[ROOT] Contourner le mot de passe ??

Contourner le mot de passe ?? [ROOT] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 03-07-2003 à 17:40:16    

je viens de lire page 19 du lea book (lre-linux.org) que si on oubliait son mdp root il suffisait de faire Ctrl+C sous Grub puis de taper single user, pour ouvrir une session root qui ne demande pas de mdp et qui permet de le changer !!
 
mais alors je ne comprends pas à quoi sert le mdp dans ce cas...
 
quelqu'un peut-il m'éclairer ??

Reply

Marsh Posté le 03-07-2003 à 17:40:16   

Reply

Marsh Posté le 03-07-2003 à 17:44:42    

si tu fait ca tu passe en mode single c'est a dire que le reseau n'est pas actif. L'ordinateur devient donc plutot limité dans ses foncitons
 
Cependant tu peux desactiver cette possibilité d'utiliser linux single si tu es dnas un environement hostile !


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 03-07-2003 à 17:50:54    

oui mais si tu changes le mdp root tu n'as plus qu'a redémarrer ensuite et te relogguer en root pour faire le fou !

Reply

Marsh Posté le 03-07-2003 à 17:53:07    

ceyquem a écrit :

je viens de lire page 19 du lea book (lre-linux.org) que si on oubliait son mdp root il suffisait de faire Ctrl+C sous Grub puis de taper single user, pour ouvrir une session root qui ne demande pas de mdp et qui permet de le changer !!
 
mais alors je ne comprends pas à quoi sert le mdp dans ce cas...
 
quelqu'un peut-il m'éclairer ??

Quelque soit l'OS, quelque soit la machine, si tu es en mesure d'y accéder physiquement, alors, cette machine n'est pas sécurisée. Et c'est ça, le fait de pouvoir la rebooter et d'être à côté à ce moment-là. Donc ça ne sert à rien de s'emmerder à cacher les choses à ce moment-là.

Reply

Marsh Posté le 03-07-2003 à 17:55:49    

oui ok mais c'est simplement que dans ce cas précis c'est simple et ca ne nécessite pas de démontage de disque ou autre

Reply

Marsh Posté le 03-07-2003 à 17:56:16    

ceyquem a écrit :

oui mais si tu changes le mdp root tu n'as plus qu'a redémarrer ensuite et te relogguer en root pour faire le fou !

Pourquoi crois-tu que les salles d'hébergement, chez UUnet ou n'importe qui d'autre, ne sont pas accessibles facilement, et qu'il faut prévenir à l'avance quand on veut intervenir physiquement sur son propre serveur ? Avec même, d'après ce qu'on m'a dit, demande de carte d'identité et tout le bazar ?
C'est la raison : une machine accessible a une sécurité NULLE.

Reply

Marsh Posté le 03-07-2003 à 17:57:51    

ceyquem a écrit :

oui ok mais c'est simplement que dans ce cas précis c'est simple et ca ne nécessite pas de démontage de disque ou autre

Et alors ? Relis bien. Ça changerait quoi si il fallait démonter le disque ? Ça serait juste une perte de temps pour l'administration, mais ça ne change rien au final. Et puis pas besoin de démonter le disque, il suffit de booter avec une Knoppix, par exemple.


Message édité par Jak le 03-07-2003 à 17:58:13
Reply

Marsh Posté le 03-07-2003 à 17:58:13    

ok ok ! je suis juste un petit peu étonné... :)

Reply

Marsh Posté le 03-07-2003 à 18:00:02    

ceyquem a écrit :

ok ok ! je suis juste un petit peu étonné... :)

Il n'y a rien d'étonnant : essaie de sécuriser une machine que tout le monde peut venir voir. Tu finiras par y interdire l'accès bien avant d'avoir tout tenter pour éviter qu'elle soit compromise.

Reply

Marsh Posté le 03-07-2003 à 18:10:46    

Pour prendre l'exemple de la mandrake ( :D ) , il me semble que si on règle le "niveau de sécurité" assez haut, il demande le mot de passe root même en mode single ! (à confirmer)

Reply

Marsh Posté le 03-07-2003 à 18:10:46   

Reply

Marsh Posté le 03-07-2003 à 18:28:32    

dc en gros tout le monde peut etre root ?  :sarcastic:

Reply

Marsh Posté le 03-07-2003 à 18:36:54    

giz a écrit :

dc en gros tout le monde peut etre root ?  :sarcastic:  

Toute personne ayant un accès physique à la machine, oui. Trouve-moi une machine dans le monde pour laquelle ce n'est pas possible, et ne reposte pas avant de l'avoir trouvée (n'importe quel OS, n'importe quel matériel). Tu n'es pas prêt de poster à nouveau :p

Reply

Marsh Posté le 03-07-2003 à 18:39:30    

Jak a écrit :

Toute personne ayant un accès physique à la machine, oui. Trouve-moi une machine dans le monde pour laquelle ce n'est pas possible, et ne reposte pas avant de l'avoir trouvée (n'importe quel OS, n'importe quel matériel). Tu n'es pas prêt de poster à nouveau :p

meme une machine ou les données sont cryptées directement avant d'etre stockée et ou il faut une passphrase pour booter ??


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 03-07-2003 à 18:40:48    

Jak a écrit :

Toute personne ayant un accès physique à la machine, oui. Trouve-moi une machine dans le monde pour laquelle ce n'est pas possible, et ne reposte pas avant de l'avoir trouvée (n'importe quel OS, n'importe quel matériel). Tu n'es pas prêt de poster à nouveau :p


 
si mdk avec haute sécurité :D
...mais alors comme disait ceyquem, je change le passe root puis je reboot puis jme log en root et je nique tout le rezo ?  [:zoumzoumzeng]


Message édité par Giz le 03-07-2003 à 18:41:13
Reply

Marsh Posté le 03-07-2003 à 18:45:39    

HuGoBioS a écrit :

meme une machine ou les données sont cryptées directement avant d'etre stockée et ou il faut une passphrase pour booter ??

Oui. avec le temps, on parviendra à déchiffrer le bidule. Mais de toutes façons, avec ce type de système, la méthode qui étonne ceyquem ne marchera pas. On en revient à un compromis avec simplicité d'utilisation et paranoïa sécuritaire.

Reply

Marsh Posté le 03-07-2003 à 18:46:36    

giz a écrit :


 
si mdk avec haute sécurité :D
...mais alors comme disait ceyquem, je change le passe root puis je reboot puis jme log en root et je nique tout le rezo ?  [:zoumzoumzeng]

Non, justement, puisque tu ne pourras pas booter comme le dit ceyquem.

Reply

Marsh Posté le 03-07-2003 à 18:47:15    

Jak a écrit :

Oui. avec le temps, on parviendra à déchiffrer le bidule. Mais de toutes façons, avec ce type de système, la méthode qui étonne ceyquem ne marchera pas. On en revient à un compromis avec simplicité d'utilisation et paranoïa sécuritaire.

[:spamafote]
Avec le temps toutes les methodes de protections que ca soit en cas d'acces physique ou a distance, sont faillibles !


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 03-07-2003 à 19:10:32    

HuGoBioS a écrit :

[:spamafote]
Avec le temps toutes les methodes de protections que ca soit en cas d'acces physique ou a distance, sont faillibles !

Sauf que si tu n'as pas accès physique à la machine, l'admin de cette machine peut changer les règles de sécurité nécessaire de façon dynamique. Alors que si tu as le disque dur de la machine que tu veux cracker sous le bras, c'est plus difficile à administrer.
 
C'est juste pour dire à Ceyquem que les accès physiques à une machine la placent dans une situation vulnérable, et qu'il n'y a pas lieu de s'étonner de la facilité apparente à passer outre le mot de passe root selon léa-linux, car cela demande en fait des accès très hautement privilégiés (on ne se rend pas forcément compte que l'on a des accès très hautement privilégiés à sa propre machine, accès nécessaires pour pouvoir installer un OS : si tu peux y installer un OS toi-même, alors, tu peux la compromettre de la même façon).

Reply

Marsh Posté le 03-07-2003 à 19:12:27    

Jak a écrit :

Sauf que si tu n'as pas accès physique à la machine, l'admin de cette machine peut changer les règles de sécurité nécessaire de façon dynamique. Alors que si tu as le disque dur de la machine que tu veux cracker sous le bras, c'est plus difficile à administrer.
 
C'est juste pour dire à Ceyquem que les accès physiques à une machine la placent dans une situation vulnérable, et qu'il n'y a pas lieu de s'étonner de la facilité apparente à passer outre le mot de passe root selon léa-linux, car cela demande en fait des accès très hautement privilégiés (on ne se rend pas forcément compte que l'on a des accès très hautement privilégiés à sa propre machine, accès nécessaires pour pouvoir installer un OS : si tu peux y installer un OS toi-même, alors, tu peux la compromettre de la même façon).

ok, je suis d'accord avec toi, j'avais pas vu les choses d'une facon aussi pointue


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 03-07-2003 à 19:15:16    

Bin oui, c'est pour ça que les entreprises ont en général des salles spécialisées, fermée à clés et sous vidéo-surveillance.
 
D'ailleurs, dans tout livre de sécu qui se respecte, un chapitre sur la sécurité physique de la machine est toujours abordé.
 
Mais en tant que particulier, si on a pas confiance en sa famille ou ses amis ( :o ), tu peux tout de même mettre un mot de passe au boot pour limiter les dégâts. Le problème c'est que là encore tu peux contourner :/


---------------
Membre du Front de Libération de Datoune | Soutenez le FLD | A Tribute To Datoune
Reply

Marsh Posté le 03-07-2003 à 19:55:32    

L'un des seuls trucs à faire, cé de crypter les données "sensibles" et de séparer physiquement les clés nécessaires à la lecture des données ... Pour ce qui est de protéger une machine entière à laquelle on peut avoir physiquement accès, ça relèvre de l'utopie sauf à employer une combinaison hard + soft spécialement dédiée et (bien) conçue à cet effet ... :o

Reply

Marsh Posté le 03-07-2003 à 22:27:32    

Jak a écrit :

Non, justement, puisque tu ne pourras pas booter comme le dit ceyquem.


 
koi jcomprends pas trop là  :heink: On change le passe, on reboot et on se log en root :/
En gros, vu qu'en université on a un accès physique aux bécanes, on démarre en single mode puis on devient root  :??:

Reply

Marsh Posté le 03-07-2003 à 22:29:30    

giz a écrit :


 
koi jcomprends pas trop là  :heink: On change le passe, on reboot et on se log en root :/
En gros, vu qu'en université on a un accès physique aux bécanes, on démarre en single mode puis on devient root  :??:  

le mode single est desactivable


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 03-07-2003 à 22:31:04    

HuGoBioS a écrit :

le mode single est desactivable


 
Et ben alors une machine physique comment est - elle vunérable ? (sans parler de la démonter pour choper le dur et tout décrypter)

Reply

Marsh Posté le 03-07-2003 à 22:57:04    

Je ne vois guère ce qu'on peut faire de plus que :
 
- configurer le bios pour interdire le boot sur disquette ou sur disque
- mettre un mot de passe au bios
- configurer le boot loader pour ne pas autoriser le mode
 
ce qui impliquerait par exemple ouvrir la machine pour transférer le disque ailleurs ou encore reset du bios,  
à moins d'une solution psychédélique comme du cryptage + une cage cadenassée + une mygale dans la cage
 
 
Rien qui ne découragerais qqn qui veut vraiment farfouiller sur la machine :/
 
=> sécurité physique avant tout :o
 
 
 

Reply

Marsh Posté le 03-07-2003 à 23:18:52    

C_Po_Ma_Faute a écrit :

Je ne vois guère ce qu'on peut faire de plus que :
 
- configurer le bios pour interdire le boot sur disquette ou sur disque
- mettre un mot de passe au bios
- configurer le boot loader pour ne pas autoriser le mode
 
ce qui impliquerait par exemple ouvrir la machine pour transférer le disque ailleurs ou encore reset du bios,  
à moins d'une solution psychédélique comme du cryptage + une cage cadenassée + une mygale dans la cage
 
 
Rien qui ne découragerais qqn qui veut vraiment farfouiller sur la machine :/
 
=> sécurité physique avant tout :o
 
 
 
 

cage de faraday + 50 0000V tout autour ?


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 03-07-2003 à 23:33:36    

Citation :


cage de faraday + 50 0000V tout autour ?

 
 
je ne suis pas sur que les composants électroniques apprécient beaucoup

Reply

Marsh Posté le 03-07-2003 à 23:38:18    

chaos0007 a écrit :

Citation :


cage de faraday + 50 0000V tout autour ?

 
 
je ne suis pas sur que les composants électroniques apprécient beaucoup

le principe de la cage de faraday c'ets de ne pas laisser entre/sortir les rayonnements electro-magnétiques il me semble ... donc .. !


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 03-07-2003 à 23:38:54    

Faire des sauvegardes en double placées dans 2 endroits sûrs physiquement éloignés. Le jour où on doit y faire appel, ça permet de s'assurer qu'elles sont encore dignes de confiance (un pti malin qui les modifie ...)!
 
Ecraser le mdp root, ça permet de s'amuser un certain temps mais ce sera détecté un jour (càd trop tard, c'est vrai) car le vrai mdp ne marche plus (enfin il me semble?).
 
En ayant un accès physique à la machine, être bourrin suffit si on veut simplement se faire passer pour elle. En connexion de type SSH, je sais pas si un client exige une réponse sécurisée d'un serveur quand celui-ci par défaut est devenu très laxiste?

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed