11. Utiliser PPP et les privilèges root

Puisque PPP à besoin de configurer les périphériques réseau, modifier les tables de routage entre autres, il a besoin des privilèges root.

Si des utilisateurs autres que root doivent lancer des connexions PPP, le programme pppd doit avoir l'uid root :

-rwsr-xr-x   1 root     root        95225 Jul 11 00:27 /usr/sbin/pppd

Si /usr/sbin/pppd n'est pas défini comme cela, alors en étant root taper la commande :

chmod u+s /usr/sbin/pppd

Cela permet à pppd de fonctionner avec les privilèges root même i si le programme est lancé par un utilisateur ordinaire. Ainsi pppd a les bons privilèges pour configurer les interfaces réseau et les tables de routage.

Les programmes qui utilisent le uid root sont autant de trous de sécurité potentiels et vous devez être extrêmement vigilant par rapport aux programmes uid root. De nombreux programmes (comme pppd) ont été écrits minutieusement pour minimiser le danger d'utiliser suit root, vous devez donc être tranquille avec celui-ci (mais sans garanties totales).

Selon ce que vous voulez faire de votre système - particulièrement si vous voulez qu'un utilisateur puisse initialiser une liaison PPP, vous devez mettre vos scripts ppp-on/off lisibles et exécutables par tout le monde. (c'est sans doute génial si vous êtes le SEUL utilisateur du PC).

Cependant, si vous NE voulez PAS que n'importe qui puisse lancer une connexion PPP (par exemple, votre enfant qui a un compte sur votre PC Linux et que vous ne voulez pas qu'il se connecte à Internet sans votre permission), vous devez faire un groupe PPP (en tant que root, éditer le fichier /etc/group) et :

• Rendre pppd 'suid root', possédé par l'utilisateur root et le groupe PPP, avec ces nouvelles permissions sur le fichier. Il doit ressembler à

  -rwsr-x---   1 root     PPP        95225 Jul 11 00:27 /usr/sbin/pppd
  

• Mettre les scripts ppp-on/off possédés par l'utilisateur root et le groupe PPP
• Rendre le script ppp-on/off lisible/exécutable par le groupe PPP

   -rwxr-x---   1 root     PPP           587 Mar 14  1995 /usr/sbin/ppp-on
   -rwxr-x---   1 root     PPP           631 Mar 14  1995 /usr/sbin/ppp-off
  

• Ajouter les utilisateurs qui utilisent PPP dans le groupe PPP dans /etc/group

Même si vous faites cela, les utilisateurs normaux ne pourront pas fermer la connexion avec un programme ! Utiliser ppp-off nécessite les privilèges root. Même si n'importe quel utilisateur peut éteindre le modem (ou déconnecter la ligne téléphonique sur un modem interne).

Un alternative (et une meilleure méthode) de faire cela est d'utiliser le programme sudo, qui offre une meilleure sécurité et vous permettra de choisir quels utilisateurs (autorisés) pourrons activer/désactiver la liaison en utilisant des scripts. Utiliser sudo permet aux utilisateurs autorisés d'activer/désactiver la liaison PPP de façon propre et sécurisée.

Hosting by: Hurra Communications GmbH
Generated: 2007-01-26 18:01:37