A mon sens, NOPASSWD est pratique pour certaines opérations automatiques, mais au-delà de ça, c'est une mauvaise chose pour la sécurité. Et comme j'imagine que distinguer un appel interactif d'un appel batch n'est pas toujours faisable de manière fiable ou portable, on ne peut pas proposer l'un sans laisser la porte ouverte à l'autre.
Ce qui me fait le plus râler, ce sont les machines produites par certaines infrastructures comme cloud-init - au moins dans certaines conditions - où le login de base est configuré comme:
xyz ALL=(ALL) NOPASSWD:ALL
Ce compte-là peut donc faire un simple
$ sudo -i
pour obtenir un prompt # sans même rentrer un quelconque mot de passe. On ajoute donc une LPE directe à une ACE/RCE sur ce compte-là, qui ne devrait pas certes tourner des services si c'était bien fait, mais on sait tous comment ça se passe en pratique. Et donc, dans le cadre d'une infrastructure à base des faibles conteneurs Linux, c'est en sus un container escape, puisque le root dans un conteneur doit être considéré comme équivalent root sur le host.
NOPASSWD est discutable, mais peut etre utile pour certaines commandes si elles doivent etre executé avec un utilisateur précis, et on un scope limité. Apres demande le mot de passe utilisateur n'est pas un mal.
Donner NOPASSWD a tous pour tout est pour le coup complétement idiot. Utilise NOPASSWD n'est acceptable que avec des commandes particuliere, voir avec des options particulieres
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Je vais finir par croire que Gemini c'est pas si mal si ça continue.
Oui enfin c'est un point de l'étude complete, et ca ne remplace pas les autres méthodes.
Ca ne marche de maniere satisfaisant que sur 1 des 4 cibles de tests, une moyennement et pas du tout sur les autres.
mais ca reste o_o
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
C'est quoi leur truc? En gros trucrypt?
"PRIM’X a développé et commercialise des logiciels de chiffrement de nouvelle génération. Ils utilisent la technique dite de « chiffrement à la volée » et se base sur une technologie d’interception à bas niveau des accès aux fichiers mise au point par la société."
Pour moi la description c'est la meme chose que trucrypt/bitlocker/filevault quoi.
Mais je ne trouve aucune info sur leur truc, perso la crypto boite noire bof bof...
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Je ne trouve aucune info claire sur leur site web, c'est de la boite noire pour moi.
Pas d'article sur wikipedia.
Je ne dit as qu'il ne sont pas sérieux, je dit juste que j'ai moyen confiance dans du chiffrement boite noire.
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Uther, Flan > D'accord, merci pour l'info !
Godzil > Il est indiqué sur leur site que ça utilise AES 128 et 256 bits (je me suis posé la même question que toi).
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT Turbo flanker Le 17/03/2021 à 19:28Edité par flanker le 17/03/2021 à 19:32 Perso, j'ai plus confiance quand l'ANSSI dit que c'est utilisable dans un cadre donné que dans un code open-source qui potentiellement n'a été regardé par personne.
De plus, les administrations n'ont simplement pas le choix : pour les échanges, ce sont des solutions qualifiés ou certifiées par l'ANSSI et rien d'autre.
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Pas vraiment la faute de bitlocker si le hardware est défaillant.
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Hardware ou firmware, puisqu'il existe des TPMs firmware ("fTPM") sans secure element dédié. Je l'ignorais jusqu'à assez récemment.
Mais du coup, quel est l'intérêt du point de vue sécurité ?
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT Turbo
(et ça reste un moyen efficace pour être sûr qu'il ne se connectera pas en console directement).
Prim'X a pas mal de produits intéressants, pour chiffrer des conteneurs ou des disques complets.
)