• Bonjour Visiteur. Bienvenue sur les nouveaux forums de MacGeneration. La peinture est encore fraiche, quelques boulons doivent être resserrés, plus d’informations demain !

Être administrateur sous Mac OS X : une bonne idée ?

Bilbo

Vétéran
Club MacG
17 Octobre 2001
7 084
721
Strasbourg
Chaque fois que j'installe Mac OS X, le premier compte que je crée et un compte dédié uniquement à l'administration. Une fois que l'installation est terminée, je crée les comptes utilisateurs qui eux n'ont pas ces droits. Même le mien que j'utilise au quotidien n'a pas cette option.

Je fais ça pour des raisons de sécurité. En l'occurrence, il s'agit de se protéger de ses propres gaffes.

Une anecdote :
Un de mes clients m'a appelé tout affolé parce que son mac ne marchait plus du tout. Je me connecte en SSH et que voie-je ? La partition système était pleine comme un oeuf. Il avait importé une vidéo et l'avait mise sur la partition système. Le mac ne pouvait plus travailler dans de bonnes conditions puisque l'espace disque manquait. Si mon client n'avait pas eu les droits d'administration, il n'aurait pas pu faire cette erreur puisqu'un utilisateur « normal » n'a pas les droits en écriture sur la racine du système.

De plus, cette méthode n'est pas paralysante puisque chaque fois qu'on veut changer un paramètre qui demande lesdits droits, le mac propose un dialogue d'authentification. Il suffit de connaître l'identifiant de l'administrateur et son mot de passe et ça roule. Depuis Panther, le mac propose même de s'authentifier quand on veut jeter une application, par exemple.

J'ajoute, pour apporter une pointe de paranoïa, qu'un éventuel virus que vous lanceriez par mégarde ne disposerait que de vos droits. Si vous êtes administrateur, il fera des dégâts dans le système alors que dans le cas contraire, il ne s'attaquera qu'à vos propres fichiers.

À+
 
  • J’aime
Réactions: WebOliver

simon

Membre d’élite
Club MacG
18 Juin 2000
3 669
16
Singapore
www.simonganiere.ch
Bilbo a dit:
Une anecdote :
Un de mes clients m'a appelé tout affolé parce que son mac ne marchait plus du tout. Je me connecte en SSH et que voie-je ? La partition système était pleine comme un oeuf. Il avait importé une vidéo et l'avait mise sur la partition système. Le mac ne pouvait plus travailler dans de bonnes conditions puisque l'espace disque manquait. Si mon client n'avait pas eu les droits d'administration, il n'aurait pas pu faire cette erreur puisqu'un utilisateur « normal » n'a pas les droits en écriture sur la racine du système.
il aurait pu remplir le disque depuis son dossier de Départ (enfin cela dépend de la config, s'il y a plusieurs disque dur ou partition)
 

Bilbo

Vétéran
Club MacG
17 Octobre 2001
7 084
721
Strasbourg
Simon a dit:
il aurait pu remplir le disque depuis son dossier de Départ (enfin cela dépend de la config, s'il y a plusieurs disque dur ou partition)
Toutes mes installations sont faites de la manière suivante : une partition pour le système et les applications, une partition pour les utilisateurs (voir ici). C'est nettement plus souple et plus sûr ainsi.
Mais ça, Simon, tu le savais déjà.


À+
 

Spyro

Vétéran
Club MacG
19 Juillet 2001
5 428
866
40
PNG-sur-Yvette
Ça parle de sécurité et ton lien ça commence par "Si ce n'est déjà fait, activez l'utilisateur root.", cherchez l'erreur

Faut jamais faire ça malheureux


Sinon c'est bien ta technique de ne pas donner le droit d'administration à l'utilisateur lambda. Pour ton propre compte aussi remarque, mais alors ça complique pour utiliser sudo (donc fink), tout ça, tout ça. Pfffffffff non moi je pourrais pas


De toute façon moi j'ai pas de virus (air connu)
 

JediMac

Vétéran
Club MacG
26 Octobre 2000
6 349
202
là-bas si j'y suis !
Spyro a dit:
Ça parle de sécurité et ton lien ça commence par "Si ce n'est déjà fait, activez l'utilisateur root.", cherchez l'erreur

Faut jamais faire ça malheureux
Faut arrêter avec cette psychose autour de root ! Après tout, quand on était sous 9, on travaillait en root 24h/24 et il n'y a quand même pas eu pléthore de systèmes foutus en l'air parce qu'un fichier vital avait été balancé par inadvertance.
On peut se loger en root, mais il faut être prévenu des risque encourus. Après celui qui y va il est grand. Alors qu'on ne travaille pas en root d'accord, mais y aller pour des manip bien spécifiques et revenir à sa session ensuite est loin d'être une catastrophe. Je dirai même plus, je le conseillerai plutôt que de taper des lignes de commandes ou le risque d'erreur est plus élevé pour des néophytes.
Voilà, c'est dit
.
 

fanou

Membre d’élite
Club MacG
22 Février 2001
1 249
733
Normand expatrié
D'accord avec Jedimac, en plus c'est en faisant des erreurs que l'on apprend !
donc faites des sauvegardes et eclatez vous avec le systeme !!

 

Spyro

Vétéran
Club MacG
19 Juillet 2001
5 428
866
40
PNG-sur-Yvette
Oui j'exagère un peu (il y a une forte dose d'ironie dans mon post précédent... comme souvent
), mais c'est pas paske OS9 est un bouse de sécurité qu'il faut en faire de même avec X

Mais je ne pensais pas au risque que l'utilisateur lui même fait peser sur sa machine mais aux attaques extérieures.

Cela dit je crois bien que la plupart des exploit permettant de devenir root ne nécessitent pas qu'il soit activé, donc en vrai c'est clair que ça ne change pas grand chose.
Par contre il ne faut pas mettre un mot de passe trop bidon quand même. Juste au cas où. (Surtout dans un environnement professionnel ou connecté).
 

Bilbo

Vétéran
Club MacG
17 Octobre 2001
7 084
721
Strasbourg
Spyro a dit:
Sinon c'est bien ta technique de ne pas donner le droit d'administration à l'utilisateur lambda. Pour ton propre compte aussi remarque, mais alors ça complique pour utiliser sudo (donc fink), tout ça, tout ça. Pfffffffff non moi je pourrais pas
Il suffit de passer par deux su successifs.
<font class="small">Code:</font><hr /><pre>su compteAdministrateur
Password:
su
Password:</pre><hr />Et le tour est joué.

Personnellement, j'ai compilé un su moins restrictif.


À+
 

mtra

Membre d’élite
Club MacG
17 Juillet 2001
2 292
13
Visiter le site
JediMac a dit:
Faut arrêter avec cette psychose autour de root ! Après tout, quand on était sous 9, on travaillait en root 24h/24 et il n'y a quand même pas eu pléthore de systèmes foutus en l'air parce qu'un fichier vital avait été balancé par inadvertance.
On peut se loger en root, mais il faut être prévenu des risque encourus. Après celui qui y va il est grand. Alors qu'on ne travaille pas en root d'accord, mais y aller pour des manip bien spécifiques et revenir à sa session ensuite est loin d'être une catastrophe. Je dirai même plus, je le conseillerai plutôt que de taper des lignes de commandes ou le risque d'erreur est plus élevé pour des néophytes.
Voilà, c'est dit
.
certainement pas... sous os9 tu ne pouvais pas effacer ton dossier systeme alors qu'avec root tu peux le faire. le compte root est HYPER dangereux.

pour en revenir au sujet de bilbo je dirais que tout depend de ta patience a taper un mot de passe... au bout d'un moment ca lasse
 

Zitoune

Membre d’élite
Club MacG
16 Octobre 2000
4 852
4
Même : il me semble qu'il est impossible de démarrer avec un DossierSystème avec MacOS 8 ou 9 placé dans la corbeille
 

Bilbo

Vétéran
Club MacG
17 Octobre 2001
7 084
721
Strasbourg
De toute évidence, je n'ai pas convaincu grand monde. Les Unixiens de la première heure travaillent tous selon cette logique. Mais bon, vous faites de toutes façons ce que vous voulez.


Il y a cependant quelque chose qui m'échappe : vous rétorquez que taper un mot de passe sans arrêt est rédhibitoire. Vous avez besoin des droits d'administration si souvent que ça ? Une machine avec les droits réglés convenablement ne devrait pas provoquer un tel comportement.

À+
 

mtra

Membre d’élite
Club MacG
17 Juillet 2001
2 292
13
Visiter le site
Bilbo a dit:
De toute évidence, je n'ai pas convaincu grand monde. Les Unixiens de la première heure travaillent tous selon cette logique. Mais bon, vous faites de toutes façons ce que vous voulez.


Il y a cependant quelque chose qui m'échappe : vous rétorquez que taper un mot de passe sans arrêt est rédhibitoire. Vous avez besoin des droits d'administration si souvent que ça ? Une machine avec les droits réglés convenablement ne devrait pas provoquer un tel comportement.

À+
venant du monde unix j'ai tenté en vain de configurer mon mac comme un unix. je dois dire que c'est peine perdu..
Le systeme nous demandes des mots passe tout le temps ca n'a rien a voir avec une mauvaise configuration.
 

Bilbo

Vétéran
Club MacG
17 Octobre 2001
7 084
721
Strasbourg
mtra a dit:
venant du monde unix j'ai tenté en vain de configurer mon mac comme un unix. je dois dire que c'est peine perdu..
Le systeme nous demandes des mots passe tout le temps ca n'a rien a voir avec une mauvaise configuration.

Tu pourrais en dire un peu plus et donner un ou deux exemples. Là je ne te suis pas.

À+
 

mtra

Membre d’élite
Club MacG
17 Juillet 2001
2 292
13
Visiter le site
Bilbo a dit:

Tu pourrais en dire un peu plus et donner un ou deux exemples. Là je ne te suis pas.

À+
en gros ca ne sert pas a grand chose d'essayer de mettre les utilisateurs normaux non admin et de garder un compte admin special. c'etait mon premier reflex de faire ca et j'ai pas tenu longtemps. le defaut de faire ca c'est que de toute facons le proprietaire de la machine connait le compte qui permet de tout faire et de la tu ne reflechis meme pas on te demande des droits pour executer x action ou faire x installation et tu rentres le pass d'un utilisateur qui a les droits : alors ou est l'interet de ne pas etre directement admin?
 

Bilbo

Vétéran
Club MacG
17 Octobre 2001
7 084
721
Strasbourg
mtra a dit:
on te demande des droits pour executer x action
Ce n'est pas très précis, c'est justement ce que je te demandais.


mtra a dit:
x installation
Là d'accord, mais je n'installe pas un logiciel ou une mise à jour tous les jours.

mtra a dit:
alors ou est l'interet de ne pas etre directement admin?
Sur ce point, mon opinion est exposée dans le premier message.
On n'est pas obligé d'y adhérer.


À+
 

mtra

Membre d’élite
Club MacG
17 Juillet 2001
2 292
13
Visiter le site
j'ai bien compris ton raisonement mais si l'utilisateur connait le mot de passe qui lui donne les droits alors de toute facons il aura des virus de toutes facons il abimera son systeme etc etc...
donc ca ne sert pas a grand chose de ne pas etre admin.
 

Bilbo

Vétéran
Club MacG
17 Octobre 2001
7 084
721
Strasbourg
mtra a dit:
j'ai bien compris ton raisonement mais si l'utilisateur connait le mot de passe qui lui donne les droits alors de toute facons il aura des virus de toutes facons il abimera son systeme etc etc...
donc ca ne sert pas a grand chose de ne pas etre admin.
Ah mais, c'est que je ne suis pas d'accord du tout.


Pour les virus, je propose de ne pas nous étendre puisque pour l'instant c'est de la science-fiction sur Mac OS X.


Pour le reste, l'objectif est de se protéger de ses propres erreurs. Non pas que je sois extrêmement prudent, mais puisque le système nous propose cette possibilité, pourquoi s'en priver ?

Exemple : Tu veux ajouter une police définitivement dans ton compte. Tu vas par conséquent la mettre dans « ta bibliothèque » (~/Library/Fonts). Seulement voilà, tu es mal réveillé (ça peut arriver) et par mégarde tu la glisses dans « la bibliothèque générale » (/Library/Fonts). Si tu es administrateur, le mac le fera sans regimber, dans le cas contraire tu auras une alerte qui te préviendra.

Si en prime tu délocalises les utilisateurs sur une autre partition comme je le fais systématiquement, tu peux être certain que tu ne toucheras pas à la partition du système par erreur.

Pour finir, on a vite fait de passer dans le compte « Administrateur » avec la permutation rapide d'utilisateur de Panther et comme je l'ai déjà dit, on en a pas besoin tous les jours.

À+