Bah, c'est pas nouveau que les certifs, c'est du vent, un bout de papier
; tu ne payes "que" la renommée de l'autorité de certif. Et encore, avec
0 garantie, je me souviens de je sais plus quelle boite chez qui j'avais
un certif, startssl peut-être je sais plus ? un jour Google dit "on
n'aime
Puisqu'on est sur des questions d'ordre théorique, autant pousser le
bouchon encore plus loin :
- le certificat TLS est généralement public. En tout cas, si tu
arrives à te connecter au service en TLS, c'est que le service envoie
son certificat (à récupérer avec openssl s_client -showcerts
On mercredi 29 septembre 2021 15:48:15 CEST, Élodie BOSSIER via FRsAG
wrote:
Le 29/09/2021 à 15:45, professor geek a écrit :
Sans le +x sur le répertoire, les ‘cd’ vont beaucoup moins bien marcher...
Je viens de tester et le noexec dans le mount fait apparemment
la distinction entre le +x et
Je viens de tester et le noexec dans le mount fait apparemment la
distinction entre le +x et le +X des répertoires.
Le 29/09/2021 à 15:45, professor geek a écrit :
Sans le +x sur le répertoire, les ‘cd’ vont beaucoup moins bien marcher...
Sinon SElinux pourrait pas le faire ? j’avais trouvé
Ah ben merveilleux effectivement :)
Ceci annule donc mon mail précédent.
> Le 29 sept. 2021 à 15:42, Élodie BOSSIER a écrit
> :
>
> Un grand merci à tous le monde.
>
> Le /www/ vient du filer en NFS alors que les /bin etc... sont locaux (cp ou
> mount -bind) sur les clients NFS où se trouve
Attention un script shell, du python / perl / php ... déposé sur une
partition en noexec il suffit de mettre l'interpréteur devant et ça se
lance.
bash ./monscript.sh ou équivalent python ./monscript.py ça marche en
noexec car l'exécution de l'interpréteur se situe dans /usr/bin ou /bin.
Et
Sans le +x sur le répertoire, les ‘cd’ vont beaucoup moins bien marcher...
Sinon SElinux pourrait pas le faire ? j’avais trouvé une KB redhat a ce
sujet
On 29 September 2021 at 15:39:54, David Ponzone (david.ponz...@gmail.com)
wrote:
Je veux pas faire le relou mais ça va être valable pour toute
Donc 1 par user ?
Naïvement, je me suis dit que si Elodie pose la question, c’est parce qu’elle
doit gérer plusieurs centaines/milliers de users, donc peut-être compliqué
d’avoir un mount par user sans automount.
En plus si le / du user doit être noexec, et si /bin doit autoriser exec, il
faut
Un grand merci à tous le monde.
Le /www/ vient du filer en NFS alors que les /bin etc... sont locaux (cp
ou mount -bind) sur les clients NFS où se trouve le chroot, alors le
noexec dans le mount est parfait :)
Le 29/09/2021 à 15:37, David Ponzone a écrit :
Je veux pas faire le relou mais ça
Je veux pas faire le relou mais ça va être valable pour toute la partition,
donc y compris les /bin de chaque user.
> Le 29 sept. 2021 à 15:29, Élodie BOSSIER via FRsAG a écrit :
>
> Vraiment pas bête et assez puissant, je test ça :)
>
> Le 29/09/2021 à 15:22, Samuel Thibault a écrit :
>>
Vraiment pas bête et assez puissant, je test ça :)
Le 29/09/2021 à 15:22, Samuel Thibault a écrit :
Peut-être utiliser un volume monté séparément, avec l'option de
montage noexec ?
___
Liste de diffusion du FRsAG
http://www.frsag.org/
Ce serait une partition, il suffirait de la monter avec noexec (il est
possible que cela fonctionne avec mount --bind et un répertoire mais je
n'ai pas testé).
Sinon, SELinux permet d'attribuer des droits/rôles différents par fichier
suivant le processus qui le crée mais là ça devient très
Bonjour,
Je cherche à ce qu’un utilisateur Linux (sous Debian) ne puisse pas
rendre exécutable (+x via chmod) un fichier qu’il aurai envoyé dans un
de ses répertoires (en l’occurrence ici /www/ où il ne devrai y avoir
que des pages Web), dans son home (chrooté).
Mon utilisateur peut
Sinon tu achète un DV sur gandi ou a 6$ sur thesslstore, tu le valide en
DNS ou en mail, et tu arrête de te prendre la tête pour un tarif aussi
peu élevé !
Sinon pour infos, let's encrypt ignore totalement les caches DNS, lors
d'une demande de certificat, les serveurs de LE viennent faire la
Le 28/09/2021 à 18:19, Ronan Dily a écrit :
> Salut,
>
> Si tu as la main sur ta zone DNS, tu peux déjà générer ton certificat LE en
> ajoutant un champ TXT.
> Une fois que tout est prêt sur ton nouvel hébergement, la migration se fait
> en douceur le temps de la propagation.
Clairement la
15 matches
Mail list logo