User nobody
Fermé
lami20j
-
3 déc. 2004 à 09:48
lami20j Messages postés 21331 Date d'inscription jeudi 4 novembre 2004 Statut Modérateur, Contributeur sécurité Dernière intervention 30 octobre 2019 - 9 janv. 2005 à 08:04
lami20j Messages postés 21331 Date d'inscription jeudi 4 novembre 2004 Statut Modérateur, Contributeur sécurité Dernière intervention 30 octobre 2019 - 9 janv. 2005 à 08:04
A voir également:
- Nobody user linux
- Linux mint 32 bits - Télécharger - Systèmes d'exploitation
- Diskinternals linux reader - Télécharger - Stockage
- Linux live usb creator - Télécharger - Outils Internet
- User account control - Guide
- Fortnite linux ✓ - Forum Ubuntu
4 réponses
Salut,
les utilisateurs ça sert à gérer les droits d'accès aux fichiers, et les droits d'exécution.
Si tu regardes /etc/passwd, tu vois par exemple:
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
messagebus:x:100:104::/var/run/dbus:/bin/false
postfix:x:101:105::/var/spool/postfix:/bin/false
gdm:x:102:109:Gnome Display Manager:/var/lib/gdm:/bin/false
cupsys:x:104:107::/:/bin/false
ftp:x:105:65534::/home/ftp:/bin/false
Donc nobody a un shell (/bin/sh), par contre son home est pipo, et on ne lui donne de droits sur aucun fichier (enfin il aura juste les droits de o, cf chmod o+r). Ca permet d'exécuter quelque chose en su nobody, sans aucune conséquence sur le reste (on récupère juste la sortie standard).
On trouve aussi des utilisateurs avec quelques droits mais /bin/false à la place du shell. Ils ne peuvent s'exécuter que par un su ftp -c commande.
Le but du jeu est de créer des utilisateurs bien ciblés et très peu privilégiés: si le démon ftp avait une faille, l'attaquant obtiendrait les droits de l'utilisateur correspondant, qui doivent être minimaux.
Après on se débrouille pour donner à ftp: les droits d'écriture sur la partie upload du ftp; la partie lecture sur le reste du ftp, c'est tout. /usr/sbin/ftpd , le démon, peut appartenir à root tant qu'il est lancé (ou passe spontanément selon son fichier de conf) en su ftp.
les utilisateurs ça sert à gérer les droits d'accès aux fichiers, et les droits d'exécution.
Si tu regardes /etc/passwd, tu vois par exemple:
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
messagebus:x:100:104::/var/run/dbus:/bin/false
postfix:x:101:105::/var/spool/postfix:/bin/false
gdm:x:102:109:Gnome Display Manager:/var/lib/gdm:/bin/false
cupsys:x:104:107::/:/bin/false
ftp:x:105:65534::/home/ftp:/bin/false
Donc nobody a un shell (/bin/sh), par contre son home est pipo, et on ne lui donne de droits sur aucun fichier (enfin il aura juste les droits de o, cf chmod o+r). Ca permet d'exécuter quelque chose en su nobody, sans aucune conséquence sur le reste (on récupère juste la sortie standard).
On trouve aussi des utilisateurs avec quelques droits mais /bin/false à la place du shell. Ils ne peuvent s'exécuter que par un su ftp -c commande.
Le but du jeu est de créer des utilisateurs bien ciblés et très peu privilégiés: si le démon ftp avait une faille, l'attaquant obtiendrait les droits de l'utilisateur correspondant, qui doivent être minimaux.
Après on se débrouille pour donner à ftp: les droits d'écriture sur la partie upload du ftp; la partie lecture sur le reste du ftp, c'est tout. /usr/sbin/ftpd , le démon, peut appartenir à root tant qu'il est lancé (ou passe spontanément selon son fichier de conf) en su ftp.
Salut,
le user nobody est un "non-privileged user". Comme le non l'indique il n'a aucun droit ( si tu regardes dans /etc/shadow il n'y a pas de mot de passe), mais néanmoins il joue un grand rôle pour le lancement de certains service (deamon).
le user nobody est un "non-privileged user". Comme le non l'indique il n'a aucun droit ( si tu regardes dans /etc/shadow il n'y a pas de mot de passe), mais néanmoins il joue un grand rôle pour le lancement de certains service (deamon).
Bonjour mex,
Je comprends, cependant je ne suis pas éclairé totalement.
Voila je te cite un passage de TCP/IP Administration réseau d'Oreilly :
pag 249 - Chapitre NFS: le système fichiers réseaux
"/pub (ro,all_squash) ( present dans /etc/exports)
..exporte le répertoire /pub en lecture seule pour chaque client. Il limite chaque utilisateur de ces clients aux permissions de tout le monde, permissions accordées à nobody, ce qui signifie que les seuls fichiers que les utilisateurs pourront lire sont ceux qui possèdent une permission en lecture pour tout le monde."
D'après moi dans ce passage il veut dire que en fait nobody il s'identifie avec o(other). Donc il a les droits de o (other).
Merci
Je comprends, cependant je ne suis pas éclairé totalement.
Voila je te cite un passage de TCP/IP Administration réseau d'Oreilly :
pag 249 - Chapitre NFS: le système fichiers réseaux
"/pub (ro,all_squash) ( present dans /etc/exports)
..exporte le répertoire /pub en lecture seule pour chaque client. Il limite chaque utilisateur de ces clients aux permissions de tout le monde, permissions accordées à nobody, ce qui signifie que les seuls fichiers que les utilisateurs pourront lire sont ceux qui possèdent une permission en lecture pour tout le monde."
D'après moi dans ce passage il veut dire que en fait nobody il s'identifie avec o(other). Donc il a les droits de o (other).
Merci
lami20j
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 569
9 janv. 2005 à 08:04
9 janv. 2005 à 08:04
Salut et merci,
maintenant je comprend mieux.
lami20j
maintenant je comprend mieux.
lami20j
9 janv. 2005 à 00:24
Et pour qu'un programme s'exécute automatiquement sous une certaine identité, on peut lui donner l'utilisateur correspondant et le mettre en suid (set user id - chmod u+s). Pareil aver sgid et le groupe. On ne doit le faire que pour des utilisateurs avec peu de droits; les programmes en suid toot sont rares (ils ont les droits de root alors qu'ils peuvent être lancés par quiconque a le droit de les exécuter) et abandonnent leurs droits le plus tôt possible.