> -----Message d'origine-----
> De : [EMAIL PROTECTED]
> [mailto:[EMAIL PROTECTED] De la part de
> Pierre Lorenzon
>
> From: "Alain Joly" <[EMAIL PROTECTED]>
>
> > > Salut,
> > >
> > > Pour la sécurité, c'est plus une question de principe. En fait, je
> suis
> > > d'accord avec toi, si les ports sont fermés vers l'extérieur, tu ne
> risque
> > > rien à priori. L'idée c'est que speech-dispatcher n'a absolument pas
> > > besoin de s'exécuter en tant que root, un accès aux périphériques
> audio et
> > > aux répertoires de logs sont sensés lui suffir.
> > >
> >
> > Bien bien bien....
> > J'avais demandé ya quelques mails de cela si c'est normal que je ne
> puisse
> > lancer speech-dispatcher quand "sudo"...
> >
> > Si il y a une modification à faire comme me l'avait dit Pierre, je
> crains
> > qu'elle soit un peu compliquée pour moi en ce moment...
>
> Et comme le dit aussi Olivier pas forcément nécessaire. Il
> est vrai que si comme moi tu as une machine accessible en
> permanence sur le web, tu as intérêt à surveiller un peu
> quels sont les ports ouverts : chez moi 80 (http) et (22 ssh)
> et rien d'autre !!!! Ensuite, Olivier me contredira mais,
> admettons même que speech-dispatcher soit lancé root, que le
> port soit ouvert, un hacker pourrait peut-être ainsi exécuter
> des process non désirés sur ton système en tant que root en
> attaquant par le port de speech-dispatcher. Mais alors ce
> serait un gros coup de pas de chance quand-même ! Parce que
> pour des attilas du web qui attaquent au hasard, la
> probabilité de tomber sur un speech-dispatcher est faible et
> il est quand-même plus rentable d'attaquer je ne sais quel
> serveur micro$.
Non Pierre, je ne te contredirais pas sur ce fait. Clairement, laisser un
speech-dispatcher ouvert sur Internet représente à mon avis un risque
moindre qu'un serveur Windows mal protégé, on est bien d'acord. Cela dit,
laisser un port ouvert sur Internet n'est jamais prudent, même si le service
derrière est exotique comme speech-dispatcher, certains hacker font des
scans de tous les ports ouverts et peuvent tenter de malmener le service qui
s'y trouve (speech-dispatcher en l'occurrence).
>
> >
> > en tout cas, je ne comprends pas pourquoi, par défaut, après une install
> > toute neuve de speech-dispatcher, il ne m'est pas permis de l'utiliser
> en
> > tant que utilisateur normal....
>
> C'est un serveur, et si plusieurs utilisateurs sont connectés
> il n'est pas naturel que chacun lance son speech-dispatcher
> dans son coin. Il faut qu'il y en ait un qui tourne pour tout
> le monde alors on peut envisager que ce soit un utilisateur
> dédié qui le lance. mais alors il faut ouvrir audit
> utilisateur les permissions ad hoc, et ne pas le faire à la
> louche et trop largement sans quoi le gain par rapport au
> fait de le lancer root ne sera pas substantiel.
Entièrement d'accord avec cette remarque. Dans un premier temps, je
conseille de ne pas trop s'embêter avec les permissions et de laisser
speech-dispatcher tourner en "root" pour être sûr au moins que tout
fonctionne. Ensuite, on peut s'essayer à faire un paramétrage plus fin.
Attention : ne répétez pas que j'ai conseillé ici de laisser tourner un
service ouvrant un port en tant que "root" !
Cordialement,
Olivier
_______________________________________________
Liste de diffusion CarrefourBLinuX
[email protected]
http://lists.freearchive.org/mailman/listinfo/carrefourblinux
Pour s'inscrire par courriel :
'mailto:[EMAIL PROTECTED]'
Pour se retirer de la liste par courriel :
'mailto:[EMAIL PROTECTED]'
Archives : http://lists.freearchive.org/pipermail//carrefourblinux
Anciennes archives (Yahoogroupes) :
http://fr.groups.yahoo.com/group/carrefourblinux/messages
Rechercher : http://lists.freearchive.org/cgi-bin/search.cgi
Signets : http://fr.groups.yahoo.com/group/carrefourblinux/links/
Fiches EDU : http://blinuxwiki.pbwiki.com/FichesEdu
