Re: Password vide

トップ ページ

このメッセージに返信
著者: Olivier Allard-Jacquin
日付:  
To: Guilde Linux
題目: Re: Password vide
> marrant ;-)
>
> Tu déplaces le problème sur le compte root... à quoi sert de ne pouvoir
> casser le password de cet utilisateur si tu peux casser celui de root ?


    Simplement à limiter le nombre de mots de passes sensibles qu'il y a 
sur ma machine : Elle a de des Go de disques durs, mais moi je n'ai 
qu'une petite mémoire... :=)


    Blague à part, je veux à la fois :
- avoir plusieurs comptes pour des travaux spécifiques : exécution de 
services sous un compte spécial ou dans un chroot, ou compilation de 
softs. Par exemple, tout les softs que je télécharge et compile sous 
forme de tgz sont compilés dans le /usr/local/, avec un utilisateur 
particulier (appelons-le "toto"). Cela permet que, dans le cas où le 
"configure" ou le "make" fassent une boulette ou installent une 
backdoor, au moins ce n'est pas fait avec les droits root !! Enfin, mon 
utilisateur courant peut lancé ces softs du /usr/local/, sans pour 
autant avoir droit de les modifier, ce qui assure l'intégrité de ces 
programmes.
- d'un autre coté, comme j'ai besoin de me logger sous ces identités 
pour faire différents travaux (dans la cas de "toto", c'est pour faire 
de la compilation), il faut que je me souvienne de leurs mots de passes.
Mais étant donné que ce sont des comptes que je n'utilise pas 
systématiquement, j'ai tendance à les oublier... Et hors de question 
d'utiliser des mots de passes facile à se souvenir (genre "toto1" ou 
"otot", etc...) : Ces utilisateurs ayant des shells valides, je n'ai pas 
envie que l'on se logge dessus, pour ensuite lancer un exploit local...


    Bref, le but est d'avoir plusieurs de comptes pour répartir au mieux 
les droits d'accès (ie : diviser pour mieux régner), sans pour autant 
devoir gérer un grand nombre de mots de passes.


    Si il faut passer par un login en root pour accéder à ces comptes, 
c'est très bien, car cela ne me fait plus que 2 mots de passes (root + 
login habituel) à me souvenir. Quand à utiliser la force brut pour 
attaquer ces mots de passe, je pense que même JohnTheRipper aura du 
mal... :=)


> Je ne comprends pas bien la démarche... si ce n'est pour l'exercice de
> style (au demeurant très intéressant ;-))


<humour>
    Et si, suite à ma conférence de Juillet sur la sécurité informatique, 
on se pose la question de "est-ce que j'ai changé mon mot de passe root, 
après en avoir tapé la moitié sur un écran de 10 mètres carré devant 75 
personnes ?", la réponse est évidement oui ! :=)
</humour>


                    Olivier