Connexion

Besoin d'aide ? Une question ? Un avis ? Rejoignez nous sur notre salon IRC pour clavarder

Forum

Système et matériels » Administration système [Réglé] Quel mot de passe faut-il taper ?

nic80 Membre non connecté

Rang

Avatar

Inscrit le : 06/08/2018 à 23h52

Messages: 2772

Le 13/07/2020 à 19h21

Reprise du message précédent

Bonjour,

Effectivement le mode paranoid n' existe plus visiblement.
Je crois que j' ai lu trop vite...

Citation :
Niveau secure. Ce niveau vous assure que votre système est sécurisé, mais toujours utilisable au quotidien. Il limite les autorisations du système et exécute des vérifications périodiques plus nombreuses. En outre, l'accès à votre système est plus restreint (ce niveau est similaire aux niveaux 4 - High - et 5 - Paranoid - des versions précédentes de Msec).



Pour le nom d' utilisateur dans la fenêtre, peut être que j' ai vu ça pour l' ouverture du ccm alors. Mais dans ce cas pourquoi y' aurait t' il une différence de traitement entre les deux ? C' est bien l' agent polkit qui affiche la fenêtre dans les 2 cas, non (après je ne peux pas vérifier pour l' ouverture du ccm si dans la fênêtre qui demande les identifiants si en cliquant sur details, on voit que c' est pour root)? Edité par nic80 Le 13/07/2020 à 19h29
   
Papoteur Membre non connecté

Rang

Avatar

Modérateur Équipe Mageia

Inscrit le : 03/10/2011 à 22h16

Localisation : Metz

Messages: 7920

Le 14/07/2020 à 22h45
A ma connaissance, le mode secure dans msec ne change rien au niveau des autorisations. C'est le rôle de draksec.
L'agent polkit est spécifique à chaque bureau. Tu confonds peut être entre les bureaux ?


Yves
   
Jybz Membre non connecté

Rang

Avatar

Modérateur Administrateur

Inscrit le : 10/10/2018 à 10h26

Messages: 3144

Le 15/07/2020 à 20h58
Sur plasma/kde, lorsqu'il n'est pas précisé, c'est le mot de passe de l'utilisateur actuellement utilisant la session.
Sinon, par exemple lorsqu'on tente d'ouvrir le CCM, devant la boite pour taper le mot de passe il est écrit :
Mot de passe de root :
   
nmrk.n Membre non connecté

Rang

Avatar

Inscrit le : 20/04/2018 à 16h27

Localisation : Migrateur Selon la saison

Messages: 79

Le 17/07/2020 à 22h27
Bonjour,

Merci de bien vouloir nous communiquer les différentes valeurs de "Choix par défaut" pour toutes les options et les différentes configurations.

(quelqu'un en ayant décidé, ces valeurs doivent bien être connues).

Y compris celles non affichées dans la capture ci-dessous, merci.

20200717_221817-choix_par_defaut_securite_outils_mga

:merci: Edité par nmrk.n Le 17/07/2020 à 22h29


Autre Distrib : Trisquel | Matériel : Penguin Pro 5 GNU/Linux Desktop | Processeur : Intel Quad-Core i5-4430 (6M Cache, up to 3.20 GHz) | Memory: 32GB DDR3 | Hard Drive: ATA Samsung SSD 840 256Go table::gpt depuis 2020 (anc. dos) et Seagate Barracuda ATA ST2000DM001-1CH1 2To 64Mo table::gpt | DVD : TSSTcorp CDDVDW SH-224DB | Wireless N: Wireless N PCIe Card (TPE-N300PCIE4) | Graphics Card: GeForce 8400GS 1GB PCI Express 2.0 Video Card | Bluetooth: USB Micro Adapter v2 (TPE-USBBLUV2) | Keyboard / [https://fr.wikipedia.org/wiki/TypeMatrix]TypeMatrix[/url] BÉPO | Mouse : Selecline sans fils | Monitor: Essentiel B Photo + Essentiel B Studio 2 x 1920 x 1080 | Printer : All-in-one HP Officejet 6500A Plus connectée wifi | Power Cable: Europe - Plug Type Europlug (CEE 7/16) |
Site web    
Yuusha Membre non connecté

Rang

Avatar

Inscrit le : 04/07/2017 à 19h52

Localisation : Gironde

Messages: 983

Le 18/07/2020 à 00h21
nmrk.n :
Bonjour,

Merci de bien vouloir nous communiquer les différentes valeurs de "Choix par défaut" pour toutes les options et les différentes configurations.

Bonsoir,

Si ça ne te plait pas tu peux toujours ouvrir un rapport de bogue. Le but du choix par défaut est de ne pas embêter l'utilisateur avec ça. Il n'a pas besoin de choisir, tout est déjà fait pour lui. Et si pour une raison ou une autre ce choix venait à changer pour une future version de Mageia il resterait avec les paramètres recommandés. Si tu veux savoir ce que tu utilises, tu peux le configurer toi même comme ça tu seras sûr du mot de passe à taper.

De plus, si tu avais ouvert l'aide tu aurais lu :
Citation :
Par défaut, le mode de lancement dépend du niveau de sécurité choisi. Voir dans le même onglet du CCM l'outil "Configurer la sécurité du système, les autorisations et l'audit".
Edité par Yuusha Le 18/07/2020 à 00h23
   
nic80 Membre non connecté

Rang

Avatar

Inscrit le : 06/08/2018 à 23h52

Messages: 2772

Le 18/07/2020 à 01h07
Bonjour,

Citation :
À ma connaissance, le mode secure dans msec ne change rien au niveau des autorisations. C’est le rôle de draksec.


Visiblement c’est ce que je viens de voir, en regardant la question ci-dessus de nmrk.n …

@Nmrk.n:
Citation :
Merci de bien vouloir nous communiquer les différentes valeurs de "Choix par défaut" pour toutes les options et les différentes configurations.


Cela dépendant du contenu des fichiers contenus dans /usr/share/polkit-1/actions (les autorisations étant gérées (entre autres (je n’ai pas approfondi) par le démon polkitd qui agit suivant plusieurs critères définis dans le fichier .policy du programme voulu, n’importe quel programme pouvant avoir des règles polkit (un "urpmf /usr/share/polkit-1/actions | grep policy | sort -u | uniq -u | wc -l" retourne 192) .

Par exemple, le fichier /usr/share/polkit-1/actions/org.mageia.drakrpm-update.policy (qui gère l’accès à rpmdrake), contient les entrées qui sont les options par défaut pour ce programme :

Citation :
<defaults>
<allow_any>no</allow_any>
<allow_inactive>no</allow_inactive>
<allow_active>auth_self_keep</allow_active>
</defaults>


La documentation de polkit indique:

"man polkit" :
[…]defaults
This element is used to specify implicit authorizations for clients. Elements that can be used inside defaults include:

allow_any
Implicit authorizations that apply to any client. Optional.

allow_inactive
Implicit authorizations that apply to clients in inactive sessions on local consoles. Optional.

allow_active
Implicit authorizations that apply to clients in active sessions on local consoles. Optional.

Each of the allow_any, allow_inactive and allow_active elements can contain the following values:

no
Not authorized.

yes
Authorized.

auth_self
Authentication by the owner of the session that the client originates from is required. Note that this is not restrictive enough for most uses on multi-user
systems; auth_admin* is generally recommended.

auth_admin
Authentication by an administrative user is required.

auth_self_keep
Like auth_self but the authorization is kept for a brief period (e.g. five minutes). The warning about auth_self above applies likewise.

auth_admin_keep
Like auth_admin but the authorization is kept for a brief period (e.g. five minutes).[…]


Donc ici, rpmdrake ne peut être lancé que par un utilisateur dans une session active et le mot de passe demandé sera celui de l’utilisateur courant.

Draksec vient modifier cette règle par défaut grâce à un fichier et l' application d' une règle polkit.

edit: @Yuusha: l' outil de configuration de la sécurité et de l' audit, lance msec... Donc il y a contradiction avec ce que Papoteur a indiqué dans son post ( msec n' a pas d' effet sur le choix par défaut), mais peut être que ce que j' ai compris est faux. Edité par nic80 Le 18/07/2020 à 01h19
   
nmrk.n Membre non connecté

Rang

Avatar

Inscrit le : 20/04/2018 à 16h27

Localisation : Migrateur Selon la saison

Messages: 79

Le 18/07/2020 à 09h12
Yuusha :
nmrk.n :
Bonjour,
Merci de bien vouloir nous communiquer les différentes valeurs de "Choix par défaut" pour toutes les options et les différentes configurations.
Bonsoir,
Si ça ne te plait pas tu peux toujours ouvrir un rapport de bogue.
Le but du choix par défaut est de ne pas embêter l'utilisateur avec ça.
Il n'a pas besoin de choisir, tout est déjà fait pour lui. ...

Merci beaucoup pour ta réponse.

Je ne pense pas que cela constitue un bogue mais un choix délibéré.

Je pense que c'est très bien de ne pas embêter l'utilisateur avec ça et lui éviter d'avoir à choisir.

Mais je pense aussi que cela ne nuirait pas et serait même intéressant pour certains de savoir ce que la machine fait dans notre dos pour "notre bien".

Je suis plein d'admiration pour ta capacité caractéristiquement Linuxienne d'affirmer qu'une question n'a aucun intérêt et d'éviter de façon magistrale d'y répondre.

Merci pour ce moment de hors sujet que tu mous a si brillamment offert.

:merci:





Autre Distrib : Trisquel | Matériel : Penguin Pro 5 GNU/Linux Desktop | Processeur : Intel Quad-Core i5-4430 (6M Cache, up to 3.20 GHz) | Memory: 32GB DDR3 | Hard Drive: ATA Samsung SSD 840 256Go table::gpt depuis 2020 (anc. dos) et Seagate Barracuda ATA ST2000DM001-1CH1 2To 64Mo table::gpt | DVD : TSSTcorp CDDVDW SH-224DB | Wireless N: Wireless N PCIe Card (TPE-N300PCIE4) | Graphics Card: GeForce 8400GS 1GB PCI Express 2.0 Video Card | Bluetooth: USB Micro Adapter v2 (TPE-USBBLUV2) | Keyboard / [https://fr.wikipedia.org/wiki/TypeMatrix]TypeMatrix[/url] BÉPO | Mouse : Selecline sans fils | Monitor: Essentiel B Photo + Essentiel B Studio 2 x 1920 x 1080 | Printer : All-in-one HP Officejet 6500A Plus connectée wifi | Power Cable: Europe - Plug Type Europlug (CEE 7/16) |
Site web    
Yuusha Membre non connecté

Rang

Avatar

Inscrit le : 04/07/2017 à 19h52

Localisation : Gironde

Messages: 983

Le 18/07/2020 à 11h24
nmrk.n :
Je ne pense pas que cela constitue un bogue mais un choix délibéré.

Un rapport de bogue permet aussi de demander des améliorations. Chacun peut en ouvrir car cela permet de discuter le pourquoi du comment. Si tu estimes que Choix par défaut devrait être plus explicite, c'est bien que tu vois un bogue. Il faut donc ouvrir un rapport pour demander à ce que ce soit modifié. Ou que le choix par défaut soit expliqué.

nmrk.n :
Mais je pense aussi que cela ne nuirait pas et serait même intéressant pour certains de savoir ce que la machine fait dans notre dos pour "notre bien".

Pour cela tu n'as qu'à pas laisser le choix par défaut et choisir toi même ce que tu souhaites pour chaque application Mageia. C'est le but. L'utilisateur à le choix de ne pas s'en préoccuper ou de choisir ce qu'il veut.

nmrk.n :
Je suis plein d'admiration pour ta capacité caractéristiquement Linuxienne d'affirmer qu'une question n'a aucun intérêt et d'éviter de façon magistrale d'y répondre.

Merci pour ce moment de hors sujet que tu mous a si brillamment offert.

Ce n'est pas hors sujet. Tu as vu le ton que tu emplois : Merci de bien vouloir nous communiquer[...]. Tu t'adresse aux développeurs comme s'ils te devaient quelque chose. Donc soit tu vas faire un rapport de bogue pour expliquer pourquoi cela te gêne soit tu demandes gentiment que l'on t'aide à trouver. Ici nous sommes sur un forum d'entraide. Le but n'est pas de venir réclamer des choses. Nic80 (qui n'est pas le développeur de cette application) a dû faire des recherches pour toi. Tu aurais pu demander gentiment que l'on t'aide à trouver de quel fichier il s'agissait et toi aussi regarder de ton côté plutôt que d'exiger que l'on nous (qui est ce nous d'ailleurs) communique.

@Nic80 : Je pense que la documentation est fautive. À une époque il devait u avoir une option de msec qui permettait de choisir quel était le choix par défaut et elle devait être différente en fonction du mode (secure, standard,...). Elle a du disparaitre au cours du temps et la documentation n'a pas été mise à jour.
   
Ami age Membre non connecté

Rang

Avatar

Modérateur

Inscrit le : 18/08/2012 à 10h28

Localisation : France

Messages: 4585

Le 18/07/2020 à 14h52
@ nmrk.n et yuusha,
Restez sur le fond svp et pas sur l'attitude d'autrui aussi imparfaite soit-elle.

Merci. Edité par Ami age Le 18/07/2020 à 14h53


.
_____________________________________ :silence: :silence: :silence:
::d . .Un petit clic pour Mageia ? =>> CLIQUEZ I C I :
.
Site web    
nic80 Membre non connecté

Rang

Avatar

Inscrit le : 06/08/2018 à 23h52

Messages: 2772

Le 18/07/2020 à 22h47
Bonjour,

Papoteur :
J'avais déjà signalé ce problème, mais pas de solution proposée : https://bugs.mageia.org/show_bug.cgi?id=15124


Visiblement, il y a des bugs qui ont une grande durée de vie !

Le site de l' agent polkit est celui ci ?

https://invent.kde.org/plasma/polkit-kde-agent-1

Le problème ne serait pas dans ce fichier https://invent.kde.org/plasma/polkit-kde-agent-1/-/blob/master/AuthDialog.cpp

Dans cette partie :

"AuthDialog.cpp" :
void AuthDialog::setRequest(const QString &request, bool requiresAdmin)
{
qDebug() << request;
PolkitQt1::Identity identity = adminUserSelected();
if (request.startsWith(QLatin1String("password:"), Qt::CaseInsensitive)) {
if (requiresAdmin) {
if (!identity.isValid()) {
lblPassword->setText(i18n("Password for root:"));
} else {
lblPassword->setText(i18n("Password for %1:",
identity.toString().remove("unix-user:")));
}
} else {
lblPassword->setText(i18n("Password:"));

}
} else if (request.startsWith(QLatin1String("password or swipe finger:"),
Qt::CaseInsensitive)) {
if (requiresAdmin) {
if (!identity.isValid()) {
lblPassword->setText(i18n("Password or swipe finger for root:"));
} else {
lblPassword->setText(i18n("Password or swipe finger for %1:",
identity.toString().remove("unix-user:")));
}
} else {
lblPassword->setText(i18n("Password or swipe finger:"));

}
} else {
lblPassword->setText(request);
}
}


Pourquoi si les droits admin ne sont pas nécessaires ( partie en rouge) , on a juste affiché "Password:" ( et pas "Password for %1:",
identity.toString().remove("unix-user:")
? :nono:

Après je n' ai pas lu le fichier cpp complétement, et je ne me vois pas compiler Plasma pour juste tester ça ( j' exagère peut être un peu ) !

edit: visiblement, c' est plus compliqué que ça !





Edité par nic80 Le 19/07/2020 à 11h32
   
Yuusha Membre non connecté

Rang

Avatar

Inscrit le : 04/07/2017 à 19h52

Localisation : Gironde

Messages: 983

Le 19/07/2020 à 09h45
Donc l'agent PolKit de KDE estime que si ce n'est pas un administrateur qui est demandé il n'y a rien à afficher. Je pense vraiment que ça vient des systèmes de type Debian/Ubuntu qui utilisent sudo et dont le premier utilisateur est par défaut administrateur de la machine.
   
nic80 Membre non connecté

Rang

Avatar

Inscrit le : 06/08/2018 à 23h52

Messages: 2772

Le 19/07/2020 à 10h25
Bonjour,

Pour tester, j' ai récupéré le fichier source https://invent.kde.org/plasma/polkit-kde-agent-1/-/archive/Plasma/5.15/polkit-kde-agent-1-Plasma-5.15.zip ( je n' ai pas essayé la branche master)

Et j' ai appliqué ma modification.

Citation :
void AuthDialog::setRequest(const QString &request, bool requiresAdmin)
{
qDebug() << request;
PolkitQt1::Identity identity = adminUserSelected();
if (request.startsWith(QLatin1String("password:"), Qt::CaseInsensitive)) {
if (requiresAdmin) {
if (!identity.isValid()) {
lblPassword->setText(i18n("Password for root:"));
} else {
lblPassword->setText(i18n("Password for %1:",
identity.toString().remove("unix-user:")));
}
} else {
lblPassword->setText(i18n("Password for %1:",
identity.toString().remove("unix-user:")));

}


Après compilation ( sans recompiler Plasma dans son intégralité ( ouf !)), j' ai bien ( j' utilise les paramètres par défaut ;-) ):

polkit-agent-changed-drakrpm-update
polkit-agent-changed-drakconf

edit: en revanche il ne faut que root comme admin ( si par exemple je rajoute usertest dans le groupe wheel ( puisque les utilisateurs de ce groupe sont considérés comme administrateurs par polkit)), c' est le mot de passe de usertest qui est demandé obligatoirement au lieu de root ! Edité par nic80 Le 19/07/2020 à 11h36
   
Papoteur Membre non connecté

Rang

Avatar

Modérateur Équipe Mageia

Inscrit le : 03/10/2011 à 22h16

Localisation : Metz

Messages: 7920

Le 19/07/2020 à 10h28
nic80 :

Pourquoi si les droits admin ne sont pas nécessaires ( partie en rouge) , on a juste affiché "Password:" ( et pas "Password for %1:",
identity.toString().remove("unix-user:")
? :nono:

Après je n' ai pas lu le fichier cpp complétement, et je ne me vois pas compiler Plasma pour juste tester ça ( j' exagère peut être un peu ) !

edit: visiblement, c' est plus compliqué que ça !

Super boulot.
La boîte de dialogue n'a probablement pas changé depuis le début de l'historique de ce dossier. A défaut d'être pris en compte par KDE, Mageia pourrait au moins inclure un patch.
Pourquoi dis-tu que c'est plus compliqué que ça ?
Il n'y a pas besoin de compiler tout plasma.
Il te faut qtcreator.
Tu récupères le source et le fichier spec avec mgarepo
mgarepo co polkit-kde-agent-1
dans polkit-qt5/SPECS tu fais
urpmi polkit-qt5.spec
pour installer les dépendances de construction
tu décompresses l'archive dans polkit-qt5/SOURCES
Tu ouvres un projet dans qtcreator (de mémoire, je ne sais plus le détail).
Tu vérifies qu'il se compile.
Puis tu fais les modifications, tu vérifies que ça compile.
Quand c'est bon, tu reconstruis l'archive, reviens dans SPECS et relances la construction des rpm avec
bm -l
Il te faut donc aussi mgarepo et bm.
C'est simple, quoi :langue2:
En fait pas complètement, mais c'est cette voie que je suivrais. Le plus délicat est d'arriver à ce que qtcreator construise le projet. Il y a certainement à configurer où est le Qt et à faire avaler le cmake.

Edité par Papoteur Le 19/07/2020 à 10h32


Yves
   
nic80 Membre non connecté

Rang

Avatar

Inscrit le : 06/08/2018 à 23h52

Messages: 2772

Le 19/07/2020 à 10h49
Bonjour,

Pour la compilation, j' ai fait comme ça ( à peu près ( j' essayes de retransformer en Bash):

Code BASH :
cd Téléchargements
wget  https://invent.kde.org/plasma/polkit-kde-agent-1/-/archive/Plasma/5.15/polkit-kde-agent-1-Plasma-5.15.zip
unzip polkit-kde-agent-1-Plasma-5.15.zip
wget http://distrib-coffee.ipsl.jussieu.fr/pub/linux/Mageia/distrib/7.1/SRPMS/core/release/polkit-kde-agent-1-5.15.4-1.mga7.src.rpm
su
urpmi --buildrequires polkit-kde-agent-1-5.15.4-1.mga7.src.rpm
urpmi extra-cmake-modules
exit
cd polkit-kde-agent-1-Plasma-5.15
#Ceci est un commentaire. nano est là pour faire les modifications dans AuthDialog.cpp
nano AuthDialog.cpp 
cmake .
make
 


Ensuite pour tester, il faut arrêter l' agent polkit qui tourne ( celui du système) pour lancer celui qui est dans le répertoire bin du répertoire de compilation.

edit:

@Yuusha : je pense que c' est plus compliqué que ça... Normalement l' agent polkit est sensé afficher (en tout cas c' est ce que je comprends) une combobox avec la liste des utilisateurs ( comme c' est le cas pour l' agent lxqt) , ce qui n' est visiblement pas le cas. Dans ce cas, pas besoin de préciser le nom d' utilisateur dans l' étiquette lblpassword ( cela ferait redondance !) ) Edité par nic80 Le 19/07/2020 à 11h14
   
Papoteur Membre non connecté

Rang

Avatar

Modérateur Équipe Mageia

Inscrit le : 03/10/2011 à 22h16

Localisation : Metz

Messages: 7920

Le 19/07/2020 à 15h39
nic80 :

@Yuusha : je pense que c' est plus compliqué que ça... Normalement l' agent polkit est sensé afficher (en tout cas c' est ce que je comprends) une combobox avec la liste des utilisateurs ( comme c' est le cas pour l' agent lxqt) , ce qui n' est visiblement pas le cas. Dans ce cas, pas besoin de préciser le nom d' utilisateur dans l' étiquette lblpassword ( cela ferait redondance !) )


D'après ce que je lis sur cette ligne, la combobox ne s'affiche que si au moins deux utilisateurs sont connectés. Ce n'est donc pas le cas en général.
Je serait d'avis de proposer le patch.


Yves
   
nic80 Membre non connecté

Rang

Avatar

Inscrit le : 06/08/2018 à 23h52

Messages: 2772

Le 19/07/2020 à 16h33
Bonjour,

J' ai fait quelques tests supplémentaires... ;-) Parce que je comprenais pas "la combobox ne s'affiche que si au moins deux utilisateurs sont connectés", car l' agent polkit est lié à la session utilisateur en cours ( et théoriquement il ne peut pas y avoir deux utilisateurs différents connectés à la même session !)

En fait la combobox n' apparait que s' il y a au moins deux utilisateurs (autres que root) dans le groupe wheel ( groupe qui est celui des administrateurs au sens de polkit). Dans ce cas, l' utilisateur root n' est d' ailleurs plus proposé.

Exemples ( usertest et nouvel_utilisateur sont dans le groupe wheel):

drakconf ( qui a besoin de droits administrateur):

polkit-agent-utilisateurs-wheel-drakconf


drakrpm-update ( droits utilisateur par défaut).

polkit-agent-utilisateurs-wheel-drakrpm-update Edité par nic80 Le 19/07/2020 à 16h35
   
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie