On 2005-03-23 20:11:39 +0000, Yves Rutschle wrote: > On Wed, Mar 23, 2005 at 06:42:41PM +0100, Nicolas Evrard wrote: > > Chez moi, la seule commande accessible via sudo est "apt-get" comme �a > > je n'ai pas � changer d'utilisateur quand je fais une mise � jour. > > Tu ferais aussi bien de ne pas mettre de mot de passe sur > root alors: Si j'arrive � m'introduire sous ton identit�, > il me suffit de cr�er un fichier de configuration � passer � > apt-get (option -c), qui sp�cifie une source de paquets que > je contr�le.
Encore faut-il que tu puisses utiliser sudo. Ce n'est pas parce que tu as r�ussi � t'introduire que tu connais forc�ment le mot de passe de l'utilisateur, qui peut �tre demand� lors d'un sudo. > Je peux alors installer ce que je veux sur ta machine, y compris une > version de su(1) qui ne demande pas de mots de passe. Mais si l'utilisateur n'a pas mis un sudo en place, alors tu peux toujours installer un keylogger et r�cup�rer le mot de passe de root la prochaine fois que l'utilisateur fera un su, en esp�rant que l'utilisateur ne se soit aper�u de rien d'ici l�. -- Vincent Lef�vre <[EMAIL PROTECTED]> - Web: <http://www.vinc17.org/> 100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/> Work: CR INRIA - computer arithmetic / SPACES project at LORIA -- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
