CTparental GUI modif mot de passe Admin

[Philippe Dpt35]

@mothsart :
+1 d'où ce patch https://github.com/CyrilleBiot/primtux-no-sudo-password
qui vire l'identification sudo sur la session admin

Je pense que vous parlez en spécialistes qui maîtrisent ce qu'ils font et oublient que la plupart des utilisateurs n'ont pas ces connaissances.
En milieu familial devoir saisir le mot de passe à chaque opération sensible est une sécurité nécessaire pour éviter la casse du système.

[cyrille]

https://fr.wiktionary.org/wiki/PEBCAK

Oui mais dans ton cas, la faille de sécurité vient du fait que l'enfant a accès à la session administrateur, pas des logiciels de la session administrateur.

Aussi bien. C'est déjà le cas actuellement (cf figure du #8)

[cyrille]

Ben pourquoi dans toutes les distributions Linux (ou pratiquement toutes) faut-il ressaisir le mot de passe à chaque fois ?

Surement pas,
sous debian ou freeBSD, une fois sous root , tu ne t'amuses pas à ressaisir le mot de passe à chaque commande
Idem sous yunohost (sous couche à l'administration de vps, autohébergement, serveur perso), une fois loggué en admin, tu ne vas pas ressaisir le mot de passe sudo (tu es déjà admin)

[mothsart]

Dans ces cas là, faut dissocier session prof et admin. (ou au moins laissé une possibilité de créer une session admin facilement)

[Philippe Dpt35]

Ben pourquoi dans toutes les distributions Linux (ou pratiquement toutes) faut-il ressaisir le mot de passe à chaque fois ?

Surement pas,
sous debian ou freeBSD, une fois sous root , tu ne t'amuses pas à ressaisir le mot de passe à chaque commande
Idem sous yunohost (sous couche à l'administration de vps, autohébergement, serveur perso), une fois loggué en admin, tu ne vas pas ressaisir le mot de passe sudo (tu es déjà admin)

Sous pratiquement toutes les distributions, les sessions ne sont pas des sessions root, qui sont même désactivées par défaut dans les distributions ubuntu.
Dans PrimTux, administrateur n'est pas root !

[cyrille]

oui je sais que sous ubuntu, root est desactivé
mais ça reste une exception d'ubuntu et j'ai répondu à ton "pratiquement toutes" --> donc, non, seulement les dérivées d'ubuntu

Le soucis est que si l'administrateur n'est pas considéré comme administrateur, c'est hyper tordu.

Le seul avantage de sudo est de pouvoir tracer l'historique des commandes en cas de crash serveur et de voir qui a fait quoi.

[cyrille]

@mothsart : ça va finir par une tripotée de comptes...

[Philippe Dpt35]

Aussi bien. C'est déjà le cas actuellement (cf figure du #8)

C'est pourquoi je proposais précédemment, post #17

Ne faudrait-il pas profiter de ce développement pour régler ce problème de sécurité ?

[cyrille]

Le but du programme (je ne l'ai pas écrit, ça existe déjà, juste fait un frontend (je commence à me dire que je n'aurai rien dû faire et employer mon temps à autre chose) et de réinitialiser le couple login / mot de passe en cas de perte de ces données.
Comment veux tu le réinitialiser avec l'ancien si tu l'as perdu ?

Ne faudrait-il pas profiter de ce développement pour régler ce problème de sécurité ?

Que proposes tu tout en sachant que les identifiants sont perdus et qu'une identfication via sudo serait caduque car si le gamin a le mot de passe admin, il a aussi celui du sudo ?

[Philippe Dpt35]

(je commence à me dire que je n'aurai rien dû faire et employer mon temps à autre chose)

Mon intention n'est pas de remettre en cause ton travail, mais de soulever un problème de sécurité dans certains contextes, notamment en milieu familial.

Que proposes tu tout en sachant que les identifiants sont perdus et qu'une identfication via sudo serait caduque car si le gamin a le mot de passe admin, il a aussi celui du sudo ?

Je ne sais plus si une modification du mot de passe se fait facilement au sein de CTparental.
On pourrait donc envisager que l'interface graphique accessible depuis le panneau d'administration ne serve pas à réinitialiser le mot de passe, mais à le changer si cette procédure n'est pas très simple au sein de CTparental, avec demande du mot de passe précédent.

Quant à une réinitialisation complète du mot de passe, le script, qui lui ne demanderait pas de mot de passe, ne devrait peut-être pas être accessible depuis le panneau d'administration, mais être inclus dans un répertoire système de PrimTux, qu'on devrait lancer en ligne de commande. Les administrateurs sauraient comment y accéder, pas l'utilisateur non averti.

ça n'est qu'une suggestion, ouverte à la discussion !

[cyrille]

Je ne sais plus si une modification du mot de passe se fait facilement au sein de CTparental.

non

le script, qui lui ne demanderait pas de mot de passe, ne devrait peut-être pas être accessible depuis le panneau d'administration,

Dans ce cas, faut virer le bouton


Et le changement en CLI

Code :

sudo CTparental -setadmin NouvelAdmin NouveauMotDePasse

Les administrateurs sauraient comment y accéder, pas l'utilisateur non averti.

Preuve en est que non, vu que j'ai développé ce truc suite à une demande d'ERUN avait perdu le mot de passe et était perdu.
Tout le monde ne lit pas la doc des logiciels qu'il utilise et encore moins ne regarde l'aide avec l'argument (-h)

Enfin c'est dispo. Celui qui en veut le prend , y a aucune obligation

[Philippe Dpt35]

Dans ce cas, faut virer le bouton

L'intitulé du bouton est correct, ce qu'il faudrait c'est que soit demandé l'ancien mot de passe. Mais pour cela il faudrait que le mot de passe de CTparental puisse être accessible d'une manière ou d'une autre, et c'est peut-être là que réside la difficulté.

[Steph]

Mais si t'as perdu le mot de passe et qu'on te le demande... C'est foutu!
Bon j'ai un peu mis le b... avec ma question. À l'origine on ne le demandait pas. Là on a un gui qui permet de la changer sans cli voilà, rien d'extraordinaire.

[Philippe Dpt35]

Mais si t'as perdu le mot de passe et qu'on te le demande... C'est foutu!

C'est pourquoi je proposais une solution à deux niveaux :
- possibilité de changer le mot de passe depuis le panneau d'administration, mais il faut fournir l'ancien mot de passe
- réinitialisation du mot de passe, donc sans fournir l'ancien, mais là pas de publicité. Un script accessible uniquement pour ceux qui se seront donné la peine de chercher comment faire. L'ERUN de Cyrille a d'une certaine manière trouvé le moyen de le faire en s'adressant à Cyrille !

Je suis bien conscient que la plupart des sécurités peuvent être déverrouillées par des personnes qui en ont les compétences, mais le but est d'éviter que des aspects sécurité puissent être trop facilement compromis par n'importe qui.

C'est un peu comme une voiture ou une maison : on n'empêchera pas le vol de la part de professionnels en la matière, mais on peut éviter le vol d'opportunité que n'importe qui peut commettre si on ne ferme pas ses portes ou qu'on laisse ses clés sous le paillasson !

[Philippe Dpt35]

Bon j'ai un peu mis le b... avec ma question.

En fait non, tu n'as pas mis le b...
Je n'avais jamais eu à changer le mot de pase de CTparental, donc je ne m'étais pas aperçu que ça pouvait se faire sans l'ancien mot de passe. Ta question a fort opportunément mis le doigt sur un problème de sécurité dans certains contextes, notamment en milieu familial.
Il est légitime de s'interroger pour voir si on ne peut pas améliorer les choses. Cela ne remet pas en cause le travail qui a été accompli !

Il n'y a aucune animosité dans mon argumentation !

[mothsart]

N'importe quel barbu linux vous dira que sudo c'est très dangereux niveau sécu. (et donc que Ubuntu en le forçant crée plus de problèmes qu'il n'en résoud).
On va dire que lancer de l'interface graphique est fortement déconseillé en admin sous linux (pour un tas de bonnes raisons) et ça peut importe la distrib.
La tendance actuelle est de faire le max en espace utilisateur en donnant certains privilèges si besoin.
Ca pose évidement de vrais soucis niveau applicatif : si ces derniers sont trop vieux et n'ont pas intégré cette notion par exemple.
Le cas le plus probant est "apt" qui nécessite d'avoir des droits root pour installer des softs. (je crois que c'est dans les tuyaux de résoudre ça mais c'est pas gagné)

Sur certains distribs récentes (NixOS, Guix mais il doit y en avoir d'autres), tu peux installer des paquets via le compte "toto" et les logiciels installés ne seront pas visibles pour les autres utilisateurs.
En revanche, cet utilisateur peut également installer les paquets pour un groupe d'utilisateurs (si il appartient à ce groupe bien sur).
C'est un peu l'idéal vers lequel toutes les distribs vont/doivent tendre donc Primtux y compris.

Par exemple, pour le PrimtuxMenu, j'ai trouvé une solution de contournement' : pour éviter de faire des demandes de mdp à chaque install de logiciels est d'avoir un daemon qui tourne en root (et qui execute les apt install) et un protocole d'échange (de l'HTTP mais ça pourrait être d'autre trucs genre DBUS) avec mon dameon via l'interface (qui elle a juste les droits lié à l'utilisateur "prof").

Pour moi, CTParental devrait être rattaché au compte "prof" et ne devrait pas à avoir d'autre mdp à gérer.

@Phillippe : pour ton exemple dans les familles, l'attention sur la sécurité doit être clairement mis sur la connexion.
Si les parents veulent garder le contrôle : ils ne donnent pas leur mdp.
Si les enfants font certaines tâches en admin, ça nécessite de se connecter via l'aval d'un 'parent et idéalement que le parent les accompagne tout le long.
Si les enfants connaissent déjà le mdp "prof", je vois pas en quoi leur redemander va les bloquer en quoi que ce soit si vraiment ils sont en mode "jouer avec le feu".

@cyrille : je pense que tu serais moins frustré si tu faisais les choses dans l'ordre.
Tu proposes un soft, on en parle et on défini ensemble l'expression du besoin et après tu réalises.

Je peux comprendre l'effet grisant de partir direct sur le code mais en faisant ça tu te mets tout seul dans une situation inconfortable.
J'ai eu moi-même ce travers longtemps mais travaillant dans l'IT, j'ai du m'adapter.
Avec le recul, j'ai tendance à passer beaucoup plus de temps en pourparler, planification, architecture etc. Mais en appliquant ça j'ai beaucoup moins de code poubelle au final : je vais direct à l'essentiel.

[cyrille]

@cyrille : je pense que tu serais moins frustré si tu faisais les choses dans l'ordre.
Tu proposes un soft, on en parle et on défini ensemble l'expression du besoin et après tu réalises.

j'ai juste du mal à comprendre que le truc existait avant et n'était pas plus secure mais que ça génait personne
je ne propose rien d'autre qu'une autre interface plus conviviale et ça semble être la faille de sécurité du siècle.

[Philippe Dpt35]

j'ai juste du mal à comprendre que le truc existait avant et n'était pas plus secure mais que ça génait personne
je ne propose rien d'autre qu'une autre interface plus conviviale et ça semble être la faille de sécurité du siècle.

Non, ça n'est pas ça du tout.
C'est simplement parce que je ne m'étais pas aperçu qu'il n'était pas nécessaire de saisir le mot de passe CTparental initial avant de pouvoir le changer.
Ta proposition a juste permis de le mettre en évidence, d'où mon interrogation qui ne vise pas ton soft, mais correspond à un risque potentiel que je perçois compte tenu des publics pour lesquels j'installe PrimTux.

Si les enfants connaissent déjà le mdp "prof", je vois pas en quoi leur redemander va les bloquer en quoi que ce soit si vraiment ils sont en mode "jouer avec le feu".

Ce n'est pas le mot de passe prof qui devrait être redemandé, mais celui de CTparental qui est différent de celui de prof.

Je comprends bien qu'en utilisation scolaire le danger ne soit pas perçu. J'installe des PrimTux en milieu scolaire et également pour de nombreuses familles, et j'ai dans les deux cas une perception très différentes des besoins de sécurité.

J'ai par exemple installé 14 postes PrimTux dans une salle informatique d'une école de ma région. Je n'ai pas mis CTparental sur les postes. Comme ils sont en réseau avec un serveur, j'ai demandé à la directrice de voir si la société qui assure la maintenance du serveur peut y mettre en place un contrôle parental, ou s'il existe un proxy éducation nationale au niveau départemental.

A défaut, ça n'est de toute façon pas trop problématique, parce que j'ai viré Google des moteurs de recherche des sessions élèves, et en salle informatique il y a toujours la surveillance de l'enseignant. Les élèves n'auront pas vraiment l'opportunité de saisir directement une URL douteuse dans la barre d'adresse, et encore moins de tenter de se connecter en session administrateur.

En milieu familial, même si je recommande aux parents d'avoir toujours un œil sur ce que font leurs enfants, la surveillance ne sera pas permanente. Et il y a les cas où les parents en savent moins que leur enfant de 9 à 12 ans qui est parfois amené à les aider en session administrateur.

[Philippe Dpt35]

Ta proposition a juste permis de le mettre en évidence, d'où mon interrogation qui ne vise pas ton soft, mais correspond à un risque potentiel que je perçois compte tenu des publics pour lesquels j'installe PrimTux.

Pour être plus précis, ce que je souhaiterais c'est que ton soft soit utilisé à la place de ce qui se fait actuellement, mais en demandant le mot de passe CTparental précédent pour permettre un changement de mot de passe.

Et une autre version de ce même soft qui ne demanderait pas le mot de passe pourrait être placé dans un répertoire système de PrimTux et servirait à la réinitialisation du mot de passe dans les cas peu fréquents où un administrateur PrimTux l'aurait oublié, par un lancement enligne de commande.

[mothsart]

Ce n'est pas le mot de passe prof qui devrait être redemandé, mais celui de CTparental qui est différent de celui de prof.

Mon problème de fond c'est pourquoi devoir jongler avec 2 mdp.
Ce que je pense (mais je me trompe peut-être) : il y a un mdp diff sur CTParental car ce dernier oblige à renseigner un mdp et non pas parce qu'on voulait au début avoir un mdp supplémentaire pour CTParental.

En milieu familial, même si je recommande aux parents d'avoir toujours un œil sur ce que font leurs enfants, la surveillance ne sera pas permanente. Et il y a les cas où les parents en savent moins que leur enfant de 9 à 12 ans qui est parfois amené à les aider en session administrateur.

Désolé, c'est là ou j'ai du mal à comprendre.
Quand les enfants aident leurs parents c'est parce que un des parents à ouvert la session "prof"... donc ils sont ensemble.
L'éducation à donner aux parents, elle est là : si le parent désires laissé l'enfant en autonomie, il force l'enfant à utiliser une session élève. Donc déconnexion après intervention ensemble et mot de passe connu uniquement du parent.
De toute façon, CTParental ne va pas filtrer les contenus sur la session "prof" donc de toute façon laissé le gamin seul sur celle-ci n'est pas souhaitable. (qu'il ai accès au mdp ou non n'y change pas grand chose)

Je vois un autre soucis à faire ça (qui me paraissent bête pour nous) : ne pas fermer des fenêtres qui nécessitent des droits root après intervention.
Plutôt que partir sur des trucs complexes, il vaut mieux avoir ce discours qui fonctionne très bien :

• première action quand on accède à l'ordi : on se connecte . (ou on démarre et on se connecte)
  
• dernière action : on se déconnecte ou on éteint.