Re: Permissions de /sbin /usr/sbin

To: debian-french@lists.debian.org
Subject: Re: Permissions de /sbin /usr/sbin
From: Francois BOTTIN <fbottin@yahoo.com>
Date: Tue, 30 Jan 2001 02:26:56 -0800 (PST)
Message-id: <[🔎] 20010130102656.34018.qmail@web11203.mail.yahoo.com>

--- Michel Grentzinger <micgrentz@free.fr> wrote:
> Bonjour à tous,
> 
> Il y a un petit truc qui me gène sans doute parce qu'il me manque un
> bout de l'histoire pour comprendre : c'est à propos de la sécurité
> concernant les permissions.
> 
> Sous un utilisateur normal, je peux accéder à la commande liloconfig par
> exemple, qui se trouve sous /usr/sbin. Le répertoire /usr/sbin possède
> les droits 755 et appartient à root/root. Pour liloconfig, c'est
> également 755 et root/root. Première question : est-ce normal après une
> installation toute fraiche (je n'ai rien changé moi-même) ?

Tant que liloconfig ne dévoile pas d'information critique (mot de passe
...) et ne permet pas à l'utilisateur lambda de modifier le système
(/etc/lilo.conf est chez moi en 600 root/root), je ne vois pas trop où est
le problème. C'est juste que la commande n'a aucun effet pour un
utilisateur non administrateur.
> 
> Il me semble que ce genre de permissions soient monnaie courante sur mon
> système : un utilisateur avec les droits basiques (il n'est pas dans le
> groupe root) peut lancer la majorité des utilitaires sous /sbin et
> /usr/sbin exceptés ceux qui font une vérification "interne" de
> l'utilisateur (commande halt par exemple). N'est-ce pas un défaut de
> sécurité ? Faut-il vraiment y remédier ?

Justement, les utilitaires potentiellement dangereux _doivent_ de toutes
façons vérifier que l'utilisateur qui les appelle a le droit de le faire.
Il serait très dangereux de ne s'appuyer que sur les droits du fichier,
une erreur de manipulation étant toujours possible ...
En fait, il faut voir les outils placés dans /**/sbin comme utiles à
l'administrateur. Je vois personnellement ces répertoires comme une
extension des /**/bin dans le PATH par défaut. Mais ce n'est pas pour
autant qu'ils lui sont réservés. Par exemple, sur mon portable, je fais
toujours un /sbin/ifconfig sans argument quand je le branche sur un
nouveau réseau, simplement pour voir si DHCP ou autres ont fonctionné. De
même, il est souvent question de traceroute qui est dans /sbin. Etant un
outil de diagnostique, il a tout à fait sa place dans /sbin. Mais son
utilisation n'est pas réservée à l'administrateur, qui est parfois (si pas
trop bête) bien content qu'un utilisateur lui dise <<ça bloque à cet
endroit>> ...
> 
> Merci de vos réponses.

J'espère que celles-ci n'ont pas trop compliqué la situation ;-)
> 
> --
> Michel Grentzinger
> 
    François.


=====
Francois BOTTIN
--
    "How kind," the PFY sighs. "But where will I go?" 
    "Somewhere where they know nothing about computing... where they wouldn't know a RAM chip from a potato chip!" 
    "But I don't want to visit Microsoft!" he whines.
              The BOFH 1998 - Simon Travaglia (bofh.ntk.net)

__________________________________________________
Get personalized email addresses from Yahoo! Mail - only $35 
a year!  http://personal.mail.yahoo.com/

Reply to:

Follow-Ups:
- Re: Permissions de /sbin /usr/sbin
  - From: Michel Grentzinger <micgrentz@free.fr>

Prev by Date: Re: Perl et gettext [était Francais]
Next by Date: Re: Netscape/Squid/Apache : HTTP/1.0 ???
Previous by thread: Re: Permissions de /sbin /usr/sbin
Next by thread: Re: Permissions de /sbin /usr/sbin
Index(es):
- Date
- Thread