Re: faire un paquet .deb
Le 30/08/2025 à 15:51, Marc Chantreux a écrit :
salut,
disclaimer avant de continuer:
j'espère que tu as conscience que je ne suis pas un spécialiste en
sécurité. j'ai simplement proposé une stratégie (que j'applique avec bob)
que je trouve etre un bon compromis entre facilité d'usage et réduction
de la surface d'attaque.
N’étant pas moi non plus un spécialiste en sécurité, ca m’aide a
progresser de causer ce ce sujet avec d’autres.
je pense que je le simple fait de ne pas exposer un port ssh
Oui, ca c’est acquis.
le fait de ne pas se connecter directement en root (tout ayant la
possibilité d'executer facilement des commandes en temps que root avec
doas) permet au moins 2 choses:
* ca t'évite de passer du temps avec un shell root ce qui est tjrs
dangeureux (parce que les fauses manips coutent bien plus cher en root)
OK.
* ca permet de loguer quel compte a fait un acces root. en cas de fausse
manip, je sais qui chercher.
Je comprend ca sur une machine ou y’a plusieurs utilisateurs qui font
des taches d’administration, genre un serveur maintenu par une équipe
technique.
Dans le cas de bob, c’est pas dur de trouver qui chercher : si c’est
fait par root c’est lui, si c’est fait par le compte maintenance avec
sudo c’est moi, y’a pas d’autres comptes ayant le droit de faire de
l’administration sur l’ordi.
le choix d'ubuntu c'est de mettre le compte que tu crées lors de
l'install directement en sudoer (enfin c'est ce que j'ai compris en te
lisant) et je trouve que c'est une bonne chose parce que ca évite que
les gens ouvrent une session graphique en root pour administrer leur
machine.
Il y a d’autres moyens d’empecher d’ouvrir une session graphique avec
root. Par exemple :
https://geekeries.de-labrusse.fr/?p=3534
Si on a très peur qu’une session graphique soit ouverte en root, on peut
aussi désactiver le compte root et faire un compte "administrateur",
différent du compte utilisateur de bob, et qui soit sudoer (ou doasser).
L’inconvénient que j’y vois c’est le cas ou bob autorise un ami de passage a
utiliser son ordi. Si l’écran est vérrouillé, l’ami va dire "il me demande
un mot de passe" et en général bob va le lui dire pour qu’il puisse utiliser
l’ordi.
alors je ne peux plus rien pour bob ... si bob n'en a rien a foutre de
la secu, autant le dire tout de suite mais qu'il ne vienne pas se
plaindre apres.
Quand bob est un papy qui galère pour arriver a comprendre comment on se
sert de la souris, a qui je dois faire des gros boutons sur le bureau,
un pour leboncoin, un pour sa boite mail, un pour son dossier "photos de
famille", avec qui je dois me reprendre a 5 fois pour lui faire intégrer
comment transférer des photos de son appareil photo a son ordi, je
trouve que tu es bien vache de considérer que "il se fout de la sécurité".
En faisant ca, bob ne se rend pas compte qu’il viens de donner son
mot de passe sudoer.
ah ben non! il faut avoir briefé bob sur le fait qu'on ne communique
jamais son mdp (ou alors on le change direct derrière).
C’est un vœu pieu mais dans le monde réel je constate que c’est pas
comme ca que les gens fonctionnent. Alors j’adapte les installations que
je fais pour tenir compte du fonctionnement des gens.
Si bob a 2 mots de passe, un pour sa session utilisateur et un autre
pour l’administration, il va nettement plus faire gaffe a pas donner son
mot de passe "spécial administration". Et il va aussi beaucoup plus
accepter d’avoir un mot de passe "special administration" robuste donc
long. C’est pas logique mais c’est psychologique.
Le fait d’avoir deux comptes séparés, un pour l’utilisation, un pour
l’administration, ca permet d’avoir 2 mots de passe différents.
ca rend la vie de bob plus chiante et c'est comme ca qu'il jette
l'éponge avec la secu.
Je vois pas en quoi c’est plus chiant. Un compte utilisateur avec un mot
de passe qu’il n’utilise a peu près jamais parce qu’il y a une connexion
auto et pas de vérouillage quand l’écran se met en veille, et un mot de
passe root qu’il n’utilise que quand il fait des taches d’admin c’est a
dire vraiment pas souvent, je t’assure que bob ne trouve pas ca chiant.
Variante : un mot de passe utilisateur trop simple pour etre robuste vu
qu’il doit le taper a chaque démarrage et a chaque dévérouillage
d’écran, et un mot de passe administrateur robuste donc long mais qu’il
ne tape que rarement, il ne trouve pas ca chiant non plus.
* de lui expliquer pourquoi les 2 autres commandes sont problematiques à
mes yeux
Et ben moi ca m’interesse. Est-ce que tu peux développer ?
* su c'est mal parceque tu communiques le mdp root a l'utilisateur
La je comprend pas. Si c’était un ordi public dans un point d’acces a
internet ca aurait du sens. Pour l’ordi de bob, c’est a dire en général
son ordi chez lui qu’il est le seul a utiliser, il est a la fois
l’utilisateur, l’administrateur et le propriétaire. Alors je trouve on
ne peut plus normal que bob connaisse le mot de passe administrateur et
je vois pas pourquoi il ne l’utiliserait pas. A la rigueur je peux
demander a bob l’administrateur de ne pas donner le mot de passe root a
bob l’utilisateur, mais comme c’est la meme personne je suis pas sur que
ca marche.
* sudo c'est trop gros et trop compliqué a securiser (j'ai pris
conscience du truc en faisant un challenge de securité genre root-me
ou l'idée était de réussir a contourner une configuration sudo).
Ah ok, je savais pas ca, merci de l’info.
que ca le gonfle d’avoir a taper son mot de passe a chaque fois qu’il
démarre son ordi. Et il me demande aussi de virer le verrouillage
automatique quand l’écran se met en veille pour la meme raison.
alors je dis "amen mais viens pas te plaindre le jour ou tu te fais
pourrir".
Et ben la aussi je veux bien que tu développe. Je ne me suis jamais fait
pourrir
* si ton pirate est malain et que son but est de récuperer ta machine dans
son botnet, tu ne sauras pas qu'il est rentré.
OK. En quoi le fait que bob soit obligé de taper son mot de passe très
souvent lui permet de mieux savoir qu’un petit malin est rentré ?
Je dis bien "lui permet de mieux savoir". Moi je ne le saurai que quand
il m’appelera a l’aide parce que ca marche plus.
* comme je disais: je pense que le niveau de securité evoqué ici est
bien suffisant pour protéger l'ordi de bob si bob joue le jeu
Je pense que ton "si" est très important et je pense qu’il pose vraiment
problème avec beaucoup de gens que je connais.
* je ne crois pas que qq1 en veuille à ce point à la machine de bob pour
qu'il envisage une attaque ciblée mais peut-etre que bob a oublié de
me parler de ses centrifugeuses.
Je me suis retrouvé une fois en présence d’un bob a qui j’ai dit "y’a
pas de raison que tu subisse une attaque ciblée" et il m’a répondu
aussitot "tu ne connais pas mon passé". Bon, d’accord, cet exemple est
anecdotique. Je lui ai répondu que je savais faire pour les attaques
banales mais que si il recoit des attaques ciblées c’est au dela de ma
compétence. (1)
J’ai bien remarqué que les mots de passe au démarrage et au dévérouillage
sont systématiquement les réglages par defaut dans toutes les distribs mais
j’ai jamais compris pourquoi, alors si tu peux m’expliquer ca m’interesse.
tout dépend du niveau de confiance que tu accordes aux gens autour de
toi et dans quel contexte tu utilises l'ordi. typiquement un autologin
sur une station de travail à la maison (si j'ai quand meme la
possibilité de me reconnecter en temps que "invité"), ca me va.
OK. Merci de m’avoir attiré l’attention sur l’importance de la session
invité. Je vais vérifier comment ca se passe sur les ordis que j’installe.
Ce cas est celui de 95 % des bob a qui j’installe. Je leur demande si
ils veulent un mot de passe, j’en parle avec eux et je fais en fonction
de ce qu’ils me disent. Pour les 5 % restant je leur met un mot de passe
a la connexion et au dévérouillage de l’écran.
C’est dans ces 5 % de cas qu’il est important d’avoir un mot de passe
différent pour le compte utilisateur et pour le compte root. Le mot de
passe utilisateur va très vite devenir un truc simple et rapide a taper,
le mot de passe root pourra rester long et robuste.
par contre pour un laptop ou une machine qui peut etre accessible par
des gens que je connais pas bien (genre une machine dans le salon et
des soirées ou tu connais pas tout le monde), ca te permet de te
protéger de fausse manip.
La aussi, j’en parle a bob et je lui laisse choisir si il est pret a
accepter d’avoir a taper son mot de passe très souvent pour se protéger
de cette menace ou pas. Clairement, l’immense majorité des gens choisit
de prendre le risque.
j'insiste: aucune règle n'est universelle en secu et il faut que tu
construises ta securité en fonction des scenarii d'attaque.
Exactement.
Voici la reflexion que j’ai faite :
- Pour l’immense majorité des attaques qui essayent naivement de se
connecter a l’ordi, ssh est tout fermé de l’exterieur et en plus y’a un
pare feu et fail2ban par acquis de conscience. D’ailleurs pour ces
attaques la, en général l’ordi de bob est dans un réseau privé et c’est
sa box qui se prend toutes ces attaques. Quand bob ne veut pas que je
puisse prendre la main a distance, je n’installe meme pas ssh.
- Pour les attaques qui essayent de faire des trucs en passant par un
chemin détourné (du genre pièce jointe dans un mail), l’attaquant pourra
accéder aux données de bob. Je vois pas bien ce que je peux faire pour
l’en empecher. Je ne peux que faire des choses pour éviter qu’il entre :
l’éducation de bob et faire très régulièrement les mises a jour de
sécurité pour que les failles de thunderbird (ou autre) soient corrigées
dès que possible. J’ai donc mis unattended-upgrades configuré pour faire
les mises a jour de sécurité tous les jours de facon automatique et je
ne rate pas une occasion de sensibiliser bob au problème.
Par contre j’empeche ces attaques de s’incruster dans le système en
faisant attention a ce que tous les moyens d’avoir les droits root
nécessitent un mot de passe solide, ou une clef solide. Je sensibilise
fortement bob sur ce point.
- Pour une attaque sur la boite mail de bob et non pas sur son ordi, il
est capital de bien le sensibiliser a l’importance d’un mot de passe
solide. En général bob répond "des mots de passe on en a plein, si on
doit tous les faire compliqués on s’en sort plus". Je met donc
systématiquement un gestionnaire de mots de passe dans les distribs que
j’installe et je sensibilise bob a l’interet de l’utiliser plutot que
d’avoir des mots de passe de merde ou réutiliser le meme partout.
- Pour une attaque ciblée, je ne suis pas assez compétent en sécurité
pour faire face.
- Pour un malveillant qui a accès physique a l’ordinateur de bob, je ne
peux rien faire. Le malveillant peut toujours redémarrer l’ordi sur une
clef et faire ce qu’il veut avec le contenu du disque. Ou meme prendre
un tournevis, sortir le disque dur et le brancher comme un disque
externe sur un autre ordi (si le bios est verrouillé par exemple). Je le
sais fort bien : c’est comme ca que je fais moi-meme quand je dois
dépanner un ordi qui ne boote plus. C’est certainement pas un quelconque
mot de passe ou verrouillage de l’écran qui va changer quoi que ce soit
dans ce cas d’attaque.
Face a un malveillant qui a accès physique a la machine, la seule
protection efficace est de chiffrer les partitions. Sur ce point je
laisse bob choisir. Concrètement j’en ai pas encore eu qui me demande de
lui faire une installation chiffrée mais ca pourrait arriver un jour, et
alors la oui, il y aura besoin d’un mot de passe au démarrage et je lui
mettrai un verrouillage automatique de la session et le sensibiliserai a
l’importance de verrouiller des qu’il quitte son ordi.
- Le cas que je crains le plus n’est pas une attaque. C’est le cas ou
une personne qui n’est pas malveillante a accès physique a la machine et
fait de la merde par erreur ou par ignorance.
Par exemple quelqu’un qui supprime des fichiers de bob par erreur. Ou
encore le chat de bob qui viens marcher sur le clavier et appuie sur la
touche "suppr" au mauvais moment pendant que bob travaille. Ou encore
quelqu’un plein de bonne volonté qui trouve que zoom c’est génial (ou un
autre truc de meme acabit) et qui se dit qu’il va l’installer sur l’ordi
de bob, que ca fera plaisir a bob. Alors il cherche sur internet, trouve
un paquet zoom, le télécharge et le lance. Si l’ordi ne demande pas le
mot de passe root, zoom s’installe et avec lui toutes les fonctions
d’espionnage dont on peut le suspecter.
Ce cas peut très bien se produire avec un familier de bob. Avec
quelqu’un dont bob ne se méfie pas, quelqu’un avec qui il ne prend pas
la peine de verrouiller sa session, ou quelqu’un qui a la longue finira
par savoir le mot de passe de la session utilisateur de bob. Par exemple
le fils de bob.
Dans ce cas, pour les données personnelles de bob, je ne peux rien faire
sinon sensibiliser bob. Par contre pour éviter que ne soit installé des
trucs du genre zoom, ce que je peux faire c’est un mot de passe root
solide et différent du mot de passe utilisateur de bob.
C’est pour cette raison que je n’aime pas le choix d’ubuntu : pas de
compte root et le premier compte utilisateur systématiquement sudoer, ca
fait que le meme mot de passe sert pour l’utilisateur et l’administration.
J’ai jamais vu un bob a qui j’installe prendre la peine de fermer sa session
et ouvrir la session invité pour laisser un pote de passage faire une
oui ... c'est comme ca que ma cousine a laissé ses accès à tous ses
réseaux sociaux sur la machine de bob. j'ai bien rigolé en lui
pourrissant sa timeline.
bob apprend de ses erreurs.
Exact. C’est d’ailleurs comme ca que beaucoup de mes "bob" apprennent a
faire des sauvegardes. Du genre :
- allo, ca marche plus
- attend, je regarde… bon ben c’est ton disque qui est mort, t’a fait
une sauvegarde ?
- heu non
- je vais essayer de récupérer ce que je peux mais t’a probablement tout
perdu.
J’en ai eu une dizaine comme ca rien que depuis le début de l’année.
D’ailleurs le fait d’etre dans une session invité poserait problème
pour accéder a la vidéo.
ah ? pourquoi ?
Et ben parce que quand t’es dans la session invité et que tu va dans le
dossier "videos"… surprise… il est vide.
Sur mon cheptel de "bob", combien sont capables de comprendre tout seul
qu’il faut remonter jusqu’au dossier "home", aller dans le dossier
personnel de bob et ouvrir de dossier "vidéos" de bob ? Pas beaucoup.
(1) Faut-il avoir des centrifugeuses pour etre ciblé ? Snowden nous a
révélé que la NSA fait sa surveillance ciblée avec la technique des 3
sauts. Je sais que je suis a 2 sauts de wikileaks, donc tous mes "bob"
sont a 3 sauts…
Reply to: