Bonjour,
Dans le cadre d’une mise en place d’un système de formation à distance, pour faciliter la prise en main d’outils spécifiques, le formateur me demande d’utiliser un logiciel > Teamviewer. Mais pour des raisons évidente de restriction d’accès à mes données personnelle, je compte installer une machine virtuelle dans laquelle j’installerais le logiciel. J’opte pour virtualbox comme système de virtualisation (c’est le seul que je connaisse un peu). L’installation de la VM ne me pose pas de problème particulier, le truc c’est que je ne sais pas comment sécuriser le tout, qu’au travers de la VM le formateur ne puisse remonter sur le système hôte…
Comment permettre l’écriture sur la VM, mais restreindre l’accès au système hôte ? Dois-je créer un dossier avec des droits restreint pour virtualbox ? Cela ne va pas engendrer de complication dû à l’intégration au noyau ?
J’ai parcouru les commandes [mono]chmod[/mono] [mono]chown[/mono] [mono]chgrp[/mono] J’y perd un peu mon latin (que je ne connais pas d’ailleurs)
Ce sujet ne me semble pas simple, mais j’ai vraiment envie de comprendre comment faire pour bien faire. Je redoute l’escalade de privilège.
[quote=“Oracle: Prévention de l’escalade de privilèges”]
Le noyau Oracle Solaris empêche l’escalade de privilèges. Une escalade de privilèges se produit lorsqu’un privilège permet à un processus de faire plus que ce à quoi il est autorisé. Pour empêcher qu’un processus acquière plus de privilèges que ceux qui lui sont accordés normalement, les modifications de système vulnérable exigent le jeu complet de privilèges. Par exemple, un fichier ou un processus détenu par root (UID=0) ne peut être modifié que par un processus ayant le jeu complet de privilèges. Le compte root n’a pas besoin de privilèges pour modifier un fichier appartenant à root. Toutefois, un utilisateur non root doit avoir tous les privilèges pour modifier un fichier appartenant à root.
De même, les opérations permettant d’accéder aux périphériques requièrent tous les privilèges du jeu effectif.
Les privilèges file_chown_self et proc_owner sont soumis à l’escalade de privilèges. Le privilège file_chown_self permet à un processus d’abandonner ses fichiers. Le privilège proc_owner permet à un processus d’examiner des processus dont il n’est pas propriétaire.
Le privilège file_chown_self est limité par la variable système rstchown. Lorsque la variable rstchown est définie sur zéro, le privilège file_chown_self est supprimé du jeu héritable initial du système et de tous les utilisateurs. Pour plus d’informations sur la variable système rstchown, reportez-vous à la page de manuel chown(1).
Le privilège file_chown_self est attribué, pour des raisons de sécurité, à une commande particulière, placée dans un profil et affectée à un rôle pour l’utiliser dans un shell de profil.
Le privilège proc_owner n’est pas suffisant pour définir un processus UID sur 0. Basculer d’un processus de n’importe quel UID à UID=0 exige tous les privilèges. Étant donné que le privilège proc_owner donne un accès illimité en lecture à tous les fichiers sur le système, le privilège est attribué, pour des raisons de sécurité, à une commande particulière, placée dans un profil et affectée à un rôle pour l’utiliser dans un shell de profil.
Attention
Attention - Le compte d’un utilisateur peut être modifié afin d’inclure le privilège file_chown_self ou proc_owner dans le jeu héritable initial de l’utilisateur. Vous devez avoir des raisons de sécurité de poids pour placer ces privilèges puissants dans le jeu de privilèges héritable pour n’importe quel utilisateur, rôle ou système.
docs.oracle.com/cd/E24843_01/htm … ef-20.html[/quote]
uname -a
Linux deb 3.2.0-4-amd64 #1 SMP Debian 3.2.65-1+deb7u1 x86_64 GNU/Linux
aptitude show virtualbox
Paquet : virtualbox
État: installé
Automatiquement installé: non
Version : 4.1.18-dfsg-2+deb7u3
Priorité : optionnel
Section : otherosfs
Responsable : Debian Virtualbox Team <pkg-virtualbox-devel@lists.alioth.debian.org>
Architecture : amd64
Taille décompressée : 45,8 M
Dépend: libc6 (>= 2.6), libcurl3 (>= 7.16.2), libgcc1 (>= 1:4.1.1), libgsoap2, libpng12-0 (>= 1.2.13-4), libpython2.7 (>= 2.7), libsdl1.2debian (>= 1.2.11), libssl1.0.0 (>= 1.0.0),
libstdc++6 (>= 4.6), libvncserver0, libx11-6, libxcursor1 (> 1.1.2), libxext6, libxml2 (>= 2.7.4), libxmu6, libxt6, zlib1g (>= 1:1.1.4), python (>= 2.6.6-7~), python (< 2.8),
python2.7, adduser
Pré-dépend: dpkg (>= 1.15.6~)
Recommande: virtualbox-dkms (= 4.1.18-dfsg-2+deb7u3) | virtualbox-source (= 4.1.18-dfsg-2+deb7u3), virtualbox-qt (= 4.1.18-dfsg-2+deb7u3), libgl1-mesa-glx | libgl1, libqt4-opengl (>=
4:4.5.3), libqtcore4 (>= 4:4.5.3), libqtgui4 (>= 4:4.5.3)
Suggère: virtualbox-guest-additions-iso, vde2
Est en conflit: virtualbox-2.0, virtualbox-2.1, virtualbox-2.2, virtualbox-3.0
Casse: virtualbox-ose (< 4.0.6-dfsg-1~)
Remplace: virtualbox-ose (< 4.0.6-dfsg-1~)
Merci de me donner vos conseils, des pistes à suivre, partager votre savoir.