Bonjour à tous,
Je voulais discuter d’un sujet crucial concernant la sécurité sous Debian et, plus largement, sur les systèmes Linux : les élévations de privilèges et les erreurs de sécurité courantes qui peuvent compromettre un système.
Les attaques par élévation de privilèges se produisent lorsque des utilisateurs malveillants ou des programmes mal configurés réussissent à obtenir des droits d’administrateur (root) sur un système, ce qui leur permet d’accéder à des ressources sensibles ou d'exécuter des actions malveillantes. Par exemple, des erreurs dans les permissions de fichiers, des services mal configurés ou des failles dans les applications peuvent ouvrir la voie à ce genre de cyber-attaque.
Une des erreurs courantes sur Debian est la gestion incorrecte des permissions sur les fichiers et répertoires sensibles. Si des permissions trop larges sont accordées à des fichiers comme ceux liés à sudo ou des fichiers de configuration système, cela peut faciliter l'exploitation de failles. De plus, l'utilisation de comptes par défaut (comme root ou des comptes sans mot de passe fort) est un autre piège fréquent.
Ne connaissant pas encore très bien les systèmes debian je voulais en apprendre un peu + afin de rédiger un article sur mon blog : https://0xhack.fr
Quelles sont vos pratiques de sécurité pour éviter ces erreurs ??
Élévations de privilèges et erreurs de sécurité courantes sur Debian
- piratebab
- Site Admin
- Messages : 5565
- Inscription : 24 avr. 2016, 18:41
- Localisation : sud ouest
- Status : Hors-ligne
Quel que soit le système, la plus grosse faille de sécurité exploitée reste l'humain.
en ce qui concerne debian, la meilleure pratique est de respecter les règles établies par les dev debian, de n'installer des logiciels que depuis les dépôts officiels, , et ne pas appliquer des "astuces vues sur internet. Si on respecte ça, on évite une grande partie des problèmes.
Certes, un dev debian peut faire une erreur, mais elle sera généralement rapidement détectée et corrigée.
En ce qui concerne sudo, je suis fortement opposé à son utilisation généralisée. sudo ne doit être utilisé que pour déléguer des droits partiels à une ensemble limité d'utilisateur (voir notre wiki). L'utilisation initiée par ubuntu avec des * dans le fichier sudoers est une énorme bêtise. Elle s'est malheureusement généralisée. On voit partout des commandes précédées de "sudo" pour indiquer qu'elles doivent être exécutées avec les droits root. Pour rappel, la bonne typo est de les faire précéder de #. Mais j'ai vu des utilisateurs recopier le # avec la commande et dire ensuite qu'elle ne fonctionnait pas ...Quend je vous dit que c'est l'humain la plus grosse faille !
Soit on baisse le niveau de sécurité pour se mettre au niveau des utilisateurs, soit on les éduque pour qu'ils se mettent au niveau de leur système. C'est cette dernière solution que nous essayons d'appliquer sur ce forum.
en ce qui concerne debian, la meilleure pratique est de respecter les règles établies par les dev debian, de n'installer des logiciels que depuis les dépôts officiels, , et ne pas appliquer des "astuces vues sur internet. Si on respecte ça, on évite une grande partie des problèmes.
Certes, un dev debian peut faire une erreur, mais elle sera généralement rapidement détectée et corrigée.
En ce qui concerne sudo, je suis fortement opposé à son utilisation généralisée. sudo ne doit être utilisé que pour déléguer des droits partiels à une ensemble limité d'utilisateur (voir notre wiki). L'utilisation initiée par ubuntu avec des * dans le fichier sudoers est une énorme bêtise. Elle s'est malheureusement généralisée. On voit partout des commandes précédées de "sudo" pour indiquer qu'elles doivent être exécutées avec les droits root. Pour rappel, la bonne typo est de les faire précéder de #. Mais j'ai vu des utilisateurs recopier le # avec la commande et dire ensuite qu'elle ne fonctionnait pas ...Quend je vous dit que c'est l'humain la plus grosse faille !
Soit on baisse le niveau de sécurité pour se mettre au niveau des utilisateurs, soit on les éduque pour qu'ils se mettent au niveau de leur système. C'est cette dernière solution que nous essayons d'appliquer sur ce forum.
-
- Messages : 3
- Inscription : 11 déc. 2024, 16:58
- Status : Hors-ligne
Hahaha je suis tout à fait d'accord, d'ailleurs j'étais un peu comme ça (par rapport au copier coller) à mes débuts sur système linux ..piratebab a écrit : 13 déc. 2024, 13:49 Pour rappel, la bonne typo est de les faire précéder de #. Mais j'ai vu des utilisateurs recopier le # avec la commande et dire ensuite qu'elle ne fonctionnait pas ...Quend je vous dit que c'est l'humain la plus grosse faille !
Le problème c'est qu'à mon avis c'est difficile de démocratiser un système si il y a beaucoup de chose à apprendre. Surtout de nos jours les gens cherchent de la simplicité partout.
- zargos
- Membre
- Messages : 170
- Inscription : 07 juil. 2023, 13:34
- Status : En ligne
La simplicité est contre productive au regard de la sécurité.debdeb75 a écrit : 13 déc. 2024, 16:21Hahaha je suis tout à fait d'accord, d'ailleurs j'étais un peu comme ça (par rapport au copier coller) à mes débuts sur système linux ..piratebab a écrit : 13 déc. 2024, 13:49 Pour rappel, la bonne typo est de les faire précéder de #. Mais j'ai vu des utilisateurs recopier le # avec la commande et dire ensuite qu'elle ne fonctionnait pas ...Quend je vous dit que c'est l'humain la plus grosse faille !
Le problème c'est qu'à mon avis c'est difficile de démocratiser un système si il y a beaucoup de chose à apprendre. Surtout de nos jours les gens cherchent de la simplicité partout.
Pour la sécurité il n'y a pas de simplicité.
Il y a tout de même quelque chose à faire, coté ingénierie sociale. Car c'est là que Dave frappe le plus !
Ce ne sont pas tant les mauvaises pratiques que la mauvaise formation, ou, plus généralement l'absence de formation.
On a filé aux gens des ordinateurs, conçus les plus souvent pour leur piquer leurs données, sans jamais leur expliquer comment ça marche et comment l'environnement autour de leur ordinateur marche.
Nombre de site sur internet se donnant vocation à éduquer sont de véritable ni à connerie, bidouille toutes plus nulles les unes que les autres et j'en passe. C'est ce que j'appelle le syndrome "commentcamarche.com".
Sachant que le niveau global des connaissances est très clairement en baisse, ça n'aide pas non plus.