Aller au contenu principal
Sujet résolu
Ce sujet a été marqué résolu et ne nécessite aucune autre attention.
Sujet: sudo bloqué depuis sécurité recherchée (Lu 224 fois) sujet précédent - sujet suivant

sudo bloqué depuis sécurité recherchée

Bonjour,
Je suis sous Leap 15.4 en nettoyage depuis plus d'une semaine... Incroyable le nombre de trojan que l'on peut trouver dans nos fichiers :-(
Mais le problème est ailleurs aujourd'hui.
Je suis passé par Yast2 pour vérifier la sécurité du système.
Il était conseillé de ... (trou de memoire). Ca a réglé par surprise mon probleme de demande systematique de mot de passe root sur une partition... donc ca c'est cool.
Mais ca a créé un problème plus gros qui est que depuis, ma session utilisateur ne peut plus acceder ni a sudo ni a su. C'est pas genant pour lire un podcast, mais ca le devient rapidement pour une mise a jour par exemple.
Pour info, mais vous devez vous en douter, je peux tres bien me logger en session root et faire la mise a jour. Mais pour le coup, ca met un grand coup au moral de la sécurité :-)
Je me souviens que le centre de sécurité conseillait de désactiver "snap". J'ai trouvé étonnant mais j'ai désactivé. Ca serait ca qui empeche maintenant que je puisse me logger dans le terminal depuis ma session utilisateur ?
Merci pour vos lumières.
Cdt
Ooo

Re : sudo bloqué depuis sécurité recherchée

Répondre #1
Je me joins a moi pour me remercier d'avoir trouver la reponse :-)
chown root:root /usr/bin/sudo && chmod 4755 /usr/bin/sudo
a effectuer loggé en root... tout simplement :-)

Re : sudo bloqué depuis sécurité recherchée

Répondre #2
Merci du retour :)

Re : sudo bloqué depuis sécurité recherchée

Répondre #3
J'avais un peu cherché, sans vraiment trouver de liens entre "Centre de sécurité" et ton problème. Et finalement peut-être →

Il est possible que tu aies joué avec "Use secure file permissions" de la section "Security Overview", option qui renvoie vers la section "Miscellaneous Settings".

Miscellaneous contient trois possibilités de réglages pour les "File Permissions":
  • easy
  • secure
  • paranoid

Avec un peu de lecture, de recherche j'ai trouvé cette page 12 File management, et cette section en particulier 12.2 Modifying permissions of certain system files.

Citer
easy
    Profile for systems that require user-friendly graphical user interaction. This is the default profile.
secure
    Profile for server systems without fully-fledged graphical user interfaces.
paranoid
    Profile for maximum security. In addition to the secure profile, it removes all special permissions like setuid/setgid and capability bits.

Warning : Unusable system for non-privileged users
Except for simple tasks like changing passwords, a system without special permissions might be unusable for non-privileged users.
Do not use the paranoid profile is as-is, but as a template for custom permissions. More information can be found in the permissions.paranoid file.

@scooter33
Ces propositions pour sécuriser ton OS ne sont pas à prendre en compte à la lettre pour un utilisateur lambda. Certaines peuvent être simplement mise en œuvre, d'autre plutôt pas. Le profil `paranoid` en est un bonne exemple…

/etc/permissions* est un thème à creuser (parmi d'autres).

Re : sudo bloqué depuis sécurité recherchée

Répondre #4
On peut lire dans /etc/permissions.paranoid
# /etc/permissions.paranoid is NOT designed to be used in a single-user as
# well as a multi-user installation, be it networked or not.

# suid system programs that need the suid bit to work:
#
/bin/su                                                 root:root         0755
# disable at and cron for non-root users
/usr/bin/at                                             root:trusted      0755
/usr/bin/crontab                                        root:trusted      0755
/usr/bin/gpasswd                                        root:shadow       0755
/usr/bin/newgrp                                         root:root         0755
/usr/bin/passwd                                         root:shadow       0755
/usr/bin/chfn                                           root:shadow       0755
/usr/bin/chage                                          root:shadow       0755
/usr/bin/chsh                                           root:shadow       0755
/usr/bin/expiry                                         root:shadow       0755
/usr/bin/sudo                                           root:root         0755
/usr/sbin/su-wrapper                                    root:root         0755

# XXX: duplicated entries need to be cleaned up before 12.2
/usr/bin/su                                             root:root         0755
On voit très bien que de setuid a sauté ! (le 4755 est passé à 0755…)

Pour finir un lien avec des explications pratiques, savoir comment utiliser ces fichiers:
https://softpanorama.org/Commercial_linuxes/Suse/Security/chkstat_and_permissions_files.shtml

@scooter33
Si tu es en mode paranoid (difficile à dire avec le peu d'infos que tu as fournies), je te conseille de repasser en mode easy…

Re : sudo bloqué depuis sécurité recherchée

Répondre #5
On peut lire dans /etc/permissions.paranoid
# /etc/permissions.paranoid is NOT designed to be used in a single-user as
# well as a multi-user installation, be it networked or not.

# suid system programs that need the suid bit to work:
#
/bin/su                                                 root:root         0755
# disable at and cron for non-root users
/usr/bin/at                                             root:trusted      0755
/usr/bin/crontab                                        root:trusted      0755
/usr/bin/gpasswd                                        root:shadow       0755
/usr/bin/newgrp                                         root:root         0755
/usr/bin/passwd                                         root:shadow       0755
/usr/bin/chfn                                           root:shadow       0755
/usr/bin/chage                                          root:shadow       0755
/usr/bin/chsh                                           root:shadow       0755
/usr/bin/expiry                                         root:shadow       0755
/usr/bin/sudo                                           root:root         0755
/usr/sbin/su-wrapper                                    root:root         0755

# XXX: duplicated entries need to be cleaned up before 12.2
/usr/bin/su                                             root:root         0755
On voit très bien que de setuid a sauté ! (le 4755 est passé à 0755…)

Pour finir un lien avec des explications pratiques, savoir comment utiliser ces fichiers:
https://softpanorama.org/Commercial_linuxes/Suse/Security/chkstat_and_permissions_files.shtml

@scooter33
Si tu es en mode paranoid (difficile à dire avec le peu d'infos que tu as fournies), je te conseille de repasser en mode easy…
Houlala .. merci pour la précision.
Quand j'ai vu ton message je me suis demandé "de quoi ca s'exprime-t-il ?"
C’était étonnant de me donner une résolution alors que c’était rentré dans l'ordre...
et puis, y a une force qu m'a instinctivement poussé vers Yast...
et la, "what a f@@ing surprise ?!?" .. plus d’accès a Yast.. le mot de passe admin passe pas.
Je me téléporte donc chez l'admin.. et Ô grand Denebe Ô combien tu as tapé dans le mille :-)
Oui oui, le mode Paranoïa m'avait tapé dans l'oeil lors de ma dernière visite.. mais comme je n'avais plus de problème.. apparent, ca aurait pu me compliquer l'avenir si tu n'avais pas eu cette excellente intuition :-)
Oui, maintenant, on peut dire que la situation est résolue ! .. enfin, normalement :-)