Ubuntu-fr

jofab

Re : Sudo et la sécurité?

cela dit avec gksudo comment fait on pour se déconnecter ?

Une fermeture de session suffit non ?

Je ne ferme pas ma session apres chaque gksudo ?!
en fait ce que je demande c'est l'equivalent sudo -K mais pour l'interface graphique...

Ok, je vais essayer, un de ces soirs, de te faire un petit prog. Cela dit tu as script en debut de la discution..

Je vois que l'on ne se comprend pas ! Je ne dit pas que la façon dont est utilisé sudo sous Ubuntu est bonne mais que ce n'est pas une faille mais un choix.
Les programmes en début ou que tu pourrais faire montrerons que l'on peut prendre les droits root par l'intermédiaire de sudo  mais montrerons que ces programmes doivent etre installer par ma pomme et que donc il faut qu'il y est faille en amont ! c'est pourquoi je dit que ce n'est pas une faille mais un problème de sécurité (comme par exemple le fait d'activer ou pas un parefeu par defaut)

On discute sur des termes mais s'il faut exploiter une faille pour prendre le controle d'un ordi pour toi c'est une faille, s'il faut en exploiter plusieurs, seul la premiere est une faille ?!
Si tu preferes regarde ton ordi comme une ville fortifier avec deux niveaux de fortification. La faille sudo est une faille qui permet de passer du niveau 1 au niveau 2, c'est une breche dans la seconde muraille. Effectivement, pour pouvoir l'exploiter il faut trouver une breche dans la premiere...
C'est un choix de laisser une porte ouverte, c'est une faille si l'on croie que la porte est fermee alors qu'elle est ouverte et c'est precisement ce qui se passe ici...
Dans tout les cas, sur un systeme unix, pouvoir prendre les privilèges root sans y avoir ete invité est clairement une faille. Ca peut aussi etre la porte ouverte au dev de virus (car la restriction des utilisateurs freinnent considérablement la propagation... mais si le virus peut devenir root, alors la, la propagation est differente - ce qui veut dire aussi pouvoir sniffer les paquets rezo, chopper les mdp en clair sur les protocoles tel que pop...).

philarmonie

Re : Sudo et la sécurité?

Je ne ferme pas ma session apres chaque gksudo ?!
en fait ce que je demande c'est l'equivalent sudo -K mais pour l'interface graphique...

dans le fond ça ne changerai pas grand chose vu le peu de temps qu'il faudrait au script pour s'exécuter s'il est déjà présent en état d'attente.
Est une faille d'avoir un système qui utilise sudo avec un temps non nul et qui donne l'accès root à un utilisateur pour toutes les commandes (i.e configuration par défaut de Ubuntu).

alexduf

Re : Sudo et la sécurité?

Donc pour résumer, si le gksudo n'attribuait les droit qu'au processus qui en a besoin et non à toute la session graphique, le problème ne se poserait pas ?
Est-ce possible ? Parce que j'imagine que si c'est codé comme ça, il doit y avoir une contrainte. Si oui laquelle ?

AlexandreP

Re : Sudo et la sécurité?

Donc pour résumer, si le gksudo n'attribuait les droit qu'au processus qui en a besoin et non à toute la session graphique, le problème ne se poserait pas ?
Est-ce possible ? Parce que j'imagine que si c'est codé comme ça, il doit y avoir une contrainte. Si oui laquelle ?

gksudo, tout comme sudo, exécute bien un seul processus comme étant exécuté par root. Il ne transforme pas tout l'environnement comme appartenant à root. Par exemple, si j'exécute gksudo synaptic puis 30 secondes plus tard j'exécute firefox, on remarque que Synaptic a été exécuté par root, mais que Firefox a bien été exécuté par l'utilisateur.

Le problème est que gksudo ne redemande pas de mot de passe dans les 15 minutes suivant l'exécution d'une commande par gksudo. Ce qui permet à un script d'exécuter une commande gksudo <commande> sans qu'aucune confirmation soit demandée. Donc, de faire exécuter un nouveau processus par root. Il est là, le problème : un processus exécuté par un utilisateur peut arbitrairement faire exécuter une commande par gksudo pour faire exécuter par root un nouveau processus, pourvu que ce premier processus utilisateur exécute gksudo dans les 15 minutes suivant la confirmation qu'une action exécutée par gksudo.

---

«La capacité d'apprendre est un don; La faculté d'apprendre est un talent; La volonté d'apprendre est un choix.» -Frank Herbert
93,8% des gens sont capables d'inventer des statistiques sans fournir d'études à l'appui.

®om

Re : Sudo et la sécurité?

Ça donne quoi le bug report sur launchpad à ce sujet? Du nouveau?

---

®om's blog

philarmonie

Re : Sudo et la sécurité?

Ça donne quoi le bug report sur launchpad à ce sujet? Du nouveau?

Aucune idée, comme le rapport n'est pas public je ne sais pas si on peut avoir des infos de suivi

Au sujet du débat qu'on a eu pour savoir si c'était une faille ou un choix de sécurité.
http://www.vnunet.fr/news/faille_de_windows_7_la_reponse_de_microsoft-2030038
Un chercheur en sécurité a révélé une faille de sécurité dans Windows 7, et l'article ci-dessus parle de la réaction de microsoft. On y lit entre autre

Il n’y a qu’un seul moyen de modifier ce niveau sans en informer l’utilisateur, et ceci passe par un code malveillant déjà introduit dans le système
Et pour qu’un code malveillant se soit introduit, il faut une autre faille (ou que l’utilisateur donne explicitement son consentement).

ce à quoi le chercheur répond

L’argument de Microsoft est entièrement fondé sur l’utilisateur, ce que j’accepte dans une certaine mesure : ils doivent au préalable télécharger et exécuter  une application malveillante. Mais n’oublions pas que dans le cas d’une application avec des privilèges faibles, l’utilisateur ne reçoit aucun avertissement d’aucune sorte.
Comment une application avec des privilèges faibles pourrait-elle désactiver la totalité de la couche de sécurité s’il ne s’agit pas d’une faille de sécurité ?

Donc, à en croire ce chercheur, il qualifierai l'utilisation de sudo par Ubuntu de 'faille de sécurité'

®om

Re : Sudo et la sécurité?

Ça donne quoi le bug report sur launchpad à ce sujet? Du nouveau?

Aucune idée, comme le rapport n'est pas public je ne sais pas si on peut avoir des infos de suivi

Ce serait bien de faire un rapport de bug public non?

Car ce n'est pas comme si on avait la faille + l'exploit, prêt à utiliser, c'est plutôt une question de conception du modèle de sécurité, non?

D'autant plus qu'on en parle sur ce forum, avec ce post vu plus de 2500 fois, donc niveau confidentialité…

---

®om's blog

jofab

Re : Sudo et la sécurité?

Ce serait bien de faire un rapport de bug public non?

S'il y a deja un rapport, on ne peut pas doubler le rapport...
Mais c'est vrai que ca serait bien d'y avoir access (pour éventuellement le compléter...). A ce propos j'ai fait un petit prog en c comme PoC. Si l'equipe d'Ubuntu pense comme Microsoft que ce type de comportement n'est pas une faille, je veux bien l'ajouter au rapport de bug pour les convaincre du contraire...  Un script ca peut encore se voir assez vite mais un code natif, on peut le cacher dans n'importe quelle application...

ps : Pouvez vous me dire précisement sur quel site on fait ce type de rapports pour ubuntu ?
c'est sur https://launchpad.net/ubuntu/+filebug/+login ?

alexduf

Re : Sudo et la sécurité?

par curiosité il ressemble à quoi ton code en c ?
Tu fais appel à une commande système depuis le programme ?

philarmonie

Re : Sudo et la sécurité?

Tu fais appel à une commande système depuis le programme ?

sans doute, pour faire un proof of concept il faut lancer un 'sudo ma_commande' dans une boucle sans fin, après peu importe le langage utilisé pour le faire.

@ jofab: https://bugs.launchpad.net/ubuntu/+filebug pour déposer une notification de bug

@ Rom: j'avais demandé au début que ce sujet soit supprimé (pour suivre la politique de Canonical au niveau de la mise en évidence de faille), mais l'équipe d'ubuntu.fr a considéré qu'une telle discussion devrait rester ouverte et librement accessible. Je comprend ce choix, d'autant qu'on explique au fil des discussions comment se protéger du problème.

Edit:
Pour ceux que ça intéresse, un rapport de bug très bien détaillé sur le fonctionnement de sudo et certaines de ses fonctionnalités pas forcément appréciable:
https://bugs.launchpad.net/ubuntu/+source/sudo/+bug/87023

Dernière modification par philarmonie (Le 05/02/2009, à 19:24)

jofab

Re : Sudo et la sécurité?

Tu fais appel à une commande système depuis le programme ?

sans doute, pour faire un proof of concept il faut lancer un 'sudo ma_commande' dans une boucle sans fin, après peu importe le langage utilisé pour le faire.

oui, la seule chose c'est qu'il faut veuiller a ce que la demande de password n'apparaisse pas dans le cas ou l'on n'est pas dans la fenetre des 15 min et que sudo ne bloque pas (justement en attenandant ce password...)

@ jofab: https://bugs.launchpad.net/ubuntu/+filebug pour déposer une notification de bug

Merci

@ Rom: j'avais demandé au début que ce sujet soit supprimé (pour suivre la politique de Canonical au niveau de la mise en évidence de faille), mais l'équipe d'ubuntu.fr a considéré qu'une telle discussion devrait rester ouverte et librement accessible. Je comprend ce choix, d'autant qu'on explique au fil des discussions comment se protéger du problème.

Edit:
Pour ceux que ça intéresse, un rapport de bug très bien détaillé sur le fonctionnement de sudo et certaines de ses fonctionnalités pas forcément appréciable:
https://bugs.launchpad.net/ubuntu/+source/sudo/+bug/87023

Pourquoi, ce rapport, qui est noté "Security vulnerability", est il public ?

utodeb

Re : Sudo et la sécurité?

Ca en est où cette histoire ? Pas de nouvelle du rapport de bug ?

++

---

Smile today tomorrow will be worse
Simple comme Ubuntu n°2 10.04 LTS

Link31

Re : Sudo et la sécurité?

Pourquoi, ce rapport, qui est noté "Security vulnerability", est il public ?

Toi, tu es nouveau dans le logiciel libre, non ?

utodeb

Re : Sudo et la sécurité?

Je crois qu'il demande cela parce celui qu'il a fait est justement pas visible.

++

---

Smile today tomorrow will be worse
Simple comme Ubuntu n°2 10.04 LTS

jofab

Re : Sudo et la sécurité?

Bien oui, je ne comprends pas pourquoi celui qui a ete fait concernant le bug releve lors de cette discution ne l'est pas...

alexduf

Re : Sudo et la sécurité?

Peut-être parce qu'il y a un proof of concept avec ? ou peut-être justement parce qu'il fait doublon ?

Enfin je dis ça, mais en fait j'ai aucune idée de comment sont gérés les bugs / failles et autre. (en pleine période de bug jam, je devrais avoir honte)

strider

Re : Sudo et la sécurité?

Sinon il y a aussi la possibilité d'utiliser ninja (apt-get install ninja) avec une whitelist pour appréhender le problème.
Testez ninja sans créer de whitelist (donc avec les réglages par défaut) vous verrez c'est assez efficace ^^
Pour faire ça, c'est simple, il faut lancer la commande ninja puis essayer de lancer une commande avec sudo (et je dit bien essayer =p )
Je suppose qu'il y a moyen d'interfacer simplement ninja avec libnotify pour afficher un message du type "Le programme <xyz> demande les droits administrateurs, voulez vous l'ajouter a la liste des programmes autorisés ? "

Enfin bon, personnellement, je me sens pas vraiment concerné par ce problème et le fait que sudo accorde les droits root a n'importe quel executable qui a le même processus parent ne me gène pas vraiment.
Et je ne vais pas supprimer le minuteur de 15 minutes non plus, j'ose même pas imaginer la galère quand on doit lancer plusieurs commandes avec les droits root a la suite. Pour dire, sudo est un des premiers programmes que j'installe quand j'utilise une distribution qui ne le livre pas par défaut ^^

Et le coup de l'admin qui vient faire un truc sur la machine pour laisser un sudo actif pendant les 15 minutes suivantes c'est pas crédible. Un vrai admin, il viens pas t'embêter sur ton poste de travail, il se logue en ssh ^^

philarmonie

Re : Sudo et la sécurité?

Enfin bon, personnellement, je me sens pas vraiment concerné par ce problème et le fait que sudo accorde les droits root a n'importe quel executable qui a le même processus parent ne me gène pas vraiment.

bah oui ça c'est normal, mais c'est pas le problème ici

Et je ne vais pas supprimer le minuteur de 15 minutes non plus, j'ose même pas imaginer la galère quand on doit lancer plusieurs commandes avec les droits root a la suite.

sudo -s

Link31

Re : Sudo et la sécurité?

Et je ne vais pas supprimer le minuteur de 15 minutes non plus, j'ose même pas imaginer la galère quand on doit lancer plusieurs commandes avec les droits root a la suite.

sudo -s

su -

philarmonie

Re : Sudo et la sécurité?

su -

oui mais c'est pas possible par défaut sous une distribution comme Ubuntu, le compte root n'a pas de mot de passe donc on ne peut pas se loguer dessus.
bon après c'est sûr que si on modifie le timing par défaut de sudo, on peut bien aussi rajouter un mot de passe au compte root

Dernière modification par philarmonie (Le 23/02/2009, à 02:24)

strider

Re : Sudo et la sécurité?

oui je connais sudo -s

ah oui et j'oubliais le principal en fait.
Le vrai problème réside reste dans le fait que l'ont puisse exécuter du code sans mon autorisation que ce soit en root ou pas.
Les données auxquelles je tiens sont modifiable par un utilisateur non-root. Je me fous pas mal de devoir réinstaller mon système si je doit le faire, ce qui compte vraiment ce sont mes données personnelles.
Quand j'avais une carte graphique cassée qui freezait mon système et qui m'obligeait a le réinstaller je me foutais pas mal de mon système, je le réinstallait c'est tout.
Mes données personnelles c'est bien plus grave, et je n'ai pas forcément des sauvegardes de tout.
Je part du principe que notre vie c'est de la donnée et qu'on a de plus en plus tendance a stocker nos données de manière numérique(pour notre plus grand confort).
Le système c'est pas notre vie, c'est juste des paquets qui sont récupérable sur le dépot de notre distribution.
Bref, que l'ont puisse modifier mon /bin c'est vraiment un moindre mal par rapport au fait qu'on puisse modifier mon /home.
Et puis un virus pour se propager (car c'est la définition d'un virus), n'a pas besoin des droits root, il peut très bien accéder au réseau avec les droits utilisateurs et atteindre d'autres machines avec la même faille qui a permis l'infection.
Alors oui un script lancé en tache de fond permet de toucher au système quand on exécute gksudo, et alors ?
C'est le fait qu'un script soit lancé en tache de fond sans mon autorisation le problème, pas l'escalade des privilèges !
Heureusement ce sont ces failles la qui sont corrigées quand on fait un apt-get upgrade, donc oui je me sens a l'aise avec mon sudo valide pendant 15 minutes.

philarmonie

Re : Sudo et la sécurité?

euh là tu me fais peur
que l'important ce soit les données et pas le système, là je te suis, un système ça prend pas trop de temps à réinstaller
mais tu penses qu'un programme malveillant si il obtient les droits root il va juste s'amuser à détruire ton système? c'est rarement, même très rarement, ce que fait un virus sous windows.
Par contre pour installer un trojan qui peut servir à t'espionner, utiliser ton pc comme un point de contrôle pour un pirate qui veut lancer des attaques de dénis de service... sans les droits root il peut le faire en "one-shot" tant que tu ne t'es pas déloguer, avec les droits root il peut s'installer et demander à être lancé à chaque démarrage
Tu vois la différence?

Dernière modification par philarmonie (Le 23/02/2009, à 02:43)

Link31

Re : Sudo et la sécurité?

+1

Un virus qui n'a que les droits utilisateur, c'est très facile de l'éradiquer (suppression puis re-création d'un utilisateur). Par contre, un virus qui a obtenu les droits root est quasi-impossible à déloger.

Que préférerais-tu, en cas d'attaque par un malware ? Avoir à supprimer/recréer un dossier /home (ça se fait en moins de 5 minutes) ?
Ou avoir à réinstaller tout ton système (ainsi que tous les systèmes en multi-boot que le virus aurait pu infecter), voire formater tout ton disque dur (car le virus, avec les droits root, aurait pu se répliquer n'importe où sur le disque, même hors de l'espace partitionné), changer tous tes mots de passe (si le virus était muni d'un keylogger, qu'il aurait pu installer grâce aux droits root)...

Dernière modification par Link31 (Le 23/02/2009, à 04:01)

Mathieu147

Re : Sudo et la sécurité?

Un virus sans droits root peut être lancé à chaque démarrage de la session de l'utilisateur infecté si il le désire. Il suffit d'aller écrire un bête fichier texte dans ~/.config/autostart si c'est un utilisateur de Gnome, ou se recopier dans ~/.kde/Autostart pour un utilisateur de KDE (et pour les autres DE il doit y avoir un truc similaire).

→ http://www.geekzone.co.nz/foobar/6229

---

Pffff…

lawl

Re : Sudo et la sécurité?

Avoir à supprimer/recréer un dossier /home (ça se fait en moins de 5 minutes) ?

Sans hésiter reinstaller le système !
Parce que je sais pas si tu te rend compte mais le home c'est la que vont mettre leur document les utilisateurs et donc oui je préfère réinstaller un système que de devoir dire à un utilisateur que j'ai perdu ses photos....