cgi iptables et droits Unix

Le
warriror
Bonjour
J'aimerais coder un script CGI me permettant à la fois de visualiser les
règles IPTABLES de mon serveur mais aussi de les modifier.
Mais j'ai un soucis avec la sécurité.
Donner à www-data les droits de sur IPTABLES me semble un tantinet
suicidaire.
Utiliser Sudo (un module perl existe) pour donner à www-data des droits
sur la commande IPTABLES reste envisageable.

Peut être que certains parmi vous ont trouvé des solutions à ce type de
problèmes ?
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Emmanuel Florac
Le #2365121
Le Sun, 06 Apr 2008 10:08:42 +0000, warriror a écrit :


Peut être que certains parmi vous ont trouvé des solutions à ce type de
problèmes ?


webmin est écrit en perl et offre entre autrs choses un module
d'administration d'iptables assez pratique (par contre le code de webmin
est plutôt atroce, genre perl 4, mais enfin ça marche assez bien).
Une possibilité plus propre serait de partir d'IMC (Idealx Management
Console) (écrit en perl 5, avec use strict; ) et d'y porter le module
webmin firewall (a priori IMC est prévu d'origine pour être compatible
wembin donc ce ne devrait pas être un gros problème).

--
Money is a barren Thing, and produces nothing, but by Compact, transfers
that Profit, that was the Reward of one Man's Labour, into another Man's Pocket.
John Locke

espie
Le #2373201
In article Emmanuel Florac
Le Sun, 06 Apr 2008 10:08:42 +0000, warriror a écrit :


Peut être que certains parmi vous ont trouvé des solutions à ce type de
problèmes ?


webmin est écrit en perl et offre entre autrs choses un module
d'administration d'iptables assez pratique (par contre le code de webmin
est plutôt atroce, genre perl 4, mais enfin ça marche assez bien).
Une possibilité plus propre serait de partir d'IMC (Idealx Management
Console) (écrit en perl 5, avec use strict; ) et d'y porter le module
webmin firewall (a priori IMC est prévu d'origine pour être compatible
wembin donc ce ne devrait pas être un gros problème).


Cote securite, webmin n'est pas la panacee... c'est le genre de truc
qu'il vaut mieux n'installer QUE si on est sur a 200% que seul root
va pouvoir avoir acces au bout de serveur web concerne.


Emmanuel Florac
Le #2373181
Le Sun, 06 Apr 2008 15:33:56 +0000, Marc Espie a écrit :


Cote securite, webmin n'est pas la panacee... c'est le genre de truc
qu'il vaut mieux n'installer QUE si on est sur a 200% que seul root
va pouvoir avoir acces au bout de serveur web concerne.


Oui mais entre un truc maintenu et utilisé par des milliers de gens
(webmin) et un truc fait maison, il n'y a quand même pas photo côté
sécurité :)

--
"Dope will get you through times of no money better
than money will get you through times of no dope."
Freewheelin' Franklin.

espie
Le #2373161
In article Emmanuel Florac
Le Sun, 06 Apr 2008 15:33:56 +0000, Marc Espie a écrit :



Cote securite, webmin n'est pas la panacee... c'est le genre de truc
qu'il vaut mieux n'installer QUE si on est sur a 200% que seul root
va pouvoir avoir acces au bout de serveur web concerne.


Oui mais entre un truc maintenu et utilisé par des milliers de gens
(webmin) et un truc fait maison, il n'y a quand même pas photo côté
sécurité :)


Si, justement, il y a photo.

webmin n'a pas la securite, ou au moins tres loin derriere, dans son
cahier des charges, et en plus il essaie de faire un peu tout...
la derniere fois que j'avais regarde webmin, c'etait un truc pas trop
auditable, et pas vraiment corrigeable. La seule facon d'en sortir
quelque chose de decent, c'etait de tout jeter et recommencer.

C'est un travers frequent de pas mal de projets: s'il y a suffisamment
d'existant, les gens vont continuer a faire du Mc Gyver avec, plutot
que de tout reprendre sur des bases plus saines.


Si tu te contentes d'un truc qui en fait moins (par exemple, du IPFilter)
et que tu utilises des outils un peu corrects (par exemple, ca serait pas
deraisonnable de faire du HTML::Mason ou du Catalyst), tu dois assez
facilement pouvoir obtenir un truc qui sera plus petit, et nettement plus
facile a securiser et a faire marcher correctement que webmin.


Publicité
Poster une réponse
Anonyme