Author |
Message |
crestey

Joined: 22 Jan 2014 Posts: 26
|
Posted: Wed 22 Jan 2014, 04:14 Post subject:
[Résolu en partie] Protection des fichiers système Subject description: Comment protéger les fichiers système d'un effacement par inadvertance |
|
Bonjour à tous,
Je me sert souvent de toutoulinux sur clé pour des besoins de maintenance.
Mais aujourd'hui je viens de l'installer sur une très vieille machine pour ma belle soeur.
Ça marche nickel. (internet, openiffice, mail, etc ...), Et ça lui suffira.
Mais je souhaite limiter au maximum le risque d'effacement par inadvertance des fichiers système (initrd.gz, vmlinuz, etc... ) par l'utilisateur.
Existe-t-il une protection possible vu qu'on est toujours en root, et sinon que peut-on faire au mieux ?
Merci
Last edited by crestey on Thu 23 Jan 2014, 10:47; edited 1 time in total
|
Back to top
|
|
 |
Médor
Joined: 26 May 2011 Posts: 2822
|
Posted: Wed 22 Jan 2014, 05:00 Post subject:
|
|
Bonjour crestey,
On peut au moins restreindre les accès aux disques en supprimant l'affichage des icônes des disques sur le bureau ainsi qu'en supprimant l'icône "Monter".
Suivant la version, soit en passant par l'Assistant de Toutou » Bureau » Icônes des disques du bureau, ou bien dans la console par la commande : eventmanager
Cordialement,
Médor.
_________________ Recherches Puppy|Index Puppy|Index FR|Tuto Toutou
|
Back to top
|
|
 |
crestey

Joined: 22 Jan 2014 Posts: 26
|
Posted: Wed 22 Jan 2014, 05:17 Post subject:
|
|
Merci pour ta réponse.
Ça marche bien en effet.
J'ai aussi mis les fichiers dans un répertoire caché.
Mais cependant, avec tout ça, si je clique sur l'icone "Fichiers" puis sur "flèche vers le haut", j'ai encore accès à toute l'arborescence système.
Et là ? tu as une idée ?
|
Back to top
|
|
 |
Médor
Joined: 26 May 2011 Posts: 2822
|
Posted: Wed 22 Jan 2014, 05:25 Post subject:
|
|
Je ne vois pas comment restreindre Rox pour ne pas accéder à l'ensemble de l'arborescence
Sur l'Asri-300, il y a possibilité de bloquer l'accès au disque dur principal par un mot de passe mais je n'ai pas le détail en tête.
Cordialement,
Médor.
_________________ Recherches Puppy|Index Puppy|Index FR|Tuto Toutou
|
Back to top
|
|
 |
esmourguit

Joined: 17 Nov 2006 Posts: 1393 Location: Entre l'ile aux oiseaux.et l'ile de sainte Lucie
|
Posted: Wed 22 Jan 2014, 06:53 Post subject:
|
|
Bonjour à toutes et tous,
Il est possible de supprimer l'accès aux répertoires pères si tu retires la flèche verte.
Voir dans les options de ROX-Filer.
Option : Outils/Mini mémoire-tampon
Tu décoches la case : Afficher le total des éléments, tu cliques sur la flèche (pour la désélectionner) et tu valides.
Elle n'apparaitra plus dans la barre des menus de ROX-Filer.
Donc utilisation seule du dossier personnel (ou tout autre dossier si tu le paramètres).
Risques d'effacements accidentels des fichiers systèmes supprimés.
Cordialement
_________________ Toutou Linux - Pets francisés
|
Back to top
|
|
 |
Médor
Joined: 26 May 2011 Posts: 2822
|
Posted: Wed 22 Jan 2014, 07:22 Post subject:
|
|
esmourguit wrote: | Bonjour à toutes et tous,
Il est possible de supprimer l'accès aux répertoires pères si tu retires la flèche verte.
Voir dans les options de ROX-Filer.
Option : Outils/Mini mémoire-tampon
Tu décoches la case : Afficher le total des éléments, tu cliques sur la flèche (pour la désélectionner) et tu valides.
Elle n'apparaitra plus dans la barre des menus de ROX-Filer.
Donc utilisation seule du dossier personnel (ou tout autre dossier si tu le paramètres).
Risques d'effacements accidentels des fichiers systèmes supprimés. |
En plus on peut aussi supprimer le lien home dans le répertoire /mnt/
Cordialement,
Médor
_________________ Recherches Puppy|Index Puppy|Index FR|Tuto Toutou
|
Back to top
|
|
 |
crestey

Joined: 22 Jan 2014 Posts: 26
|
Posted: Wed 22 Jan 2014, 09:16 Post subject:
|
|
Merci pour tout ça.
De mon coté j'ai essayé la commande chattr -R -i .toutou.
Ça protège le répertoire .toutou et tout ce qu'il y a dessous (option -R) contre toute modification. Même root ne peut plus rien faire.
A moins de déprotéger avec chattr -R +i .toutou
Cette commande est pratique pour protéger des fichiers sensibles dont on veut que personne n'y touche.
Mais ça ne marche pas (plantage au démarrage) car les fichiers de .toutou ont besoin d'être modifiés. Il faudrait la même commande pour protéger contre la suppression uniquement; Normallement c'est chattr -R +u .toutou
Mais bizarrement elle n'a aucun effet (même sous ubuntu !).
|
Back to top
|
|
 |
Médor
Joined: 26 May 2011 Posts: 2822
|
Posted: Wed 22 Jan 2014, 11:36 Post subject:
|
|
Si c'est une installation frugale dans un répertoire /.toutou (chatt -R +i) on peut placer le fichier de sauvegarde dans un autre répertoire, grub/grub4dos peut être rendu "invisible" au boot avec un timeout=0, etc.
Je suppose que dans Rox tu as aussi retiré l'icône des fichiers cachés par la méthode indiqué par esmourguit.
Bon je pense ne rien t'apprendre de neuf
Cordialement,
Médor.
_________________ Recherches Puppy|Index Puppy|Index FR|Tuto Toutou
|
Back to top
|
|
 |
alaindu22
Joined: 29 Jul 2009 Posts: 177
|
Posted: Wed 22 Jan 2014, 12:30 Post subject:
|
|
Bonjour
si un fonctionnement sur clef (ou sur cd + clef dans le cas où ta machine ne boote pas sur clef, )peuvent convenir, cela ressemble à l'iso que je suis en construire
voir
http://forum.asri-education.org/viewtopic.php?f=74&t=625 et
http://www.murga-linux.com/puppy/viewtopic.php?t=90283 et
http://www.murga-linux.com/puppy/viewtopic.php?t=90919
Mais, si elle n'utilise pas de programmes windows,
le wine ne sert pas à grand chose
il vaudrait mieux prendre la puplette de petithar, la remastériser avec les sfs utiles, pupsaveconfig réglé à 0 et syslinux.cfg avec pmedia=usbflash
Alain
|
Back to top
|
|
 |
augras
Joined: 11 Nov 2013 Posts: 1480 Location: france
|
Posted: Wed 22 Jan 2014, 13:23 Post subject:
|
|
Bonsoir,
Je me suis posé la même question et n'est pas vraiment trouvé de réponse !
La proposition de esmourguit n'est pas totalement satisfaisante car dès que l'on a plusieurs dossiers les uns dans les autres pour un simple retour au dossier précédent on est obligé de revenir au dossier d'accueil pour redescendre dans l'arborescence et juste revenir au répertoire précédent, ou aller dans un autre dossier.
Si on avait la possibilité des boutons précédents et suivants ça marcherait mais là la contrainte est trop grande pour l'utilisateur.
Je n'ai pas trouvé ces boutons mais peut-être qu'ils existent et dans ce cas on peut facilement limiter les dégâts possibles, pour un utilisateur qui ne va pas farfouiller.
Philippe
|
Back to top
|
|
 |
ASRI éducation

Joined: 09 May 2009 Posts: 3203 Location: France
|
Posted: Wed 22 Jan 2014, 14:28 Post subject:
|
|
Nous pourrions presque envisager un paquet permettant de ne pas sauvegarder la session utilisée (en USB et en LiveCD).
Cela mérite un fil spécifique et quelques contributeurs motivés. Ce qui semble possible puisque le forum FR et le forum EN proposent plusieurs fils liés à ce sujet.
Si des contributeurs sont disponibles, je suis ok pour donner un coup de main.
Cordialement
_________________ Projet ASRI éducation => Association | Forum | Dépôt | Espace kids
|
Back to top
|
|
 |
Médor
Joined: 26 May 2011 Posts: 2822
|
Posted: Wed 22 Jan 2014, 15:29 Post subject:
|
|
Bonsoir,
En ce qui concerne Rox, on peut le lancer par run-as-spot.
En modifiant :
- le script /usr/local/bin/rox (run-as-spot ... ROX-Filer)
- le chown de /usr/local/apps/ROX-Filer/ROX-Filer en spot:spot
- il faut aussi copier la config existante de rox dans /root/spot/ et modifier le chown des fichiers.
Sans droit de root les fichiers hors de /root/spot/ sont protégés.
Cordialement,
Médor.
_________________ Recherches Puppy|Index Puppy|Index FR|Tuto Toutou
|
Back to top
|
|
 |
crestey

Joined: 22 Jan 2014 Posts: 26
|
Posted: Wed 22 Jan 2014, 16:41 Post subject:
|
|
Bonsoir,
Médor, je voudrais essayer ta suggestion mais je bloque dès la première ligne:
Code: | En modifiant :
- le script /usr/local/bin/rox (run-as-spot ... ROX-Filer) |
J'ai ouvert le script, mais je ne comprends pas ce que tu suggères.
Si tu pouvais m'éclairer ...
D'un point de vue sécurité, c'est vrai qu'on pourrait imaginer au lancement de toutoulinux, des droits 'non-root' et sans mot de passe par défaut. Et un passage en root (avec mot de passe), par console uniquement.
|
Back to top
|
|
 |
Médor
Joined: 26 May 2011 Posts: 2822
|
Posted: Wed 22 Jan 2014, 17:10 Post subject:
|
|
Voici le script modifié
rox wrote: | #!/bin/sh
#exec /usr/local/apps/ROX-Filer/AppRun "$@"
run-as-spot /usr/local/apps/ROX-Filer/AppRun "$@" |
Ou bien :
Quote: | run-as-spot /usr/local/apps/ROX-Filer/ROX-Filer "$@" |
Ce qui évite de changer le chown de ROX-Filer
Puppy/Toutou n'est pas prévu pour fonctionner en "user" mais il existe des comptes spot et fido avec des droits restreints.
Cordialement,
Médor
_________________ Recherches Puppy|Index Puppy|Index FR|Tuto Toutou
|
Back to top
|
|
 |
augras
Joined: 11 Nov 2013 Posts: 1480 Location: france
|
Posted: Thu 23 Jan 2014, 03:05 Post subject:
|
|
Bonjour,
Est-ce que la proposition de Medor n'empêche pas l'utilisateur d'utiliser des fichiers sfs ? Car dans ce cas c'est assez bloquant.
Que l'utilisateur ne puisse pas installer de .pet, ok. Mais pour les sfs qui sont "transparents" pour le système c'est plus ennuyeux.
... le beurre, l'argent du beurre et la crémière !
Bonne journée,
Philippe
|
Back to top
|
|
 |
|