On 30/09/2011 19:53, Avell Diroll wrote: > On 30/09/2011 19:39, Clément Février wrote: >> On 30/09/2011 16:59, Ool wrote: > (snip) >>>> www-data ALL = (ALL) NOPASSWD: /usr/bin/maildirmake >>> ça me parait super super dangereux en fait.. >> >> Ben, au pire des cas, ça crée un dossier (ça pèse pas grand chose et en >> terme de temps de calcul, c'est ridicule). J'ai changé la configuration >> pour ne permettre que l'exécution en local (ALL) -> (localhost) et je >> n'ai autorisé qu'un seul vhost à lancer des script. >> Je pense que la prochaine étape sera la protection contre les DoS en >> imposant une limite au nombre de processus que apache peut lancer. > > Non, faire exécuter des choses à www-data est déjà dangereux en soi, > mais lui donner des droits root, dans un script qui au passage permet de > créer un user sur la machine (et qui contiendrait le mot de passe en > clair), là on ne parle plus de sécurité du tout, ça ne sert plus à rien. > Pour peu que ce soit demandé dans un form en php, et c'est plus un trou > de sécurité, un fuzzer tout seul serait capable de prendre la main sur > la machine.
Je viens de réfléchir un peu à la sécurité et c'est vrai que j'ai moi-même trouvé comment hacker mon système. > Regarde plutôt du côté d'mpm-itk pour commencer à sécuriser ce genre de > choses, mais bon ce sera jamais parfait. Effectivement, ça va me simplifier la tâche pour sécuriser un peu mon truc. Je vais réfléchir à un truc un peu plus propre. Merci pour tout, Clément -- Liste de diffusion ubuntu-fr [email protected] Pour s'abonner ou se désabonner : https://lists.ubuntu.com/mailman/listinfo/ubuntu-fr Charte de la liste: http://doc.ubuntu-fr.org/groupes/ubuntu-fr-ml/charte
