#AstuceDeCode 15 : fausse bonne idée – les listes noires avec sudo

sudo est une commande très pratique, permettant notamment d’exécuter des commandes en tant que superutilisateur tout en gardant une traçabilité, ou encore tout simplement d’avoir conscience qu’on tape quelque chose en tant que root. Bien qu’utilisant Debian depuis maintenant quelques mois (et avant Ubuntu), je l’ai gardé et n’utilise jamais directement mon compte root. Néanmoins il y a un piège dans lequel ne pas tomber : les listes noires.

sudo permet en effet d’interdire des commandes par listes noires. Pour ce faire il suffit d’indiquer la commande à taper, précédée d’un point d’exclamation. Sauf que c’est une très mauvaise idée, et dans la suite on montre pourquoi.

Dans une mission précédente les administrateurs système en avaient assez de devoir gérer les commandes autorisées pour sudo une par une, aussi ils ont finalement décider de tout autoriser sauf les commandes suivantes (le Linux utilisé était une RedHat) :


cp,mv,rm,yum,rpm,bash,ksh,csh,tcsh,<...>

On remarque notamment que cp est bloqué, tout comme bash. D’autre part sudo était réglé pour refuser d’exécuter toute commande qui ne serait pas située dans les chemins /bin, /usr/bin, /sbin, /usr/sbin, /usr/local/bin et /usr/local/sbin.

Jusque là on pourrait se dire que la chose est blindée… sauf que… cp n’est pas la seule manière de faire une copie de fichier sous Linux. On peut parfaitement le faire avec un scp (si si, essayez scp <fichier_source> <fichier_cible>, vous verrez ça va marcher) ou encore écrire un petit programme en Java qui faisait la manip.

Bref dès lors l’astuce consistait à copier le fichier /bin/bash vers un nom arbitraire dans un des chemins sus-cités, puis exécuter la copie de bash avec sudo et on passait root. On s’est amusé à chercher d’autres moyens de contourner la sécurité et en cherchant un quart d’heure on en a trouvé une quinzaine… 😉

En d’autres termes si vous vous reposez sur des listes noires de commandes avec sudo vous pouvez être sûr que l’utilisateur dont les droits sont restreints trouvera un moyen de passer root. Autrement dit quand vous configurez sudo faites-le toujours avec des listes blanches de commande, en refusant tout le reste.

Dans la même veine un compte qui aurait tous les droits sudo doit être traité comme un compte root, et pour les paranos dont je fais partie vous pouvez ajouter la ligne suivante qui oblige l’utilisateur à rentrer son mot de passe à chaque fois qu’il utilise sudo :


Defaults        timestamp_timeout = 0

Cet article vous a plu ? Vous aimerez sûrement aussi :

Julien
Moi c’est Julien, ingénieur en informatique avec quelques années d’expérience. Je suis tombé dans la marmite étant petit, mon père avait acheté un Apple – avant même ma naissance (oui ça date !). Et maintenant je me passionne essentiellement pour tout ce qui est du monde Java et du système, les OS open source en particulier.

Au quotidien, je suis devops, bref je fais du dév, je discute avec les opérationnels, et je fais du conseil auprès des clients.

Son Twitter Son LinkedIn

gojul

Recent Posts

Les pêches et les noix de coco : mieux comprendre la culture d’entreprise quand on change de poste

Changer d’entreprise, c’est excitant. Nouveau challenge, nouveaux collègues, nouveau café. Mais, bien souvent, on oublie…

6 jours ago

Le DevSecOps, une évolution nécessaire ?

Ça n’étonnera personne si nous affirmons que le monde du développement logiciel est en constante…

2 semaines ago

Travailler en tandem augmente la résilience des systèmes et le bien-être des collaborateurs !

En Allemagne, le travail en tandem à temps partiel, aussi appelé « jobsharing » est…

2 mois ago

Classement QCM saison automne : infos & règlement.

On se retrouve comme d'habitude pour le début du classement qcm saison automne ! Mais…

2 mois ago

Classement QCM saison Eté 2024 : Règlement, informations.

La saison printemps des tests techniques WeLoveDevs s'est terminée le 31 mai, et c'est Axel…

5 mois ago