Re: Installation Debian

To: debian-french@lists.debian.org
Subject: Re: Installation Debian
From: Marc Lefranc <mlefranc@libertysurf.fr>
Date: 21 Dec 2000 08:06:05 +0100
Message-id: <[🔎] p6rsnnijlsy.fsf@socrate.mon-domaine>
In-reply-to: Alexandre Vitrac's message of "Wed, 20 Dec 2000 15:13:30 +0100"
References: <[🔎] p6rg0jkrv20.fsf@socrate.mon-domaine> <[🔎] ILECIIEDPJMKLDHAHPJEAEGACGAA.skklists@bigfoot.com> <[🔎] 20001220151330.C575@basilic.ceng.cea.fr>

On Wed, 20 Dec 2000 15:13:30 +0100, 
Alexandre Vitrac <vitrac@basilic.ceng.cea.fr> wrote :

> On Wednesday 20 December 2000 14:52 +0100, Sami Dalouche wrote:
> > 
> > > La solution du chmod 666 est affreuse même sous Red Hat, puisqu'en
> > > principe l'utilisateur connecté à la console obtient automatiquement
> > > (avec pam_console) les permissions qui vont bien sur les périphériques
> > > type son, disques amovibles, etc...

> > C'est quoi exactement cette solution ? ya-til un endroit ou je
> 
> Il s'agit d'une solution qui est aussi utilisable avec Debian.
> 
> Le principe, c'est d'accorder aux utilisateurs connectés sur la
> machine même (et pas par le réseau), une appartenance à des groupes
> supplémentaires. Ainsi, il est possible d'autoriser le son, l'accès à
> certains périphériques, etc... aux utilisateurs qui sont directement
> sur la machine, sachant qu'ils n'ont pas ces droits quand ils se
> connectent depuis le réseau.

On y croirait presque tellement c'est bien dit :-) Malheureusement,
la réalité est que l'utilisateur devient propriétaire du périphérique
le temps où il occupe la console. Par exemple :

1072 $ ll /dev/fd0
brw-rw----    1 lefranc  floppy     2,   0 Aug 24 11:00 /dev/fd0

C'est d'ailleurs une solution classique qui est utilisée sur plusieurs
autres Unix il me semble (OSF1 ? Comme j'utilise peu les cartes son et
les disquettes sur les stations de calcul, je ne sais plus). Et sûre
par rapport à l'utilisation des groupes, puisqu'il ne reste aucune
trace dans le système de fichier après utilisation. Enfin, en principe
(Dominique Rousseau me signale en privé que ce n'est pas toujours le
cas. Quant à moi, jamais eu de problème).

> 
> Le problème, c'est qu'une fois qu'un utilisateur s'est vu accorder
> l'appartenance à un groupe, il peut se créer un petit shell setgid le
> groupe en question, et à partir de là, son droit est acquis ad vitam
> eternam...  Donc cette méthode n'est pas considérée comme secure.

Quelle bonne blague... C'est Debian qui utilise des groupes, et ce que
tu décris fort justement est donc le problème de la Debian, pas de la
Red Hat.

Ce qui me rappelle que j'avais promis à Martin Q. d'écrire un petit
paragraphe sur ls précautions à prendre lorsque l'on sortait quelqu'un
d'un groupe (recherche et destruction des setgid etc...).

Marc

Reply to:

References:
- Re: Installation Debian
  - From: Marc Lefranc <mlefranc@libertysurf.fr>
- RE: Installation Debian
  - From: "Sami Dalouche" <skklists@bigfoot.com>
- Re: Installation Debian
  - From: Alexandre Vitrac <vitrac@basilic.ceng.cea.fr>

Prev by Date: Re: Installation Debian
Next by Date: Utilite de zope
Previous by thread: Re: Installation Debian
Next by thread: Re: Installation Debian [Etait Un Livre Debian [Etait "Le Clavier Français"]]
Index(es):
- Date
- Thread