root
" ne doit jamais être accessible directement à
travers un réseauroot
" ne devrait jamais être accessible directement
depuis d'autres machines via telnet
, rsh
ou
rlogin
.
Raison :
Le compte "root
" pourrait sinon être facilement l'objet d'une
attaque à travers le réseau à l'aide de Crack
. Par
contre, si un potentiel pirate doit tout d'abord se connecter en tant
que simple utilisateur dans le but d'attaquer votre système, il devra passer
deux obstacles supplémentaires. Tout d'abord, il devra installé Crack sur le
système et une attaque "interne" se remarque rapidement.
(Crack
est un programme pour tester et "craquer"
les mots de passe). Par ailleurs, avec telnet, un mot de passe peut avoir à
circuler au moins une fois sans être crypté à travers Ethernet. Avec les
programmes de réseau adéquats, d'autres systèmes dans Ethernet peuvent
relativement facilement intercepter de telles données dans les paquets
TCP/IP
: saisissez de façon explicite l'option
root_squash
dans /etc/exports
. À ce sujet, vous
trouverez plus d'information dans les pages de manuel de exports
.
Au cas où vous voudriez tout de même autoriser "root"
à se
connecter également sur d'autres terminaux que le terminal local, veuillez vous
référer aux pages de manuel login(5)
(Appel : man 5
login
).
.
"PATH
de l'utilisateur de système
"root"
ne devrait jamais contenir
".
", que ce soit devant ou derrière. Le point
".
" est une abréviation du répertoire qui
vient juste d'être utilisé ainsi que des programmes et des scripts shell que ce
répertoire contient. De tels programmes ne devraient être exécutés que lors de
la saisie explicite de "./
".
Raison : Lorsque, par exemple, un simple utilisateur crée,
sous /tmp/
ou dans son répertoire personnel HOME
, un
script portant le nom ls
et contenant le code
#!/bin/sh cd / rm -rf *il peut arriver que
"root"
efface tout le système sans le
vouloir. Même si .
est placé derrière la variable
d'environnement PATH
, "root"
peut, lors d'une erreur
de frappe, exécuter un programme local par mégarde (saisir, par exemple,
la
à la place de ls
). On parle alors de cheval
de troie (trojan horse).
"root"
"root"
, à moins que vous n'ayez à accomplir d'importantes
tâches administratives sur votre système.
Raison :
Le danger de commettre une erreur par mégarde est vraiment trop important, et
"root"
a le droit de tout faire, absolument tout.
Ainsi même des commandes saisies par mégarde seront exécutées
sans avertissement préalable.
Une citation originale d'un de nos clients qui peut servir d'exemple à ne suivre :
... et maintenant un accident m'est arrivé parce que je travaillais en tant que "root". Dans l'espoir de provoquer un son, j'ai saisi par erreur la commande "ls > /dev/hdb2" à la place de la commande "/dev/dsp" - malheureusement /dev/hdb2 est ma partition "root".Remarque : /dev/hdb2 était sa partition "root".
SDB-perms
)