<HTML> <HEAD> <TITLE>Utiliser PPP et les privilèges <B>root</B> </TITLE> </HEAD> <BODY> <A NAME="root"></A> <H1>11. <A NAME="s11"></A>Utiliser PPP et les privilèges <B>root</B> </H1> <P> <A HREF="PPP-HOWTO.html#toc11">Contenu de cette section</A></P> <P>Puisque PPP à besoin de configurer les périphériques réseau, modifier les tables de routage entre autres, il a besoin des privilèges <B>root</B>.</P> <P></P> <P>Si des utilisateurs autres que <B>root</B> doivent lancer des connexions PPP, le programme <CODE>pppd</CODE> doit avoir l'uid <B>root</B> :</P> <P> <BLOCKQUOTE><CODE> <PRE> -rwsr-xr-x 1 root root 95225 Jul 11 00:27 /usr/sbin/pppd </PRE> </CODE></BLOCKQUOTE> </P> <P></P> <P>Si <CODE>/usr/sbin/pppd</CODE> n'est pas défini comme cela, alors <B>en étant root</B> taper la commande :</P> <P></P> <P> <BLOCKQUOTE><CODE> <PRE> chmod u+s /usr/sbin/pppd </PRE> </CODE></BLOCKQUOTE> </P> <P></P> <P>Cela permet à <CODE>pppd</CODE> de fonctionner avec les privilèges <CODE>root</CODE> <B>même</B> i si le programme est lancé par un utilisateur ordinaire. Ainsi <CODE>pppd</CODE> a les bons privilèges pour configurer les interfaces réseau et les tables de routage.</P> <P></P> <P>Les programmes qui utilisent le uid root sont autant de trous de sécurité potentiels et vous devez être extrêmement vigilant par rapport aux programmes uid root. De nombreux programmes (comme <CODE>pppd</CODE>) ont été écrits minutieusement pour minimiser le danger d'utiliser suit root, vous devez donc être tranquille avec celui-ci (mais sans garanties totales).</P> <P></P> <P>Selon ce que vous voulez faire de votre système - particulièrement si vous voulez qu'un utilisateur puisse initialiser une liaison PPP, vous devez mettre vos scripts <CODE>ppp-on/off</CODE> lisibles et exécutables par tout le monde. (c'est sans doute génial si vous êtes le SEUL utilisateur du PC).</P> <P></P> <P>Cependant, si vous NE voulez PAS que n'importe qui puisse lancer une connexion PPP (par exemple, votre enfant qui a un compte sur votre PC Linux et que vous ne voulez pas qu'il se connecte à Internet sans votre permission), vous devez faire un groupe PPP (en tant que <CODE>root</CODE>, éditer le fichier <CODE>/etc/group</CODE>) et : <UL> <LI>Rendre <CODE>pppd</CODE> 'suid root', possédé par l'utilisateur <B>root</B> et le groupe PPP, avec ces nouvelles permissions sur le fichier. Il doit ressembler à <BLOCKQUOTE><CODE> <PRE> -rwsr-x--- 1 root PPP 95225 Jul 11 00:27 /usr/sbin/pppd </PRE> </CODE></BLOCKQUOTE> </LI> <LI>Mettre les scripts <CODE>ppp-on/off</CODE> possédés par l'utilisateur <B>root</B> et le groupe <B>PPP</B> </LI> <LI>Rendre le script <CODE>ppp-on/off</CODE> lisible/exécutable par le groupe PPP <BLOCKQUOTE><CODE> <PRE> -rwxr-x--- 1 root PPP 587 Mar 14 1995 /usr/sbin/ppp-on -rwxr-x--- 1 root PPP 631 Mar 14 1995 /usr/sbin/ppp-off </PRE> </CODE></BLOCKQUOTE> </LI> <LI>Ajouter les utilisateurs qui utilisent PPP dans le groupe PPP dans <CODE>/etc/group</CODE></LI> </UL> </P> <P></P> <P>Même si vous faites cela, les utilisateurs normaux ne pourront pas fermer la connexion avec un programme ! Utiliser <CODE>ppp-off</CODE> nécessite les privilèges <B>root</B>. Même si n'importe quel utilisateur peut éteindre le modem (ou déconnecter la ligne téléphonique sur un modem interne).</P> <P></P> <P>Un alternative (et une meilleure méthode) de faire cela est d'utiliser le programme <CODE>sudo</CODE>, qui offre une meilleure sécurité et vous permettra de choisir quels utilisateurs (autorisés) pourrons activer/désactiver la liaison en utilisant des scripts. Utiliser <CODE>sudo</CODE> permet aux utilisateurs autorisés d'activer/désactiver la liaison PPP de façon propre et sécurisée.</P> <P></P> <P></P> <HR> <P> Chapitre <A HREF="PPP-HOWTO-12.html">suivant</A>, Chapitre <A HREF="PPP-HOWTO-10.html">Précédent</A> <P> Table des matières de <A HREF="PPP-HOWTO.html#toc11">ce chapitre</A>, <A HREF="PPP-HOWTO.html#toc">Table des matières</A> générale</P> <P> <A HREF="PPP-HOWTO.html">Début</A> du document, <A HREF="#0"> Début de ce chapitre</A></P> </BODY> </HTML>
