Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

Discussion fermée

#1 Le 30/01/2010, à 03:27

nokcy

Faille de sécurité importante avec sudo.

Bonsoir,


Je ne sais pas ou mettre ce post ( il manque une section "sécurité" tongue ).

Je fait crée ce fil suite a un post sur le forum debian-fr :

http://forum.debian-fr.org/viewtopic.ph … 30#p252230

Pour faire simple, avec les options par defauts de sudo apres une install fraiche d'ubuntu, lorsque vous lancer une commande avec sudo qui vous donne acces aux droits super utilisateurs, il vous demande votre mot de passe, ensuite pendant les prochaine 5min toute commande executé avec sudo ne vous redemande pas le mot de passe ! Cela signifie simplement que n'importe quel script "malicieux" peut executer tout et n'importe quoi avec la commande sudo et donc peut faire de serieux dégats sur votre systeme ....

Aller voir sur ce post du forum debian qui indique les options a rajouter dans sudoers pour évité ce genre de phénomene ( options qui, a mon sens, devrait être activé par défaut ... )


Cordialement.

Hors ligne

#2 Le 30/01/2010, à 03:35

olaf.10

Re : Faille de sécurité importante avec sudo.

Ce que tu dis est vrai. L'idéal quand on exécute une commande avec sudo c'est de faire un :

sudo -K

juste après, et là on est tranquille, il n'y a plus ces fameuses 5 min où tout peut s'exécuter sans aucune authorisation. Mais bon je pense qu'il ne faut sombrer dans la paranoia non plus... smile

Dernière modification par olaf.10 (Le 30/01/2010, à 03:37)

Hors ligne

#3 Le 30/01/2010, à 03:41

vikin

Re : Faille de sécurité importante avec sudo.

http://doc.ubuntu-fr.org/sudo?s=sudo#options

Dernière modification par vikin (Le 30/01/2010, à 03:42)

Documentation Ubuntu-fr
Pour passer un sujet en résolu : modifiez le premier message et ajoutez [Résolu] au titre.

Hors ligne

#4 Le 30/01/2010, à 05:26

nokcy

Re : Faille de sécurité importante avec sudo.

Certes, un simple ajout de timesamp_timeout=0 dans les options supprime les 5min, merci pour le liens vers la doc mais je dit pas que je ne connaissait pas les options de sudo, simplement que je trouve juste déplorable que cette options ne soit pas activer par defaut, et que sa soit a l'utilisateur de choisir de la retirer.

Sombrer dans la paranoia ? Binn si vous vouler du windows mode sur linux laisser donc les options de sudo par defaut tel qu'elle le sont actuellement, et la moitier des utilisateurs d'ubuntu qui n'ont jamais fait gaffe a sa sont vulnerable aux malware, exactement comme sous windows. Apres n'importe quel utilisateur averti modifira ces options mais on sait tous que l'interface chaise clavier a souvent ces défaut de ce coter la ^^

Apres chacun ces priorité xD

Hors ligne

#5 Le 30/01/2010, à 07:04

vikin

Re : Faille de sécurité importante avec sudo.

J'avais lu un article qui expliquait pourquoi la commande sudo restait active pendant un certain laps de temps. (15 minutes il me semble)
C'était (en gros) pour s'adapter au style de l'utilisateur visé.
il y en a déjà pas mal qui gueulent parce qu'il faut retaper le mot de passe toutes les 15 minutes et d'autres qui veulent le virer totalement, alors imagine si ils devaient le retaper après chaque commande.

Dernière modification par vikin (Le 30/01/2010, à 07:08)

Documentation Ubuntu-fr
Pour passer un sujet en résolu : modifiez le premier message et ajoutez [Résolu] au titre.

Hors ligne

#6 Le 30/01/2010, à 08:14

nokcy

Re : Faille de sécurité importante avec sudo.

Ba au moins avec ce post ils sont prevenus, faudra pas venir dire que nux c'est de la merde le jour ou ils auront fait les trizo a installer un .deb douteux recuperer on sait pas ou pour tester le gadget a la mode ...

Apres comme j'ai dis chacun ces prios tongue Moi perso j'ai choisis nux ( debian ) aussi pour son aspect securité, du coup j'oublie sudo, je passe en su quand j'ai besoin de faire les maj etc ...

Hors ligne

#7 Le 30/01/2010, à 09:54

TatrefThekiller

Re : Faille de sécurité importante avec sudo.

Il me semble que les 5 minutes sont valables par terminal, non ?
Après, je sais pas comment ça se passe avec les scripts...

Hors ligne

#8 Le 30/01/2010, à 10:25

JB-home

Re : Faille de sécurité importante avec sudo.

j'aurais aimé appliquer cette méthode mais voilà se que contient mon /ect/sudoers :

# /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
#

Defaults	env_reset

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root	ALL=(ALL) ALL

# Uncomment to allow members of group sudo to not need a password
# (Note that later entries override this, so you might need to move
# it further down)
# %sudo ALL=NOPASSWD: ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

du coup je procède comment ?

Dernière modification par zorg-green (Le 30/01/2010, à 10:26)

Hors ligne

#9 Le 30/01/2010, à 11:13

seb0uil

Re : Faille de sécurité importante avec sudo.

TatrefThekiller a écrit :

Il me semble que les 5 minutes sont valables par terminal, non ?
Après, je sais pas comment ça se passe avec les scripts...

Oui, c'est par session, donc dans un term, c'est uniquement pour celui-ci que ce laps de temps est valable.
Dans le cas d'un gksudo, en revanche, c'est pour la session X, donc si un script tourne en rond en attendant d'avoir les droits, ben dès que tu tapes ton mdp ,hop, le script dans la session X y a le droit aussi, ce qui peut lui permettre de lancer des commandes root sans que l'on en soit informer sad
Il y avait déjà eu un post sur le forum pour évoquer ce cas de figure, mais je n'arrive pas a remettre la main dessus...

Java stuff ::
tPortal.. ma petite implémentation de la JSR168
jlibParam.. pooling, paramétrage etc...

Hors ligne

#10 Le 30/01/2010, à 12:59

Floridou

Re : Faille de sécurité importante avec sudo.

Et si on fait un alias avec sudo -k ca peut pas marcher?

#11 Le 30/01/2010, à 13:10

i M@N

Re : Faille de sécurité importante avec sudo.

Hello.

zorg-green a écrit :

j'aurais aimé appliquer cette méthode mais voilà se que contient mon /etc/sudoers :

# /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
#

Defaults	env_reset

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root	ALL=(ALL) ALL

# Uncomment to allow members of group sudo to not need a password
# (Note that later entries override this, so you might need to move
# it further down)
# %sudo ALL=NOPASSWD: ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

du coup je procède comment ?

Tu commences par éditer ton fichier /ets/sudoers :
Lis ça : http://doc.ubuntu-fr.org/sudo#configuration
Puis :

sudo visudo

Puis tu ajoutes ceci sous Defaults    env_reset :

Defaults        env_reset
#Limit sudo to 0 minute
Defaults:ALL timestamp_timeout=0
#Limit sudo to current xterm
Defaults:ALL tty_tickets

@+...

Dernière modification par i M@N (Le 30/01/2010, à 13:14)

1 x Intel(R) Core i7 2600K CPU 3.4GHz Debian sid = roxX !
1 x MSi Wind U100 Debian sid = roxX !!
Read The F***in' Manual or die tryin' !
webmaster @ http://www.rastavibes.net reggae shop

Hors ligne

#12 Le 30/01/2010, à 13:19

JB-home

Re : Faille de sécurité importante avec sudo.

merci bien big_smile

Hors ligne

#13 Le 30/01/2010, à 16:19

BBG44

Re : Faille de sécurité importante avec sudo.

Et après il faut faire quoi pour enregistrer les modifications ?

i M@N a écrit :

Hello.

zorg-green a écrit :

j'aurais aimé appliquer cette méthode mais voilà se que contient mon /etc/sudoers :

# /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
#

Defaults	env_reset

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root	ALL=(ALL) ALL

# Uncomment to allow members of group sudo to not need a password
# (Note that later entries override this, so you might need to move
# it further down)
# %sudo ALL=NOPASSWD: ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

du coup je procède comment ?

Tu commences par éditer ton fichier /ets/sudoers :
Lis ça : http://doc.ubuntu-fr.org/sudo#configuration
Puis :

sudo visudo

Puis tu ajoutes ceci sous Defaults    env_reset :

Defaults        env_reset
#Limit sudo to 0 minute
Defaults:ALL timestamp_timeout=0
#Limit sudo to current xterm
Defaults:ALL tty_tickets

@+...

Hors ligne

#14 Le 30/01/2010, à 16:52

Kanor

Re : Faille de sécurité importante avec sudo.

La suite sur ce topic
http://forum.ubuntu-fr.org/viewtopic.php?id=287708&p=1
déjà bien débattu

Un blog avec du mordant
Liste de bons liens pour apprendre python et plus

Hors ligne

Pages : 1

Discussion fermée