[Précédent (date)] [Suivant (date)] [Précédent (sujet)] [Suivant (sujet)] [Index par date] [Index par sujet]

Re: Linux et l'identite des ordis

gipe@spamMEnot_videotron.ca (Gilles Pelletier) écrit :

> [email protected] (Charles Levert) écrivait/wrote:

> >Ça montre qu'il ne faut pas exécuter n'importe quoi comme root.  

> Excuses mon ignorance linuxienne, mais quand tu installes un
> programme, habituellement, est-ce que tu ne le fais pas en root?

Oui.  Quand ça se fait avec un Makefile, on peut l'inspecter avant de
faire "make install".  Quand c'est un script, on peut le lire.  Quand
c'est un RPM, on peut l'inspecter avec

        rpm -qplv xxx.rpm
        rpm -qp --scripts xxx.rpm

(De même avec les packages de Debian...)

Quand le programme d'installation est un executable compilé,
cependant, l'inspection est plus difficile.  On peut d'abord essayer
de faire l'installation sans ce programme si les fichiers à installer
sont dans un format lisible.  On peut toujours le faire passer à
travers la commande strings, mais ça ne dévoile pas tout.  On peut
tenter de le faire exécuter par un usager non privilégié puis déplacer
ce qu'il a installé et le donner à root, mais ça n'accepte pas
toujours de s'exécuter comme non root.  Si on l'exécute, on peut
monitorer ce qu'il fait du point de vue appel à des fonctions de
librairies et appels systèmes et on peut monitorer tout le trafic
réseau qu'il génère.  On peut le faire d'abord sur une machine isolée
ou filtrée du point de vue réseau.

Bien sûr, ce sont souvent les fabricants de logiciels propriétaires
qui, quand ils daignent sortir une version pour Linux, nous font ce
genre de coup.  Il reste toujours la liberté de ne pas les installer
du tout...

> Même avec Linux, je me demande si le code de tous les programmes sont
> minutieusement vérifiés à la loupe, à part par leurs auteurs.

Très bonne observation et tu n'es pas le premier à la faire.  C'est
une chose de dire que le code des logiciels libres peut être inspecté
par un grand nombre de gens, c'est autre chose que de prouver qu'il
l'est vraiment, et par des pairs (c'est-à-dire des gens qui sont en
mesure de le comprendre), et donc qu'on peut lui faire plus confiance.
La question a été soulevée, par des figures de proue comme Gene
Spafford notamment (il me semble), et on peut espérer voir des projets
dédiés à faire des audits sérieux de logiciels libres.  (En fait, de
tels projets existent sûrement déjà.  Quelqu'un peut en dire
plus là-dessus ?)

> Enfin, ma première question reste entière: en quoi le # du CPU d'un
> Pentium III identifie-t-il mieux un ordi que celui de mon vieux 486?

À mon tour d'excuser mon ignorance... les vieux CPU x86 avaient-ils un
numéro disponible à du code qui s'exécutait sur eux, pas juste gravé
dessus ou inscrit sur la boîte ou un certificat qui les accompagnait ?
(Hors du monde x86, dans le monde des stations UNIX commerciales en
particulier, ce genre de pratique n'a rien de nouveau.)


Charles