Bonjour
J'aimerais coder un script CGI me permettant à la fois de visualiser les
règles IPTABLES de mon serveur mais aussi de les modifier.
Mais j'ai un soucis avec la sécurité.
Donner à www-data les droits de sur IPTABLES me semble un tantinet
suicidaire.
Utiliser Sudo (un module perl existe) pour donner à www-data des droits
sur la commande IPTABLES reste envisageable.
Peut être que certains parmi vous ont trouvé des solutions à ce type de
problèmes ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Emmanuel Florac
Le Sun, 06 Apr 2008 10:08:42 +0000, warriror a écrit :
Peut être que certains parmi vous ont trouvé des solutions à ce type de problèmes ?
webmin est écrit en perl et offre entre autrs choses un module d'administration d'iptables assez pratique (par contre le code de webmin est plutôt atroce, genre perl 4, mais enfin ça marche assez bien). Une possibilité plus propre serait de partir d'IMC (Idealx Management Console) (écrit en perl 5, avec use strict; ) et d'y porter le module webmin firewall (a priori IMC est prévu d'origine pour être compatible wembin donc ce ne devrait pas être un gros problème).
-- Money is a barren Thing, and produces nothing, but by Compact, transfers that Profit, that was the Reward of one Man's Labour, into another Man's Pocket. John Locke
Le Sun, 06 Apr 2008 10:08:42 +0000, warriror a écrit :
Peut être que certains parmi vous ont trouvé des solutions à ce type de
problèmes ?
webmin est écrit en perl et offre entre autrs choses un module
d'administration d'iptables assez pratique (par contre le code de webmin
est plutôt atroce, genre perl 4, mais enfin ça marche assez bien).
Une possibilité plus propre serait de partir d'IMC (Idealx Management
Console) (écrit en perl 5, avec use strict; ) et d'y porter le module
webmin firewall (a priori IMC est prévu d'origine pour être compatible
wembin donc ce ne devrait pas être un gros problème).
--
Money is a barren Thing, and produces nothing, but by Compact, transfers
that Profit, that was the Reward of one Man's Labour, into another Man's Pocket.
John Locke
Le Sun, 06 Apr 2008 10:08:42 +0000, warriror a écrit :
Peut être que certains parmi vous ont trouvé des solutions à ce type de problèmes ?
webmin est écrit en perl et offre entre autrs choses un module d'administration d'iptables assez pratique (par contre le code de webmin est plutôt atroce, genre perl 4, mais enfin ça marche assez bien). Une possibilité plus propre serait de partir d'IMC (Idealx Management Console) (écrit en perl 5, avec use strict; ) et d'y porter le module webmin firewall (a priori IMC est prévu d'origine pour être compatible wembin donc ce ne devrait pas être un gros problème).
-- Money is a barren Thing, and produces nothing, but by Compact, transfers that Profit, that was the Reward of one Man's Labour, into another Man's Pocket. John Locke
espie
In article , Emmanuel Florac wrote:
Le Sun, 06 Apr 2008 10:08:42 +0000, warriror a écrit :
Peut être que certains parmi vous ont trouvé des solutions à ce type de problèmes ?
webmin est écrit en perl et offre entre autrs choses un module d'administration d'iptables assez pratique (par contre le code de webmin est plutôt atroce, genre perl 4, mais enfin ça marche assez bien). Une possibilité plus propre serait de partir d'IMC (Idealx Management Console) (écrit en perl 5, avec use strict; ) et d'y porter le module webmin firewall (a priori IMC est prévu d'origine pour être compatible wembin donc ce ne devrait pas être un gros problème).
Cote securite, webmin n'est pas la panacee... c'est le genre de truc qu'il vaut mieux n'installer QUE si on est sur a 200% que seul root va pouvoir avoir acces au bout de serveur web concerne.
In article <pan.2008.04.06.13.25.19.183400@imaginet.fr>,
Emmanuel Florac <wazoox@free.fr> wrote:
Le Sun, 06 Apr 2008 10:08:42 +0000, warriror a écrit :
Peut être que certains parmi vous ont trouvé des solutions à ce type de
problèmes ?
webmin est écrit en perl et offre entre autrs choses un module
d'administration d'iptables assez pratique (par contre le code de webmin
est plutôt atroce, genre perl 4, mais enfin ça marche assez bien).
Une possibilité plus propre serait de partir d'IMC (Idealx Management
Console) (écrit en perl 5, avec use strict; ) et d'y porter le module
webmin firewall (a priori IMC est prévu d'origine pour être compatible
wembin donc ce ne devrait pas être un gros problème).
Cote securite, webmin n'est pas la panacee... c'est le genre de truc
qu'il vaut mieux n'installer QUE si on est sur a 200% que seul root
va pouvoir avoir acces au bout de serveur web concerne.
Le Sun, 06 Apr 2008 10:08:42 +0000, warriror a écrit :
Peut être que certains parmi vous ont trouvé des solutions à ce type de problèmes ?
webmin est écrit en perl et offre entre autrs choses un module d'administration d'iptables assez pratique (par contre le code de webmin est plutôt atroce, genre perl 4, mais enfin ça marche assez bien). Une possibilité plus propre serait de partir d'IMC (Idealx Management Console) (écrit en perl 5, avec use strict; ) et d'y porter le module webmin firewall (a priori IMC est prévu d'origine pour être compatible wembin donc ce ne devrait pas être un gros problème).
Cote securite, webmin n'est pas la panacee... c'est le genre de truc qu'il vaut mieux n'installer QUE si on est sur a 200% que seul root va pouvoir avoir acces au bout de serveur web concerne.
Emmanuel Florac
Le Sun, 06 Apr 2008 15:33:56 +0000, Marc Espie a écrit :
Cote securite, webmin n'est pas la panacee... c'est le genre de truc qu'il vaut mieux n'installer QUE si on est sur a 200% que seul root va pouvoir avoir acces au bout de serveur web concerne.
Oui mais entre un truc maintenu et utilisé par des milliers de gens (webmin) et un truc fait maison, il n'y a quand même pas photo côté sécurité :)
-- "Dope will get you through times of no money better than money will get you through times of no dope." Freewheelin' Franklin.
Le Sun, 06 Apr 2008 15:33:56 +0000, Marc Espie a écrit :
Cote securite, webmin n'est pas la panacee... c'est le genre de truc
qu'il vaut mieux n'installer QUE si on est sur a 200% que seul root
va pouvoir avoir acces au bout de serveur web concerne.
Oui mais entre un truc maintenu et utilisé par des milliers de gens
(webmin) et un truc fait maison, il n'y a quand même pas photo côté
sécurité :)
--
"Dope will get you through times of no money better
than money will get you through times of no dope."
Freewheelin' Franklin.
Le Sun, 06 Apr 2008 15:33:56 +0000, Marc Espie a écrit :
Cote securite, webmin n'est pas la panacee... c'est le genre de truc qu'il vaut mieux n'installer QUE si on est sur a 200% que seul root va pouvoir avoir acces au bout de serveur web concerne.
Oui mais entre un truc maintenu et utilisé par des milliers de gens (webmin) et un truc fait maison, il n'y a quand même pas photo côté sécurité :)
-- "Dope will get you through times of no money better than money will get you through times of no dope." Freewheelin' Franklin.
espie
In article , Emmanuel Florac wrote:
Le Sun, 06 Apr 2008 15:33:56 +0000, Marc Espie a écrit :
Cote securite, webmin n'est pas la panacee... c'est le genre de truc qu'il vaut mieux n'installer QUE si on est sur a 200% que seul root va pouvoir avoir acces au bout de serveur web concerne.
Oui mais entre un truc maintenu et utilisé par des milliers de gens (webmin) et un truc fait maison, il n'y a quand même pas photo côté sécurité :)
Si, justement, il y a photo.
webmin n'a pas la securite, ou au moins tres loin derriere, dans son cahier des charges, et en plus il essaie de faire un peu tout... la derniere fois que j'avais regarde webmin, c'etait un truc pas trop auditable, et pas vraiment corrigeable. La seule facon d'en sortir quelque chose de decent, c'etait de tout jeter et recommencer.
C'est un travers frequent de pas mal de projets: s'il y a suffisamment d'existant, les gens vont continuer a faire du Mc Gyver avec, plutot que de tout reprendre sur des bases plus saines.
Si tu te contentes d'un truc qui en fait moins (par exemple, du IPFilter) et que tu utilises des outils un peu corrects (par exemple, ca serait pas deraisonnable de faire du HTML::Mason ou du Catalyst), tu dois assez facilement pouvoir obtenir un truc qui sera plus petit, et nettement plus facile a securiser et a faire marcher correctement que webmin.
In article <pan.2008.04.06.16.12.47.840355@imaginet.fr>,
Emmanuel Florac <wazoox@free.fr> wrote:
Le Sun, 06 Apr 2008 15:33:56 +0000, Marc Espie a écrit :
Cote securite, webmin n'est pas la panacee... c'est le genre de truc
qu'il vaut mieux n'installer QUE si on est sur a 200% que seul root
va pouvoir avoir acces au bout de serveur web concerne.
Oui mais entre un truc maintenu et utilisé par des milliers de gens
(webmin) et un truc fait maison, il n'y a quand même pas photo côté
sécurité :)
Si, justement, il y a photo.
webmin n'a pas la securite, ou au moins tres loin derriere, dans son
cahier des charges, et en plus il essaie de faire un peu tout...
la derniere fois que j'avais regarde webmin, c'etait un truc pas trop
auditable, et pas vraiment corrigeable. La seule facon d'en sortir
quelque chose de decent, c'etait de tout jeter et recommencer.
C'est un travers frequent de pas mal de projets: s'il y a suffisamment
d'existant, les gens vont continuer a faire du Mc Gyver avec, plutot
que de tout reprendre sur des bases plus saines.
Si tu te contentes d'un truc qui en fait moins (par exemple, du IPFilter)
et que tu utilises des outils un peu corrects (par exemple, ca serait pas
deraisonnable de faire du HTML::Mason ou du Catalyst), tu dois assez
facilement pouvoir obtenir un truc qui sera plus petit, et nettement plus
facile a securiser et a faire marcher correctement que webmin.
Le Sun, 06 Apr 2008 15:33:56 +0000, Marc Espie a écrit :
Cote securite, webmin n'est pas la panacee... c'est le genre de truc qu'il vaut mieux n'installer QUE si on est sur a 200% que seul root va pouvoir avoir acces au bout de serveur web concerne.
Oui mais entre un truc maintenu et utilisé par des milliers de gens (webmin) et un truc fait maison, il n'y a quand même pas photo côté sécurité :)
Si, justement, il y a photo.
webmin n'a pas la securite, ou au moins tres loin derriere, dans son cahier des charges, et en plus il essaie de faire un peu tout... la derniere fois que j'avais regarde webmin, c'etait un truc pas trop auditable, et pas vraiment corrigeable. La seule facon d'en sortir quelque chose de decent, c'etait de tout jeter et recommencer.
C'est un travers frequent de pas mal de projets: s'il y a suffisamment d'existant, les gens vont continuer a faire du Mc Gyver avec, plutot que de tout reprendre sur des bases plus saines.
Si tu te contentes d'un truc qui en fait moins (par exemple, du IPFilter) et que tu utilises des outils un peu corrects (par exemple, ca serait pas deraisonnable de faire du HTML::Mason ou du Catalyst), tu dois assez facilement pouvoir obtenir un truc qui sera plus petit, et nettement plus facile a securiser et a faire marcher correctement que webmin.
