> Peut-être que ce serait bien de remplacer la commande: >> sudo mv hosts.deny hosts.deny.bak > ^^ > par: > > $ sudo cp hosts.deny hosts.deny.bak > ^^ > Sinon le fichier /etc/hosts.deny n'existe plus sur la machine > pendant le temps du téléchargement, ce qui pourrait laisser les > portes ouvertes aux vils pirates de tout poils pendant cet > interval de temps, fut-il juste de quelque millisecondes.
Très juste ! Je l'avais fais pour le hosts et effectivement pour le hosts.deny utiliser mv c'est moins bien. Voilà qui est corrigé. Merci. >> sudo wget https://hosts.ubuntu101.co.za/superhosts.deny > Éventuellement, si vous ne faites pas confiance à wget, parce > que cette commande intéragit avec l'extérieur, il est possible > de récupérer le fichier en tant qu'un utilisateur normal, > éventuellement créé spécifiquement pour cette tâche ; ça fait > partie d'un éventuelle stratégie qui consisterait à « affiner > les droits » :) > > $ wget https://hosts.ubuntu101.co.za/superhosts.deny -P /tmp > > Du coup la commande suivante >> sudo mv superhosts.deny hosts.deny > deviendrait : > > $ sudo mv /tmp/superhosts.deny hosts.deny J'entends la proposition d'utiliser un utilisateur normal pour récupérer le fichier. mais ensuite, on utilise sudo ( manuellement ) pour déplacer le fichier du /tmp vers /etc De plus si on utilise ce script via crontab de root, le sudo ne sera pas utilisé, et, éventuellement, on récupèrera le fichier directement via le script lancé depuis la crontab de root, donc, en root. J'entends que au niveau de la politique des droits, on gagne une commande en tant que utilisateur normal, au lieu de root, ce qui à ce niveau semble mieux géré, Par contre, je ne vois pas forcément ce qu'on gagne au niveau de la sécurité, au niveau d'un risque éventuel, puisque au final, le fichier sera chargé dans /etc/hosts.deny > Tout cela suppose que vous faites confiance au service délivré > par hosts.ubuntu101.co.za pour ne pas mettre n'importe quoi dans > votre /etc/hosts.deny, cat ils seraient en position de rendre > votre machine inaccessible en mettant l'Internet complet dans ce > fichier. C'est certain et effectivement, il me faut ici faire confiance au contenu, ce qui peut être affiné, je suppose avec des contrôles de certificats, ou, une politique de controle de /md5sum, ou les deux, et, peut être encore d'autres choses./ > Amicalement, Merci
