Re: intrusion par ssh

[Nicolas Evrard <nicoe@altern.org>]

* Yves Rutschle  [21:11 23/03/05 CET]: 
> On Wed, Mar 23, 2005 at 06:42:41PM +0100, Nicolas Evrard wrote:
> > Chez moi, la seule commande accessible via sudo est "apt-get" comme ça
> > je n'ai pas à changer d'utilisateur quand je fais une mise à jour.
>
> Tu ferais aussi bien de ne pas mettre de mot de passe sur
> root alors: Si j'arrive à m'introduire sous ton identité,
> il me suffit de créer un fichier de configuration à passer à
> apt-get (option -c), qui spécifie une source de paquets que
> je contrôle. Je peux alors installer ce que je veux sur ta
> machine, y compris une version de su(1) qui ne demande pas
> de mots de passe.
>
> Si j'ai la flemme, je peux juste démolir ton système en
> desinstallant tout.

Tout à fait. Je ne prétend pas être un as de la sécurité, ni a
fortiori que ma configuration soit très sécurisée. Mais il faut faire
la juste balance entre sécurité et commodité. C'est pourquoi je disais
qu'un sudo bien configuré permet cette balance, surtout si comme c'est
le cas chez moi (enfin je l'espère, je fais tout pour en tout cas),
les services ouverts vers l'extérieurs sont réduit au minimum (ssh
(identification par échange de clés), apache en proxy pour cherrypy et
ntp).

--
(°>  Nicolas Évrard
/ )  Liège - Belgique
^^