un user ?)
mail:x:8:8:mail:/var/mail:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh (a quoi peut bien servir celui là ?)
proxy:x:13:13:proxy:/bin:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/shSupprimer :
news:x:9:9:news:/var/spool/news:/bin/sh (pas de news sur ma bécane)
lp:x:7:7:lp:/var/spool/lpd:/bin/sh (j'ai pas d'imprimante connectée)
games:x:5:60:games:/usr/games:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh (c'est qui celui là ?)Hors ligne
#2 Le 13/05/2008, à 16:34
- Hoper
Re : [sécurité] supprimer des utilisateurs par défaut
Qu'en pensez-vous ? Est-ce une bêtise ?
Oui.
Ces comptes n'ont pas de mot de passe, tu ne peux de toute facon pas te conecter avec. Par contre, il se peut que le /bin/sh permette de lancer des démons ou d'autre trucs avec leur id (pour eviter d'utiliser root ou la ce serait beaucoup plus dangereux). Bref, a mon avis oui ce serait une erreur.
Tu as bien fait une installation serveur en installant le minimum de chose ?
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#3 Le 13/05/2008, à 17:21
- zeugme
Re : [sécurité] supprimer des utilisateurs par défaut
Qu'en pensez-vous ? Est-ce une bêtise ?
Tu as bien fait une installation serveur en installant le minimum de chose ?
Oui, oui.
Mais justement, que faire des utilisateurs news, lp, games, list, gnats sur un tel serveur ???
Même sans mot de passe, je ne vois aucune utilisé à les conserver non ?
Hors ligne
#4 Le 13/05/2008, à 17:26
- Hoper
Re : [sécurité] supprimer des utilisateurs par défaut
Bof, ils gênent pas. Au contraire ils t'indique des uid qui sont réservés.
A ta place je les laisserai tranquille. lp doit etre utilisé pour l'impression, news pour les serveur de news si un jour tu décidai de faire de ta machine un serveur NNTP., list et gnats j'en sais rien mais dans le doute, pourquoi les virer ?
Franchement tu devrai plutot te préocuper de la sécurité coté applicative... Il va servir à quoi ce serveur ? http ?
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#5 Le 13/05/2008, à 17:38
- zeugme
Re : [sécurité] supprimer des utilisateurs par défaut
Ca ne reponds pas vraiment à la question ... et je sais bien qu'il y a d'autres éléments à prendre en compte pour la sécurité. Ils sont en partie déjà opérationnel.
... mais moi, ca me fait mal de laisser des utilisateurs qui ne servent pas.
et si jamais je devais configurer un serveur de news, je verrais bien à ce moment.
Pour l'instant, cela ne sert à rien du tout du tout :-)
Donc, que se passe t-il si je virait la petite liste ?
D'autres l'on t-ils déjà fait ?
Parce que bon, un utilisateur games sur un serveur sécurisé, vraiment je vois pas ...
Dernière modification par jbb (Le 13/05/2008, à 17:38)
Hors ligne
#6 Le 13/05/2008, à 17:45
- Hoper
Re : [sécurité] supprimer des utilisateurs par défaut
Ok, disons alors que j'admet ne pas avoir les connaissances suffisantes pour te répondre, et te dire précisément "ca va faire planter ca, ca et ca".
man:x:6:12:man:/var/cache/man:/bin/sh (vraiment utile pour man d'avoir un user ?)
si il en a un, c'est qu'il doit y avoir une utilité non ? 
Par exemple le processus qui indexe les pages de man... ce serait débile que ce soit root qui le fasse je trouve.
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh (a quoi peut bien servir celui là ?)
C'est vieux... uucp veut dire unix to unix copy. Un truc qui n'est plus utilisé depuis des dizaines d'années. Mais bon, je suppose qu'il y a des normes et qu'on les respectes Enfin globalement je m'arrête la, j'ai effectivement pas assez de connaissance sur l'utilisation réelle de ces comptes pour te répondre. J'ai dit ce que j'avais a dire a savoir qu'a ta place, je les laisserai ou ils sont.
Pour info je travail dans une grosse boite ou j'ai ecris des procedures automatiques de déploiement de linux (déployés sur des centaines de machines).
Et bien oui j'ai pris le risque de virer "games" (parce que je sais que la sécurité me serait tombé dessu et m'aurait posé plein de questions 
Par contre les autres, j'ai pas touché...
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#7 Le 13/05/2008, à 18:21
- zeugme
Re : [sécurité] supprimer des utilisateurs par défaut
si il en a un, c'est qu'il doit y avoir une utilité non ?
Je pense que le danger viens justement de ce genre de considération.
Juste un exemple où nous sommes d'accord : l'utilisateur games.
Il est là par défaut et il n'à rien d'utile sur un "serveur de prod".
En conséquence, il me semble qu'il nous faut nous poser la question pour les autres
utilisateurs "louches".
Ce genre de raisonnement peut probablement passer pour du purisme, du perfectionnisme ...
Peut être finalement ... je suis mal placé pour juger ...
Ce que je me dis, c'est que les problème de sécurité résultent souvent de failles,
ou de comportement justement inattendus ou improbables, donc autant fermer le plus de portes possibles.
Je partirais donc du principe que si des utilisateurs sont inutiles, alors je dois les supprimer.
Note : j'espère que mon message ne trahit pas ma pensée, il n'y a aucun reproche dans mon message
et je te remercie pour tes réponses.
Cependant, je réitère donc ma question : quelqu'un a t-il une info sur le comportement de notre OS favoris avec ces utilisateurs louches en moins ?
Hors ligne
#8 Le 13/05/2008, à 19:40
- Hoper
Re : [sécurité] supprimer des utilisateurs par défaut
Note : j'espère que mon message ne trahit pas ma pensée, il n'y a aucun reproche dans mon message
et je te remercie pour tes réponses.
Je ne le prend pas mal du tout, au contraire, je comprend parfaitement ton mode de pensée. J'espere que quelqu'un saura te répondre, car je la lirai avec grand interet
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#9 Le 14/05/2008, à 16:53
- zeugme
Re : [sécurité] supprimer des utilisateurs par défaut
up
Hors ligne
Pages : 1