su dans un script bash
Clément Février
clement at forumanalogue.fr
Dim 2 Oct 17:32:30 UTC 2011
On 30/09/2011 19:53, Avell Diroll wrote:
> On 30/09/2011 19:39, Clément Février wrote:
>> On 30/09/2011 16:59, Ool wrote:
> (snip)
>>>> www-data ALL = (ALL) NOPASSWD: /usr/bin/maildirmake
>>> ça me parait super super dangereux en fait..
>>
>> Ben, au pire des cas, ça crée un dossier (ça pèse pas grand chose et en
>> terme de temps de calcul, c'est ridicule). J'ai changé la configuration
>> pour ne permettre que l'exécution en local (ALL) -> (localhost) et je
>> n'ai autorisé qu'un seul vhost à lancer des script.
>> Je pense que la prochaine étape sera la protection contre les DoS en
>> imposant une limite au nombre de processus que apache peut lancer.
>
> Non, faire exécuter des choses à www-data est déjà dangereux en soi,
> mais lui donner des droits root, dans un script qui au passage permet de
> créer un user sur la machine (et qui contiendrait le mot de passe en
> clair), là on ne parle plus de sécurité du tout, ça ne sert plus à rien.
> Pour peu que ce soit demandé dans un form en php, et c'est plus un trou
> de sécurité, un fuzzer tout seul serait capable de prendre la main sur
> la machine.
Je viens de réfléchir un peu à la sécurité et c'est vrai que j'ai
moi-même trouvé comment hacker mon système.
> Regarde plutôt du côté d'mpm-itk pour commencer à sécuriser ce genre de
> choses, mais bon ce sera jamais parfait.
Effectivement, ça va me simplifier la tâche pour sécuriser un peu mon
truc. Je vais réfléchir à un truc un peu plus propre.
Merci pour tout,
Clément
Plus d'informations sur la liste de diffusion ubuntu-fr