[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS] Petit truc sympa et pratique

Le vendredi 14 jan 2005 à 16 h 56, François a dit:

> Le 12797ième jour après Epoch,
> dlist@bluewin.ch écrivait:
> 
> > Le vendredi 14 jan 2005 à 08 h 45, pascal a dit:
> >
> >> dlist a écrit :
> >> > Bonjour.
> >> Salut !
> >
> > re.
> >
> >> 
> >> 
> >> > 1) je me connecte chez Michel via ssh:
> >> > 	
> >> > $ ssh -l root Michou ---> je suis dans /root sur Michou.
> >> Michel ne devrait pas autoriser les connexions sous root via ssh
> >!
> >
> > je vais poser une question peut-être naïve ou bête, mais comme
> > disait Lao Tseu (ou était-ce Sarkosy?...), seules les questions
> > non posées sont bêtes; mais en quoi est-ce mauvais d'autoriser une
> > connexion root via ssh? J'entends que ssh est pour Secure Shell,
> > les données transmises sont cryptées non?
> 
> Une des raisons est qu'il est possible de rentrer dans une machine
> par la force brute. Dans ce cas, le cryptage n'y fait rien.

je peux aussi casser une fenêtre, booter sur une knoppix, chroot, ..
enfin vous connaissez l'histoire..

> 
> Perso, j'autorise l'accès root par ssh, uniquement parce que ma
> machine n'accepte pas les connections par mot de passe. Uniquement
> par échange de clef.
> 
> > ça fait beaucoup de lignes de codes à vérifier et qui le fait?
> 
> Tout le monde, justement. Dans la mesure où le code est ouvert (en
> plus, il est libre!!!) il est possible à tout un chacun de regarder
> le code et d'y découvrir du code nocif.


Tout le monde? qui a les compétences nécessaires? combien de personnes
sur cette terre ont le temps pour ça, sinon quelques black hats,
Linux, Andrew et quelque autres?

il faut que je retrouve cette article, avant je tenais le même
discours que toi.. je pars à la recherche 

> 
> Il est beaucoup plus facile de mettre du code nocif dans un produit
> à code fermé. Le DRM en est un bon exemple. (Si si, c'est nocif le
> DRM).

l'argument était qu'il était beaucoup plus sûr de mettre le code entre
quelques mains (contrôlées) seulement que de le laisser ouvert à
tous... à méditer (je ne suis pas encore convaincu)

> 
> > suis pas développeur, mais j'imagine que quelqu'un de bien futé
> > peut très bien dissimuler du code "nocif" par-ci par-là, sans
> > qu'une expertise poussée puisse le découvrir... non?
> 
> Non. En plus, si le mec qui a fait ça se fait choper par des
> développeurs GNU/Linux, il va avoir du mouron à se faire, le pauvre.

soit, et je serais le premier à lui faire un étranglement bien senti
(je pratique le sambo), mais comment le choper le pauvre? Imaginons
qu'il soit payé par une grosse agence genre NSA, ou par un groupe tel
Al-Quaida, qui ira lui tirer les oreilles? Imagines même que Linus
...ok je lis trop. ;)


> 
> > Pourtant tout le monde prend l'avion par exemple..
> 
> L'avion est l'un des moyens de transports les plus fiables. Je dis
> ça, mais je prends pas l'avion, moi ;)

c'est ce que disent les stats, mais t'as vu la gueule des gens dans un
avion (non puisque tu n'en prends pas, tu devrais c'est instructif
;) et pratique aussi pour les longues distances)? Ils ne sont pas si
sûrs que cela sur le moment.. et très heureux d'atterrir. 

> 
> > les connaissances que j'ai faite sur le net m'ont donné après
> > quelques jours leur mot de passe root pour que je puisse les
> > aider; n'est-ce pas là (la confiance) un risque bien plus grand
> > que l'utilisation de ssh?
> 
> Clairement. Ça se nomme 'social engineering' ;) ... C'est à l'heure
> actuelle la façon la plus efficace pour pirater des systèmes !

absolument! un peu de gentillesse, un soupçon d'intimidation,  et hop,
le mot de passe root.. si facile que ça en devient ridicule. Mais
j'apprécie quand même que les gens puissent faire confiance, tout
n'est pas perdu!
Reply to: