> ARGH !!!!!!!!!
> Si tu donnes les droits sudo pour utiliser tail en tant que root, toto le
> hackeur va faire
> sudo tail -n 1000 /etc/shadow
> Il pourra aussi visualiser tous les autres fichiers de conf normalement
> secrets (je pense aux confs SQL, LDAP, ppp, et il y en a surement plein
> d'autres)
Ce qu'il ne fallait pas faire sur mon serveur en prod!

> C'est une tr�s tr�s mauvaise id�e, et il est dans ce cas nettement
> pr�f�rable de changer les droits sur le fichier de log en lui m�me. Au
> moins
> la port�e de ce qu'un "attaquant" peut faire reste tr�s limit�e.
Ce que j'ai fait directement via logrotate.d.
J'utilise sudo dans divers scripts, mais dans le cas pr�sent cela ne me
semblait vraiment pas �tre la solution...

En revanche, le probl�me de droit reste "accessoire". Mon probl�me r�el
reste toujours d'afficher les ajouts au fichier sur la console en temps
r�el sans faire tourner un processus  du style tail sur cette m�me console
(du style des logs envoy� en console grace � la commande LOG de
iptables)...


Merci.

Erick.



Répondre à