je viens de lire page 19 du lea book (lre-linux.org) que si on oubliait son mdp root il suffisait de faire Ctrl+C sous Grub puis de taper single user, pour ouvrir une session root qui ne demande pas de mdp et qui permet de le changer !!
 
mais alors je ne comprends pas à quoi sert le mdp dans ce cas...
 
quelqu'un peut-il m'éclairer ??

si tu fait ca tu passe en mode single c'est a dire que le reseau n'est pas actif. L'ordinateur devient donc plutot limité dans ses foncitons
 
Cependant tu peux desactiver cette possibilité d'utiliser linux single si tu es dnas un environement hostile !

oui mais si tu changes le mdp root tu n'as plus qu'a redémarrer ensuite et te relogguer en root pour faire le fou !

Quelque soit l'OS, quelque soit la machine, si tu es en mesure d'y accéder physiquement, alors, cette machine n'est pas sécurisée. Et c'est ça, le fait de pouvoir la rebooter et d'être à côté à ce moment-là. Donc ça ne sert à rien de s'emmerder à cacher les choses à ce moment-là.

oui ok mais c'est simplement que dans ce cas précis c'est simple et ca ne nécessite pas de démontage de disque ou autre

Pourquoi crois-tu que les salles d'hébergement, chez UUnet ou n'importe qui d'autre, ne sont pas accessibles facilement, et qu'il faut prévenir à l'avance quand on veut intervenir physiquement sur son propre serveur ? Avec même, d'après ce qu'on m'a dit, demande de carte d'identité et tout le bazar ?
C'est la raison : une machine accessible a une sécurité NULLE.

Et alors ? Relis bien. Ça changerait quoi si il fallait démonter le disque ? Ça serait juste une perte de temps pour l'administration, mais ça ne change rien au final. Et puis pas besoin de démonter le disque, il suffit de booter avec une Knoppix, par exemple.

ok ok ! je suis juste un petit peu étonné...

Il n'y a rien d'étonnant : essaie de sécuriser une machine que tout le monde peut venir voir. Tu finiras par y interdire l'accès bien avant d'avoir tout tenter pour éviter qu'elle soit compromise.

Pour prendre l'exemple de la mandrake ( ) , il me semble que si on règle le "niveau de sécurité" assez haut, il demande le mot de passe root même en mode single ! (à confirmer)

dc en gros tout le monde peut etre root ?  

Toute personne ayant un accès physique à la machine, oui. Trouve-moi une machine dans le monde pour laquelle ce n'est pas possible, et ne reposte pas avant de l'avoir trouvée (n'importe quel OS, n'importe quel matériel). Tu n'es pas prêt de poster à nouveau

meme une machine ou les données sont cryptées directement avant d'etre stockée et ou il faut une passphrase pour booter ??

 
si mdk avec haute sécurité
...mais alors comme disait ceyquem, je change le passe root puis je reboot puis jme log en root et je nique tout le rezo ?  

Oui. avec le temps, on parviendra à déchiffrer le bidule. Mais de toutes façons, avec ce type de système, la méthode qui étonne ceyquem ne marchera pas. On en revient à un compromis avec simplicité d'utilisation et paranoïa sécuritaire.

Non, justement, puisque tu ne pourras pas booter comme le dit ceyquem.

Avec le temps toutes les methodes de protections que ca soit en cas d'acces physique ou a distance, sont faillibles !

Sauf que si tu n'as pas accès physique à la machine, l'admin de cette machine peut changer les règles de sécurité nécessaire de façon dynamique. Alors que si tu as le disque dur de la machine que tu veux cracker sous le bras, c'est plus difficile à administrer.
 
C'est juste pour dire à Ceyquem que les accès physiques à une machine la placent dans une situation vulnérable, et qu'il n'y a pas lieu de s'étonner de la facilité apparente à passer outre le mot de passe root selon léa-linux, car cela demande en fait des accès très hautement privilégiés (on ne se rend pas forcément compte que l'on a des accès très hautement privilégiés à sa propre machine, accès nécessaires pour pouvoir installer un OS : si tu peux y installer un OS toi-même, alors, tu peux la compromettre de la même façon).

ok, je suis d'accord avec toi, j'avais pas vu les choses d'une facon aussi pointue

Bin oui, c'est pour ça que les entreprises ont en général des salles spécialisées, fermée à clés et sous vidéo-surveillance.
 
D'ailleurs, dans tout livre de sécu qui se respecte, un chapitre sur la sécurité physique de la machine est toujours abordé.
 
Mais en tant que particulier, si on a pas confiance en sa famille ou ses amis ( ), tu peux tout de même mettre un mot de passe au boot pour limiter les dégâts. Le problème c'est que là encore tu peux contourner

L'un des seuls trucs à faire, cé de crypter les données "sensibles" et de séparer physiquement les clés nécessaires à la lecture des données ... Pour ce qui est de protéger une machine entière à laquelle on peut avoir physiquement accès, ça relèvre de l'utopie sauf à employer une combinaison hard + soft spécialement dédiée et (bien) conçue à cet effet ...

 
koi jcomprends pas trop là   On change le passe, on reboot et on se log en root
En gros, vu qu'en université on a un accès physique aux bécanes, on démarre en single mode puis on devient root  

le mode single est desactivable

 
Et ben alors une machine physique comment est - elle vunérable ? (sans parler de la démonter pour choper le dur et tout décrypter)

Je ne vois guère ce qu'on peut faire de plus que :
 
- configurer le bios pour interdire le boot sur disquette ou sur disque
- mettre un mot de passe au bios
- configurer le boot loader pour ne pas autoriser le mode
 
ce qui impliquerait par exemple ouvrir la machine pour transférer le disque ailleurs ou encore reset du bios,  
à moins d'une solution psychédélique comme du cryptage + une cage cadenassée + une mygale dans la cage
 
 
Rien qui ne découragerais qqn qui veut vraiment farfouiller sur la machine
 
=> sécurité physique avant tout
 
 
 

cage de faraday + 50 0000V tout autour ?

 
 
je ne suis pas sur que les composants électroniques apprécient beaucoup

le principe de la cage de faraday c'ets de ne pas laisser entre/sortir les rayonnements electro-magnétiques il me semble ... donc .. !

Faire des sauvegardes en double placées dans 2 endroits sûrs physiquement éloignés. Le jour où on doit y faire appel, ça permet de s'assurer qu'elles sont encore dignes de confiance (un pti malin qui les modifie ...)!
 
Ecraser le mdp root, ça permet de s'amuser un certain temps mais ce sera détecté un jour (càd trop tard, c'est vrai) car le vrai mdp ne marche plus (enfin il me semble?).
 
En ayant un accès physique à la machine, être bourrin suffit si on veut simplement se faire passer pour elle. En connexion de type SSH, je sais pas si un client exige une réponse sécurisée d'un serveur quand celui-ci par défaut est devenu très laxiste?