Articles taggés avec ‘Sécurité’

J’ai oublié le mot de passe admin de CUPS!

24 juillet 20080 commentaire »

Il est possible d’administrer CUPS directement en passant par un navigateur web par l’adresse :
http://localhost:631/admin
En effet, il faut être sur la machine où CUPS tourne pour pouvoir y accéder à moins d’avoir modifié le fichier /etc/cups/cupsd.conf

Si vous avez oublié le mot de passe d’administration de CUPS, il est possible d’autoriser un utilisateur à administrer CUPS.
Pour cela, entrez cette commande sous ROOT :
#    lppasswd -a votreutilisateur

Vous pouvez ensuite administrer CUPS avec cet utilisateur.
Pour info, le mot de passe spécifié doit contenir au moins 6 caractères, ne peut pas contenir le nom de l’utilisateur et doit contenir au moins une lettre et un chiffre.


Source : Linux-Astuces




Désactiver Root sous Debian

14 juillet 20080 commentaire »

Pour l’administration du système, la distribution Ubuntu propose une approche originale : ne pas attribuer de mot de passe à l’utilisateur root, mais permettre à un utilisateur normal d’obtenir les privilèges d’administrateur en donnant simplement son mot de passe. Dans cet article, nous aborderons les mécanismes utilisés pour mettre en place ce système pour Debian ou, plus généralement, pour toute distribution qui ne propose pas ce système à l’origine.

L’utilisation systématique de sudo présente plusieurs avantages  comme éviter de retenir plusieurs mots de passe, en plus ce serait plus intuitif pour les débutants et on peut configurer sudo de façon plus fine que su.

Prépartation :

Dans notre cas, nous souhaitons autoriser certains utilisateurs à lancer des programmes en tant que root. Nous allons utiliser un groupe qui contiendra les utilisateurs autorisés à utiliser Sudo pour effectuer des tâches d’administration. Ubuntu utilise pour cela le groupe adm. Sous Debian, il existe un groupe nommé sudo qui me semble tout à fait indiqué. Nous allons donc simplement nous ajouter à ce groupe (remplacez mon login (tuxargon) par le vôtre …) :

#    adduser tuxargon sudo

Pour que ce changement prenne effet, vous devez quitter votre shell ou votre bureau graphique et le rouvrir.

Pratique :

Configuration :

Il faut éditer la fichier /etc/sudoers avec la commande suivante en mode root :

#    visudo

Puis il faut rajouter cette la ligne à la fin du fichier :

%sudo ALL=(root) ALL

Vous pouvez maintenant utiliser Sudo pour lancer quelconque programme, mais il faut une autre modification pour les programmes graphiques expliqués dans la prochaine étape.

Sous Gnome : gksudo :

Gksudo est un programme du bureau Gnome qui fonctionne comme une interface graphique pour Sudo : il demande le mot de passe de l’utilisateur, puis lance le programme demandé en tant que root. Sous Debian, par défaut, c’est gksu qui est utilisé et qui vous demande le mot de passe de root . Nous allons donc modifier ce comportement, pour cela, il faut au préalable fermer toutes les sessions Gnome ouvertes avec un [Ctrl]+[Alt]+[Backspace], puis dans un vrai terminal (examaple : avec [Ctrl]+[Alt]+[F1]) en tant que root, lancer la commande :

#    gconftool-2 -s --direct --config-source=xml:merged:/etc/gconf/gconf.xml.defaults -t bool /apps/gksu/sudomode true

Sous KDE : kdesu :

Sous KDE, kdesu joue un rôle analogue à gksu. Par défaut, sous Debian, il est utilisé en mode su, donc il faut également le configurer en créant (ou éditant) un fichier nommé /etc/kde3/kdesu avec par example l’éditeur nano avec la commandes suivante en root :

#   nano /etc/kde3/kdesu

Puis placer les lignes suivantes :
[super-user-command]
super-user-command=sudo

Désactiver le compte root :

Finalement, vous pouvez désactiver le compte root, pour rendre obligatoire l’utilisation de Sudo ou de ses homologues graphiques. Évidemment, la prudence vous impose de vérifier auparavant que vous pouvez bien faire toutes les tâches administratives avec Sudo…
Si vous êtes bien sûr de vous, en tant que root, vous pouvez :

  • Désactiver le compte root : passwd -l root
  • Réactiver le compte root : passwd -u root


Source : Unix-Garden




Ne pas indiquer de quel site on vient

1 juillet 20080 commentaire »

Que se passe-t-il lorsqu’on clique sur un lien?
Évidemment, on est redirigé vers la page de ce lien.

Mais quelles informations sont transmises?
Plusieurs.

Pour vous en rentre compte, regardez l’intégralité de l’en-tête HTTP en cliquant sur ce lien.

En particulier, un en-tête HTTP_REFERER indique de quel site on vient. Donc si vous cliquez sur un lien à partir de mon blog, le site sait que vous venez de mon blog.

Rien de grave, mais bon, parfois, certains sites (notamment hébergeurs d’images) banissent des sites à haut traffic. Si on indique qu’on provient d’un de ces sites, ils bloquent tout simplement l’image.

Pour configurer cela, il suffit de taper about:config dans firefox, et de changer la valeur de network.http.sendRefererHeader, qui par défaut est à 2.

Les valeurs possibles :
0 → N’envoie jamais l’en-tête referer.
1 → Envoie l’en-tête simplement lors d’un clic sur un lien, mais pas lors du chargement des images d’une page.
2 → Envoie tout le temps l’en-tête.


Source : Forum Ubuntu-fr




Y a t’il un compte root sous Ubuntu ?

28 mai 20080 commentaire »

Contairement à ce que beaucoup de gens le croient … Ubuntu possede un compte Root.
Si, si, le compte root existe. Pour vous en convaincre faites un simple :
cat /etc/passwd

En fait le compte root existe, mais possède un mot de passe vide.
Et comme les mots de passe vide ne sont pas autorisés, impossible d’utiliser le compte root pour se loguer.
Ubuntu a fait ce choix en matière de sécurité afin que le compte root ne puisse pas être utilisé pour se loguer sur l’ordinateur, aussi bien en local qu’à distance.

  • Pour accéder à un shell en root, tapez simplement dans un terminal :

sudo -i

  • Pour lancer une commande en tant que root, tapez :

sudo commande

  • Pour lancer une application graphique en tant que root, tapez :

gksudo application
Votre mot de passe vous sera demandé (vous n’entrez pas celui de root… puisqu’il n’en possède pas !)




Vulnérabilité dans l’openssl de Debian et ses dérivés, mettez vous à jour !

14 mai 20080 commentaire »

Concrètement, openssl génère notamment des clés privées et des clés publiques pour chiffrer des données. Le problème est que les clé qu’il génère sont “prévisible”, c’est-à-dire que l’on peu deviner à quoi elles vont ressembler…

En gros, il vous faut (au plus vite !) mettre le paquet à jour :

sudo apt-get update
sudo apt-get upgrade

(Si vous êtes sous Debian pas besoin de sudo) dans un terminal, et régénérer TOUTES vos clés qui ont été “atteintes” (on parle là des clés faites avec openssl, vos clés GnuPG ne sont pas touchées…) si elles ont été générées avec debian depuis septembre 2006, ou sur la version 7.04, 7.10 et 8.04 d’ubuntu (notamment). Openvpn est, entre autres, touché par le problème.

Un petit script est disponible ici pour savoir si vos clés sont vulnérables.

Notez que si vous êtes sous une autre distribution que debian et ses dérivées, vérifiez aussi que vous n’avez pas importé de clé qui sont touchées par le problème, par exemple pour l’authentification par clé sur votre serveur ssh d’un utilisateur externe…
C’est quand même fou d’avoir laissé une faille pareille depuis le 17/09/2006 …


Source [en].