(Courriels de diversion: <contiguë@contractons-remmena.com> <eclaterions@eruditions-secondaient.com> <folioter@inventrices-catalyserions.com> <capitalisions@embourgeoisant-insuffleriez.com> <felicites@receptionnee-syriennes.com> <satisfaisons@convoierai-sent.com> <valorisiez@mastiquions-soda.com> <ridiculisant@federeras-brechet.com> <positives@replets-reperde.com> <vacarme@relaye-surgelons.com> )


le vendredi 30 janvier à 14h20, eric.gerbier@meteo.fr (Eric Gerbier) ,en marchant malencontreusement sur son clavier, a écris par hasard :

> > Philippe Coulonges wrote:
> > Il n'existe toujours pas de forme de virus sous Linux ? Même un
> > virus qui pourrirait le répertoire $HOME si on double-clique sur la
> > pièce jointe ?
> 
> ca, c'est facile a faire (meme en shell),
> mais avec une bonne sauvegarde :) ca n'ira pas plus loin

Peu d'utilisateur double cliquent sur un binaire en pièce jointe. De
plus, la plus part des clients mails ne proposent pas d'exécuter les
pièces jointes, mais de les ouvrir avec un programme. Sans compter la
diversité des types de binaires unix, des processeurs, etc.

Reste qu'avec le nombre de clients mails différents, il est difficile
de trouver une faille qui exécute la pièce jointe à l'insu de 
l'utilisateur.
 
> > Même pas un virus qui serait capable d'exécuter (d'essayer) un
> > exploit pour passer root et pourrir le système ?
> >
> > Je sais que ce n'est pas tout à fait pareil qu'un virus qui va en
> > plus chercher à se repoduire, mais l'idée est là quoi...
> 
> ce qu'il y a , et depuis longtemps sous unix, c'est des vers, qui
> utilisent des failles de securite (apache, sendmail ...) pour se
> propager.
> 
> mais je ne crois pas avoir vu de vrai "virus" (au sens infection des
> autres executables de la machine)

Sur une machine bien configurée, aucun exécutable n'est modifiable par
un utilisateur, et aucun montage accessible en écriture par
l'utilisateur n'est exécutable.

Donc /tmp et /home doivent être montés en noexec. Reste /var dont le
spool mail est accessible en écriture. Il est rare d'avoir a exécuter un
programme dans /var, à part sous debian avec les prerm et postrm des
paquets, mais là, comme pour /tmp, il faut remonter avec le exec le
temps de l'installation/désinstallation/mise à jour, ça se fait
automatiquement si c'est bien configuré.

C'est pour ça qu'il faut systématiquement créer des partitions pour
/var/ /tmp et /home sur les systèmes ou des utilisateurs peuvent se
logger.

-- 
 busab

--------------------------------------------------------------------
Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>