su dans un script bash
Avell Diroll
avelldiroll at gmail.com
Ven 30 Sep 17:53:14 UTC 2011
On 30/09/2011 19:39, Clément Février wrote:
> On 30/09/2011 16:59, Ool wrote:
(snip)
>>> www-data ALL = (ALL) NOPASSWD: /usr/bin/maildirmake
>> ça me parait super super dangereux en fait..
>
> Ben, au pire des cas, ça crée un dossier (ça pèse pas grand chose et en
> terme de temps de calcul, c'est ridicule). J'ai changé la configuration
> pour ne permettre que l'exécution en local (ALL) -> (localhost) et je
> n'ai autorisé qu'un seul vhost à lancer des script.
> Je pense que la prochaine étape sera la protection contre les DoS en
> imposant une limite au nombre de processus que apache peut lancer.
Non, faire exécuter des choses à www-data est déjà dangereux en soi,
mais lui donner des droits root, dans un script qui au passage permet de
créer un user sur la machine (et qui contiendrait le mot de passe en
clair), là on ne parle plus de sécurité du tout, ça ne sert plus à rien.
Pour peu que ce soit demandé dans un form en php, et c'est plus un trou
de sécurité, un fuzzer tout seul serait capable de prendre la main sur
la machine.
Regarde plutôt du côté d'mpm-itk pour commencer à sécuriser ce genre de
choses, mais bon ce sera jamais parfait.
Bonne continuation
Ju
--
I've made up my mind. Don't confuse me with the facts.
Plus d'informations sur la liste de diffusion ubuntu-fr