Être administrateur sous Mac OS X : une bonne idée ?

Bilbo

Membre expert
Club iGen
17 Octobre 2001
7 131
737
Strasbourg
Chaque fois que j'installe Mac OS X, le premier compte que je crée et un compte dédié uniquement à l'administration. Une fois que l'installation est terminée, je crée les comptes utilisateurs qui eux n'ont pas ces droits. Même le mien que j'utilise au quotidien n'a pas cette option.

Je fais ça pour des raisons de sécurité. En l'occurrence, il s'agit de se protéger de ses propres gaffes.

Une anecdote :
Un de mes clients m'a appelé tout affolé parce que son mac ne marchait plus du tout. Je me connecte en SSH et que voie-je ? La partition système était pleine comme un oeuf. Il avait importé une vidéo et l'avait mise sur la partition système. Le mac ne pouvait plus travailler dans de bonnes conditions puisque l'espace disque manquait. Si mon client n'avait pas eu les droits d'administration, il n'aurait pas pu faire cette erreur puisqu'un utilisateur « normal » n'a pas les droits en écriture sur la racine du système.

De plus, cette méthode n'est pas paralysante puisque chaque fois qu'on veut changer un paramètre qui demande lesdits droits, le mac propose un dialogue d'authentification. Il suffit de connaître l'identifiant de l'administrateur et son mot de passe et ça roule. Depuis Panther, le mac propose même de s'authentifier quand on veut jeter une application, par exemple.

J'ajoute, pour apporter une pointe de paranoïa, qu'un éventuel virus que vous lanceriez par mégarde ne disposerait que de vos droits. Si vous êtes administrateur, il fera des dégâts dans le système alors que dans le cas contraire, il ne s'attaquera qu'à vos propres fichiers.

À+
 
  • J’aime
Réactions: WebOliver
Bilbo a dit:
Une anecdote :
Un de mes clients m'a appelé tout affolé parce que son mac ne marchait plus du tout. Je me connecte en SSH et que voie-je ? La partition système était pleine comme un oeuf. Il avait importé une vidéo et l'avait mise sur la partition système. Le mac ne pouvait plus travailler dans de bonnes conditions puisque l'espace disque manquait. Si mon client n'avait pas eu les droits d'administration, il n'aurait pas pu faire cette erreur puisqu'un utilisateur « normal » n'a pas les droits en écriture sur la racine du système.

il aurait pu remplir le disque depuis son dossier de Départ (enfin cela dépend de la config, s'il y a plusieurs disque dur ou partition)
wink.gif
 
Simon a dit:
il aurait pu remplir le disque depuis son dossier de Départ (enfin cela dépend de la config, s'il y a plusieurs disque dur ou partition)
wink.gif
Toutes mes installations sont faites de la manière suivante : une partition pour le système et les applications, une partition pour les utilisateurs (voir ici). C'est nettement plus souple et plus sûr ainsi.
zen.gif
Mais ça, Simon, tu le savais déjà.
wink.gif


À+
 
Ça parle de sécurité et ton lien ça commence par "Si ce n'est déjà fait, activez l'utilisateur root.", cherchez l'erreur
tongue.gif

Faut jamais faire ça malheureux
blush.gif
blush.gif
laugh.gif


Sinon c'est bien ta technique de ne pas donner le droit d'administration à l'utilisateur lambda. Pour ton propre compte aussi remarque, mais alors ça complique pour utiliser sudo (donc fink), tout ça, tout ça. Pfffffffff non moi je pourrais pas
wink.gif


De toute façon moi j'ai pas de virus (air connu)
wink.gif
 
Spyro a dit:
Ça parle de sécurité et ton lien ça commence par "Si ce n'est déjà fait, activez l'utilisateur root.", cherchez l'erreur
tongue.gif

Faut jamais faire ça malheureux
blush.gif
blush.gif
laugh.gif
Faut arrêter avec cette psychose autour de root ! Après tout, quand on était sous 9, on travaillait en root 24h/24 et il n'y a quand même pas eu pléthore de systèmes foutus en l'air parce qu'un fichier vital avait été balancé par inadvertance.
On peut se loger en root, mais il faut être prévenu des risque encourus. Après celui qui y va il est grand. Alors qu'on ne travaille pas en root d'accord, mais y aller pour des manip bien spécifiques et revenir à sa session ensuite est loin d'être une catastrophe. Je dirai même plus, je le conseillerai plutôt que de taper des lignes de commandes ou le risque d'erreur est plus élevé pour des néophytes.
Voilà, c'est dit
smile.gif
.
 
D'accord avec Jedimac, en plus c'est en faisant des erreurs que l'on apprend !
donc faites des sauvegardes et eclatez vous avec le systeme !!

 
Oui j'exagère un peu (il y a une forte dose d'ironie dans mon post précédent... comme souvent
wink.gif
), mais c'est pas paske OS9 est un bouse de sécurité qu'il faut en faire de même avec X
laugh.gif

Mais je ne pensais pas au risque que l'utilisateur lui même fait peser sur sa machine mais aux attaques extérieures.

Cela dit je crois bien que la plupart des exploit permettant de devenir root ne nécessitent pas qu'il soit activé, donc en vrai c'est clair que ça ne change pas grand chose.
Par contre il ne faut pas mettre un mot de passe trop bidon quand même. Juste au cas où. (Surtout dans un environnement professionnel ou connecté).
 
Spyro a dit:
Sinon c'est bien ta technique de ne pas donner le droit d'administration à l'utilisateur lambda. Pour ton propre compte aussi remarque, mais alors ça complique pour utiliser sudo (donc fink), tout ça, tout ça. Pfffffffff non moi je pourrais pas
wink.gif
Il suffit de passer par deux su successifs.
<font class="small">Code:</font><hr /><pre>su compteAdministrateur
Password:
su
Password:</pre><hr />Et le tour est joué.

Personnellement, j'ai compilé un su moins restrictif.
wink.gif


À+
 
JediMac a dit:
Faut arrêter avec cette psychose autour de root ! Après tout, quand on était sous 9, on travaillait en root 24h/24 et il n'y a quand même pas eu pléthore de systèmes foutus en l'air parce qu'un fichier vital avait été balancé par inadvertance.
On peut se loger en root, mais il faut être prévenu des risque encourus. Après celui qui y va il est grand. Alors qu'on ne travaille pas en root d'accord, mais y aller pour des manip bien spécifiques et revenir à sa session ensuite est loin d'être une catastrophe. Je dirai même plus, je le conseillerai plutôt que de taper des lignes de commandes ou le risque d'erreur est plus élevé pour des néophytes.
Voilà, c'est dit
smile.gif
.

certainement pas... sous os9 tu ne pouvais pas effacer ton dossier systeme alors qu'avec root tu peux le faire. le compte root est HYPER dangereux.

pour en revenir au sujet de bilbo je dirais que tout depend de ta patience a taper un mot de passe... au bout d'un moment ca lasse
 
Même : il me semble qu'il est impossible de démarrer avec un DossierSystème avec MacOS 8 ou 9 placé dans la corbeille
wink.gif
 
De toute évidence, je n'ai pas convaincu grand monde. Les Unixiens de la première heure travaillent tous selon cette logique. Mais bon, vous faites de toutes façons ce que vous voulez.
wink.gif


Il y a cependant quelque chose qui m'échappe : vous rétorquez que taper un mot de passe sans arrêt est rédhibitoire. Vous avez besoin des droits d'administration si souvent que ça ? Une machine avec les droits réglés convenablement ne devrait pas provoquer un tel comportement.

À+
 
Bilbo a dit:
De toute évidence, je n'ai pas convaincu grand monde. Les Unixiens de la première heure travaillent tous selon cette logique. Mais bon, vous faites de toutes façons ce que vous voulez.
wink.gif


Il y a cependant quelque chose qui m'échappe : vous rétorquez que taper un mot de passe sans arrêt est rédhibitoire. Vous avez besoin des droits d'administration si souvent que ça ? Une machine avec les droits réglés convenablement ne devrait pas provoquer un tel comportement.

À+

venant du monde unix j'ai tenté en vain de configurer mon mac comme un unix. je dois dire que c'est peine perdu..
Le systeme nous demandes des mots passe tout le temps ca n'a rien a voir avec une mauvaise configuration.
 
mtra a dit:
venant du monde unix j'ai tenté en vain de configurer mon mac comme un unix. je dois dire que c'est peine perdu..
Le systeme nous demandes des mots passe tout le temps ca n'a rien a voir avec une mauvaise configuration.
confused.gif
confused.gif
confused.gif

Tu pourrais en dire un peu plus et donner un ou deux exemples. Là je ne te suis pas.

À+
 
Bilbo a dit:
confused.gif
confused.gif
confused.gif

Tu pourrais en dire un peu plus et donner un ou deux exemples. Là je ne te suis pas.

À+

en gros ca ne sert pas a grand chose d'essayer de mettre les utilisateurs normaux non admin et de garder un compte admin special. c'etait mon premier reflex de faire ca et j'ai pas tenu longtemps. le defaut de faire ca c'est que de toute facons le proprietaire de la machine connait le compte qui permet de tout faire et de la tu ne reflechis meme pas on te demande des droits pour executer x action ou faire x installation et tu rentres le pass d'un utilisateur qui a les droits : alors ou est l'interet de ne pas etre directement admin?
 
mtra a dit:
on te demande des droits pour executer x action
Ce n'est pas très précis, c'est justement ce que je te demandais.
zen.gif


mtra a dit:
x installation
Là d'accord, mais je n'installe pas un logiciel ou une mise à jour tous les jours.

mtra a dit:
alors ou est l'interet de ne pas etre directement admin?
Sur ce point, mon opinion est exposée dans le premier message.
wink.gif
On n'est pas obligé d'y adhérer.
zen.gif


À+
 
j'ai bien compris ton raisonement mais si l'utilisateur connait le mot de passe qui lui donne les droits alors de toute facons il aura des virus de toutes facons il abimera son systeme etc etc...
donc ca ne sert pas a grand chose de ne pas etre admin.
 
mtra a dit:
j'ai bien compris ton raisonement mais si l'utilisateur connait le mot de passe qui lui donne les droits alors de toute facons il aura des virus de toutes facons il abimera son systeme etc etc...
donc ca ne sert pas a grand chose de ne pas etre admin.
Ah mais, c'est que je ne suis pas d'accord du tout.
wink.gif


Pour les virus, je propose de ne pas nous étendre puisque pour l'instant c'est de la science-fiction sur Mac OS X.
laugh.gif


Pour le reste, l'objectif est de se protéger de ses propres erreurs. Non pas que je sois extrêmement prudent, mais puisque le système nous propose cette possibilité, pourquoi s'en priver ?

Exemple : Tu veux ajouter une police définitivement dans ton compte. Tu vas par conséquent la mettre dans « ta bibliothèque » (~/Library/Fonts). Seulement voilà, tu es mal réveillé (ça peut arriver) et par mégarde tu la glisses dans « la bibliothèque générale » (/Library/Fonts). Si tu es administrateur, le mac le fera sans regimber, dans le cas contraire tu auras une alerte qui te préviendra.

Si en prime tu délocalises les utilisateurs sur une autre partition comme je le fais systématiquement, tu peux être certain que tu ne toucheras pas à la partition du système par erreur.

Pour finir, on a vite fait de passer dans le compte « Administrateur » avec la permutation rapide d'utilisateur de Panther et comme je l'ai déjà dit, on en a pas besoin tous les jours.

À+