[Résolu en partie] Protection des fichiers système

Message
Author
User avatar
crestey
Posts: 26
Joined: Wed 22 Jan 2014, 07:59

[Résolu en partie] Protection des fichiers système

#1 Post by crestey »

Bonjour à tous,
Je me sert souvent de toutoulinux sur clé pour des besoins de maintenance.
Mais aujourd'hui je viens de l'installer sur une très vieille machine pour ma belle soeur.
Ça marche nickel. (internet, openiffice, mail, etc ...), Et ça lui suffira.
Mais je souhaite limiter au maximum le risque d'effacement par inadvertance des fichiers système (initrd.gz, vmlinuz, etc... ) par l'utilisateur.
Existe-t-il une protection possible vu qu'on est toujours en root, et sinon que peut-on faire au mieux ?
Merci
Last edited by crestey on Thu 23 Jan 2014, 14:47, edited 1 time in total.

Médor

#2 Post by Médor »

Bonjour crestey,

On peut au moins restreindre les accès aux disques en supprimant l'affichage des icônes des disques sur le bureau ainsi qu'en supprimant l'icône "Monter".

Suivant la version, soit en passant par l'Assistant de Toutou » Bureau » Icônes des disques du bureau, ou bien dans la console par la commande : eventmanager

Cordialement,
Médor.

User avatar
crestey
Posts: 26
Joined: Wed 22 Jan 2014, 07:59

#3 Post by crestey »

Merci pour ta réponse.
Ça marche bien en effet.
J'ai aussi mis les fichiers dans un répertoire caché.
Mais cependant, avec tout ça, si je clique sur l'icone "Fichiers" puis sur "flèche vers le haut", j'ai encore accès à toute l'arborescence système.
Et là ? tu as une idée ?

Médor

#4 Post by Médor »

Je ne vois pas comment restreindre Rox pour ne pas accéder à l'ensemble de l'arborescence :!:
Sur l'Asri-300, il y a possibilité de bloquer l'accès au disque dur principal par un mot de passe mais je n'ai pas le détail en tête.

Cordialement,
Médor.

User avatar
esmourguit
Posts: 1410
Joined: Fri 17 Nov 2006, 14:45
Location: Entre l'ile aux oiseaux.et l'ile de sainte Lucie

#5 Post by esmourguit »

Bonjour à toutes et tous,

Il est possible de supprimer l'accès aux répertoires pères si tu retires la flèche verte.

Voir dans les options de ROX-Filer.
Option : Outils/Mini mémoire-tampon

Tu décoches la case : Afficher le total des éléments, tu cliques sur la flèche (pour la désélectionner) et tu valides.
Elle n'apparaitra plus dans la barre des menus de ROX-Filer.

Donc utilisation seule du dossier personnel (ou tout autre dossier si tu le paramètres).
Risques d'effacements accidentels des fichiers systèmes supprimés.

Cordialement ;)
[url=http://moulinier.net/][color=blue][b]Toutou Linux[/b][/color][/url] - [url=http://toutoulinux.free.fr/pet.php][color=blue][b]Paquets français[/b][/color][/url]

Médor

#6 Post by Médor »

esmourguit wrote:Bonjour à toutes et tous,

Il est possible de supprimer l'accès aux répertoires pères si tu retires la flèche verte.

Voir dans les options de ROX-Filer.
Option : Outils/Mini mémoire-tampon

Tu décoches la case : Afficher le total des éléments, tu cliques sur la flèche (pour la désélectionner) et tu valides.
Elle n'apparaitra plus dans la barre des menus de ROX-Filer.

Donc utilisation seule du dossier personnel (ou tout autre dossier si tu le paramètres).
Risques d'effacements accidentels des fichiers systèmes supprimés.
En plus on peut aussi supprimer le lien home dans le répertoire /mnt/

Cordialement,
Médor

User avatar
crestey
Posts: 26
Joined: Wed 22 Jan 2014, 07:59

#7 Post by crestey »

Merci pour tout ça.
De mon coté j'ai essayé la commande chattr -R -i .toutou.
Ça protège le répertoire .toutou et tout ce qu'il y a dessous (option -R) contre toute modification. Même root ne peut plus rien faire.
A moins de déprotéger avec chattr -R +i .toutou

Cette commande est pratique pour protéger des fichiers sensibles dont on veut que personne n'y touche.

Mais ça ne marche pas (plantage au démarrage) car les fichiers de .toutou ont besoin d'être modifiés. Il faudrait la même commande pour protéger contre la suppression uniquement; Normallement c'est chattr -R +u .toutou

Mais bizarrement elle n'a aucun effet (même sous ubuntu !).

Médor

#8 Post by Médor »

Si c'est une installation frugale dans un répertoire /.toutou (chatt -R +i) on peut placer le fichier de sauvegarde dans un autre répertoire, grub/grub4dos peut être rendu "invisible" au boot avec un timeout=0, etc.
Je suppose que dans Rox tu as aussi retiré l'icône des fichiers cachés par la méthode indiqué par esmourguit.

Bon je pense ne rien t'apprendre de neuf ;)

Cordialement,
Médor.

alaindu22
Posts: 177
Joined: Wed 29 Jul 2009, 16:49

#9 Post by alaindu22 »

Bonjour
si un fonctionnement sur clef (ou sur cd + clef dans le cas où ta machine ne boote pas sur clef, )peuvent convenir, cela ressemble à l'iso que je suis en construire

voir
http://forum.asri-education.org/viewtop ... f=74&t=625 et
http://www.murga-linux.com/puppy/viewtopic.php?t=90283 et
http://www.murga-linux.com/puppy/viewtopic.php?t=90919

Mais, si elle n'utilise pas de programmes windows,
le wine ne sert pas à grand chose
il vaudrait mieux prendre la puplette de petithar, la remastériser avec les sfs utiles, pupsaveconfig réglé à 0 et syslinux.cfg avec pmedia=usbflash

Alain

augras
Posts: 1487
Joined: Mon 11 Nov 2013, 17:37
Location: france

#10 Post by augras »

Bonsoir,
Je me suis posé la même question et n'est pas vraiment trouvé de réponse !
La proposition de esmourguit n'est pas totalement satisfaisante car dès que l'on a plusieurs dossiers les uns dans les autres pour un simple retour au dossier précédent on est obligé de revenir au dossier d'accueil pour redescendre dans l'arborescence et juste revenir au répertoire précédent, ou aller dans un autre dossier.
Si on avait la possibilité des boutons précédents et suivants ça marcherait mais là la contrainte est trop grande pour l'utilisateur.
Je n'ai pas trouvé ces boutons mais peut-être qu'ils existent et dans ce cas on peut facilement limiter les dégâts possibles, pour un utilisateur qui ne va pas farfouiller.
Philippe

User avatar
ASRI éducation
Posts: 3197
Joined: Sat 09 May 2009, 12:10
Location: France
Contact:

#11 Post by ASRI éducation »

Nous pourrions presque envisager un paquet permettant de ne pas sauvegarder la session utilisée (en USB et en LiveCD).
Cela mérite un fil spécifique et quelques contributeurs motivés. Ce qui semble possible puisque le forum FR et le forum EN proposent plusieurs fils liés à ce sujet.
Si des contributeurs sont disponibles, je suis ok pour donner un coup de main.
Cordialement
Projet ASRI éducation => [url=http://asri-education.org/]Association[/url] | [url=http://forum.asri-education.org/]Forum[/url] | [url=http://dl01.asri-education.org/]Dépôt[/url] | [url=http://kids.asri-education.org/]Espace kids[/url]

Médor

#12 Post by Médor »

Bonsoir,

En ce qui concerne Rox, on peut le lancer par run-as-spot.
En modifiant :
- le script /usr/local/bin/rox (run-as-spot ... ROX-Filer)
- le chown de /usr/local/apps/ROX-Filer/ROX-Filer en spot:spot
- il faut aussi copier la config existante de rox dans /root/spot/ et modifier le chown des fichiers.

Sans droit de root les fichiers hors de /root/spot/ sont protégés.

Cordialement,
Médor.

User avatar
crestey
Posts: 26
Joined: Wed 22 Jan 2014, 07:59

#13 Post by crestey »

Bonsoir,
Médor, je voudrais essayer ta suggestion mais je bloque dès la première ligne:

Code: Select all

En modifiant :
- le script /usr/local/bin/rox (run-as-spot ... ROX-Filer)
J'ai ouvert le script, mais je ne comprends pas ce que tu suggères.
Si tu pouvais m'éclairer ...

D'un point de vue sécurité, c'est vrai qu'on pourrait imaginer au lancement de toutoulinux, des droits 'non-root' et sans mot de passe par défaut. Et un passage en root (avec mot de passe), par console uniquement.

Médor

#14 Post by Médor »

Voici le script modifié ;)
rox wrote:#!/bin/sh
#exec /usr/local/apps/ROX-Filer/AppRun "$@"
run-as-spot /usr/local/apps/ROX-Filer/AppRun "$@"


Ou bien :
run-as-spot /usr/local/apps/ROX-Filer/ROX-Filer "$@"
Ce qui évite de changer le chown de ROX-Filer

Puppy/Toutou n'est pas prévu pour fonctionner en "user" mais il existe des comptes spot et fido avec des droits restreints.

Cordialement,
Médor

augras
Posts: 1487
Joined: Mon 11 Nov 2013, 17:37
Location: france

#15 Post by augras »

Bonjour,
Est-ce que la proposition de Medor n'empêche pas l'utilisateur d'utiliser des fichiers sfs ? Car dans ce cas c'est assez bloquant.
Que l'utilisateur ne puisse pas installer de .pet, ok. Mais pour les sfs qui sont "transparents" pour le système c'est plus ennuyeux.
... le beurre, l'argent du beurre et la crémière !
Bonne journée,
Philippe

jopervasco
Posts: 571
Joined: Fri 25 Mar 2011, 20:10
Location: France

#16 Post by jopervasco »

Bonjour

Oui le multi-users serait un plus il me semble.

Pour ma part je fonctionne en partitions dédiées et le soucis est de redémarrer à chaque fois.

j'ai appliqué sur une partition la méthode pour cacher les disques et le paramétrage de Rox pour ne par monter d'un niveau pour pour ne pas aller à Home.

Cependant via le menu "démarrer" on accède à tout ou presque. Comment ôter des entrées à ce menu ?

Merci
Visitez mon site [url=http://joreveur.info]http://joreveur.info[/url]

Médor

#17 Post by Médor »

Bonjour,

J'ai fait quelques tests ce n'est très convainquant, rox étant lancé au démarrage de la session X pour l'affichage des icônes du bureau, le fond d'écran...
Il faut garder /usr/local/bin/rox intact et faire au même emplacement un autre script modifié comme précédemment nommé par exemple : rox-as-spot
Ensuite il faut modifier les propriétés de l'icône "Fichiers" (par clic droit) pour exécuter rox-as-spot à la place de rox, ainsi que le fichier /usr/share/applications/ROX-Filer-file-manager.desktop sur les dernière versions.

Mais il serai peut-être mieux d'utiliser carrément la session X sous spot, bien qu'expérimentale.
Cette option est prévue à la fin de la première session lors de la création du fichier de sauvegarde.
Mais il reste du pain sur la planche avec cette option.

@ augra :
Ce genre de manip. est justement faite pour que l'utilisateur ne puisse pas faire des bêtises, normalement il ne doit rien installer ;)
Cependant on peut toujours utiliser l'interface de sfs-on-the-fly directement, ainsi que la visionneuse d'images et les appli. utilisent le filer de gtk pour ouvrir les fichiers.


@ jopervasco :
Les fichiers des applications du menu sont principalement dans /usr/share/applications, sous forme de fichiers .desktop
On peut déplacer ceux à retirer du menu dans un autre répertoire en réserve...

Cordialement,
Médor.

User avatar
crestey
Posts: 26
Joined: Wed 22 Jan 2014, 07:59

#18 Post by crestey »

Bonjour,

J'ai fait les tests des idées que vous avez fournies, et dont je vous remercie chaleureusement. Rien n'est bien satisfaisant. Je pense que quand c'est pas prévu, c'est que ça nécessite un développement.

La solution run-as-spot est pas mal.
Quand on utilise rox, on voit bien que les fichiers systèmes sont protégés comme il faut.

Seulement il faudrait tout lancer en run-as-spot. (open-office, etc...).
Sinon, le moindre fichier texte généré par l'utilisateur est sauvé en root, et donc devient à son tour non supprimable par rox (lancé as spot).

Je vais en rester là. Ma belle soeur n'aura qu'à faire attention.

Je suis très friant de ce genre de distri minimaliste qui tient sur 120Mo, tourne sur des ordinausores, et fait quasiment la même chose que W8 qui tient sur 20Go.

Si ce petit problème de robustesse pouvait disparaître, ce serait génial. Mais je pense qu'on peut difficilement faire autrement que d'avoir un login non-root par défaut.

Merci encore

augras
Posts: 1487
Joined: Mon 11 Nov 2013, 17:37
Location: france

#19 Post by augras »

Médor wrote:Ce genre de manip. est justement faite pour que l'utilisateur ne puisse pas faire des bêtises, normalement il ne doit rien installer ;)
Tout à fait d'accord. Mais avec un sfs est-ce que l'on peut faire des bêtises ?On monte à la demande dans une sorte de capsule "autonome" sans interférence avec le système. Le truc est foireux et bien on le démonte et c'est fini. S'il ne veut pas se démonter au redémarrage on en parle plus et c'est ni vu ni connu pour le système.
C'est ça ou je n'est pas compris, ce qui est tout à fait possible ?
Mais si c'est ça je trouve ce mode de fonctionnement quasi idéal : on a une base système stable à laquelle on ne touche pas et à la demande on lance ce dont on a besoin sans remettre en cause à aucun moment cette base. On peut tester tout ce que l'on veut sans se dire ça va tout me foutre en l'air donc j'y vais pas.
Et si c'est ça c'est bien dommage d'en priver un utilisateur.
J'espère vraiment avoir compris, sinon tant pis.
Bonne soirée,
Philippe

Médor

#20 Post by Médor »

Bonsoir Philippe,

Je parlais pour rox-as-spot, les sfs peuvent s'installer hors de rox.

Oui, les sfs supplémentaires sont bien indestructibles comme le sfs principal en frugale puisque qu'en lecture seule, seul le fichiers de sauvegarde peut être endommagé par les bêtises de l'utilisateur, l'installation de pets non comestible pour la version : en frugale on peut cependant les désinstaller proprement mais pas en "full" surtout quand sa touche à des parties vitales du système, bon en frugale on peut refaire simplement un "pupsave" et le système repart à neuf ;)

Cordialement,
Médor.

Post Reply