A voir également:
- User nobody linux
- Linux reader - Télécharger - Stockage
- User account control - Guide
- Toutou linux - Télécharger - Systèmes d'exploitation
- Backtrack linux - Télécharger - Sécurité
- R-linux - Télécharger - Sauvegarde
4 réponses
Salut,
les utilisateurs ça sert à gérer les droits d'accès aux fichiers, et les droits d'exécution.
Si tu regardes /etc/passwd, tu vois par exemple:
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
messagebus:x:100:104::/var/run/dbus:/bin/false
postfix:x:101:105::/var/spool/postfix:/bin/false
gdm:x:102:109:Gnome Display Manager:/var/lib/gdm:/bin/false
cupsys:x:104:107::/:/bin/false
ftp:x:105:65534::/home/ftp:/bin/false
Donc nobody a un shell (/bin/sh), par contre son home est pipo, et on ne lui donne de droits sur aucun fichier (enfin il aura juste les droits de o, cf chmod o+r). Ca permet d'exécuter quelque chose en su nobody, sans aucune conséquence sur le reste (on récupère juste la sortie standard).
On trouve aussi des utilisateurs avec quelques droits mais /bin/false à la place du shell. Ils ne peuvent s'exécuter que par un su ftp -c commande.
Le but du jeu est de créer des utilisateurs bien ciblés et très peu privilégiés: si le démon ftp avait une faille, l'attaquant obtiendrait les droits de l'utilisateur correspondant, qui doivent être minimaux.
Après on se débrouille pour donner à ftp: les droits d'écriture sur la partie upload du ftp; la partie lecture sur le reste du ftp, c'est tout. /usr/sbin/ftpd , le démon, peut appartenir à root tant qu'il est lancé (ou passe spontanément selon son fichier de conf) en su ftp.
les utilisateurs ça sert à gérer les droits d'accès aux fichiers, et les droits d'exécution.
Si tu regardes /etc/passwd, tu vois par exemple:
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
messagebus:x:100:104::/var/run/dbus:/bin/false
postfix:x:101:105::/var/spool/postfix:/bin/false
gdm:x:102:109:Gnome Display Manager:/var/lib/gdm:/bin/false
cupsys:x:104:107::/:/bin/false
ftp:x:105:65534::/home/ftp:/bin/false
Donc nobody a un shell (/bin/sh), par contre son home est pipo, et on ne lui donne de droits sur aucun fichier (enfin il aura juste les droits de o, cf chmod o+r). Ca permet d'exécuter quelque chose en su nobody, sans aucune conséquence sur le reste (on récupère juste la sortie standard).
On trouve aussi des utilisateurs avec quelques droits mais /bin/false à la place du shell. Ils ne peuvent s'exécuter que par un su ftp -c commande.
Le but du jeu est de créer des utilisateurs bien ciblés et très peu privilégiés: si le démon ftp avait une faille, l'attaquant obtiendrait les droits de l'utilisateur correspondant, qui doivent être minimaux.
Après on se débrouille pour donner à ftp: les droits d'écriture sur la partie upload du ftp; la partie lecture sur le reste du ftp, c'est tout. /usr/sbin/ftpd , le démon, peut appartenir à root tant qu'il est lancé (ou passe spontanément selon son fichier de conf) en su ftp.
Salut,
le user nobody est un "non-privileged user". Comme le non l'indique il n'a aucun droit ( si tu regardes dans /etc/shadow il n'y a pas de mot de passe), mais néanmoins il joue un grand rôle pour le lancement de certains service (deamon).
le user nobody est un "non-privileged user". Comme le non l'indique il n'a aucun droit ( si tu regardes dans /etc/shadow il n'y a pas de mot de passe), mais néanmoins il joue un grand rôle pour le lancement de certains service (deamon).
Bonjour mex,
Je comprends, cependant je ne suis pas éclairé totalement.
Voila je te cite un passage de TCP/IP Administration réseau d'Oreilly :
pag 249 - Chapitre NFS: le système fichiers réseaux
"/pub (ro,all_squash) ( present dans /etc/exports)
..exporte le répertoire /pub en lecture seule pour chaque client. Il limite chaque utilisateur de ces clients aux permissions de tout le monde, permissions accordées à nobody, ce qui signifie que les seuls fichiers que les utilisateurs pourront lire sont ceux qui possèdent une permission en lecture pour tout le monde."
D'après moi dans ce passage il veut dire que en fait nobody il s'identifie avec o(other). Donc il a les droits de o (other).
Merci
Je comprends, cependant je ne suis pas éclairé totalement.
Voila je te cite un passage de TCP/IP Administration réseau d'Oreilly :
pag 249 - Chapitre NFS: le système fichiers réseaux
"/pub (ro,all_squash) ( present dans /etc/exports)
..exporte le répertoire /pub en lecture seule pour chaque client. Il limite chaque utilisateur de ces clients aux permissions de tout le monde, permissions accordées à nobody, ce qui signifie que les seuls fichiers que les utilisateurs pourront lire sont ceux qui possèdent une permission en lecture pour tout le monde."
D'après moi dans ce passage il veut dire que en fait nobody il s'identifie avec o(other). Donc il a les droits de o (other).
Merci
Et pour qu'un programme s'exécute automatiquement sous une certaine identité, on peut lui donner l'utilisateur correspondant et le mettre en suid (set user id - chmod u+s). Pareil aver sgid et le groupe. On ne doit le faire que pour des utilisateurs avec peu de droits; les programmes en suid toot sont rares (ils ont les droits de root alors qu'ils peuvent être lancés par quiconque a le droit de les exécuter) et abandonnent leurs droits le plus tôt possible.