Le Fri, 29 Jul 2005 16:49:54 +0200, helios écrivait:
A ma connaissance, aucun SGBD serieux ne court en root.
pick tour sur les users mais l'administrateur et l'instalation sont root
Hu ? C'est quoi pick ? Je pense que l'auteur parlait de MySQL, PostgreSQL, Oracle, Firebird ou DB2.
pick est root a l'install et a l'administration c'est comme ca j'y peut rien mais cela te pose un problem quand c'est pick et non apache
Je ne sait pas ce qu'est pick, mais concernant apache (et lorsqu'il est correctement configuré) la seule partie root du code se borne à faire le bind et forker/seteuid. La partie de code tournant (par défault) en root est bien isolée dans un petit processus propre et minimal. Tout le reste du code tourne avec des privilèges restreints (comprendre: pas en root).
Les applications modernes et sérieuses qui ont besoin de binder un port privilégié font toutes comme ça maintenant (openssh, isakmpd, dovecot, postfix, ...).
À partir de là, on reconnait facilement les applics péraves fait par des amateurs...
Le Fri, 29 Jul 2005 16:49:54 +0200,
helios <helios@com02.com> écrivait:
A ma connaissance, aucun SGBD serieux ne court en root.
pick tour sur les users mais l'administrateur et l'instalation sont root
Hu ? C'est quoi pick ?
Je pense que l'auteur parlait de MySQL, PostgreSQL, Oracle, Firebird ou DB2.
pick est root a l'install et a l'administration c'est comme ca j'y peut rien
mais cela te pose un problem quand c'est pick et non apache
Je ne sait pas ce qu'est pick, mais concernant apache (et lorsqu'il est
correctement configuré) la seule partie root du code se borne à faire
le bind et forker/seteuid. La partie de code tournant (par défault) en root
est bien isolée dans un petit processus propre et minimal.
Tout le reste du code tourne avec des privilèges restreints (comprendre:
pas en root).
Les applications modernes et sérieuses qui ont besoin de binder un port
privilégié font toutes comme ça maintenant (openssh, isakmpd, dovecot,
postfix, ...).
À partir de là, on reconnait facilement les applics péraves fait par des
amateurs...
Le Fri, 29 Jul 2005 16:49:54 +0200, helios écrivait:
A ma connaissance, aucun SGBD serieux ne court en root.
pick tour sur les users mais l'administrateur et l'instalation sont root
Hu ? C'est quoi pick ? Je pense que l'auteur parlait de MySQL, PostgreSQL, Oracle, Firebird ou DB2.
pick est root a l'install et a l'administration c'est comme ca j'y peut rien mais cela te pose un problem quand c'est pick et non apache
Je ne sait pas ce qu'est pick, mais concernant apache (et lorsqu'il est correctement configuré) la seule partie root du code se borne à faire le bind et forker/seteuid. La partie de code tournant (par défault) en root est bien isolée dans un petit processus propre et minimal. Tout le reste du code tourne avec des privilèges restreints (comprendre: pas en root).
Les applications modernes et sérieuses qui ont besoin de binder un port privilégié font toutes comme ça maintenant (openssh, isakmpd, dovecot, postfix, ...).
À partir de là, on reconnait facilement les applics péraves fait par des amateurs...
Benjamin Pineau
Le Sun, 31 Jul 2005 09:51:38 +0200, helios écrivait:
je n'ai pas dis que je reboot a chaque install d'un programme la procedure que j'ai indique avec un reboot pc'est juste pour qu'aucun process non desire soit en cour lors du test au niveau users de apache
Vous vous enfoncez ...
Le Sun, 31 Jul 2005 09:51:38 +0200,
helios <helios@com02.com> écrivait:
je n'ai pas dis que je reboot a chaque install d'un programme la procedure
que j'ai indique avec un reboot pc'est juste pour qu'aucun process
non desire soit en cour lors du test au niveau users de apache
Le Sun, 31 Jul 2005 09:51:38 +0200, helios écrivait:
je n'ai pas dis que je reboot a chaque install d'un programme la procedure que j'ai indique avec un reboot pc'est juste pour qu'aucun process non desire soit en cour lors du test au niveau users de apache
Vous vous enfoncez ...
Benjamin Pineau
Le Fri, 29 Jul 2005 18:04:43 +0200, JustMe écrivait:
ou le lancer via (x)inetd
Heu oui mais là on ne fait que déplacer la question (quels privilèges pour xinetd etc.).
Le Fri, 29 Jul 2005 18:04:43 +0200,
JustMe <pasdespam@merci.beaucoup> écrivait:
ou le lancer via (x)inetd
Heu oui mais là on ne fait que déplacer la question (quels privilèges
pour xinetd etc.).
Le Sat, 30 Jul 2005 00:49:29 +0200, Vincent Bernat écrivait:
En à peine une semaine, cela a doublé d'utilisateurs ! C'est vraiment un système génial !
Tu n'a rien compris, chez FT les utilisateurs sont multivalués !
Stephane TOUGARD
Benjamin Pineau wrote:
Les applications modernes et sérieuses qui ont besoin de binder un port privilégié font toutes comme ça maintenant (openssh, isakmpd, dovecot, postfix, ...).
À partir de là, on reconnait facilement les applics péraves fait par des amateurs...
Ben pick n'a pas besoin d'etre root (c'est un SGDB qui n'ecoute pas sur un port privilegie) et il tourne quand meme en root.
-- http://www.unices.org Les meilleurs modules de Perl http://www.unices.org/photo/ 250 photos de Singapour, Sydney et Seoul http://artlibre.org/ Free Art License
Benjamin Pineau wrote:
Les applications modernes et sérieuses qui ont besoin de binder un port
privilégié font toutes comme ça maintenant (openssh, isakmpd, dovecot,
postfix, ...).
À partir de là, on reconnait facilement les applics péraves fait par des
amateurs...
Ben pick n'a pas besoin d'etre root (c'est un SGDB qui n'ecoute pas sur
un port privilegie) et il tourne quand meme en root.
--
http://www.unices.org Les meilleurs modules de Perl
http://www.unices.org/photo/ 250 photos de Singapour, Sydney et Seoul
http://artlibre.org/ Free Art License
Les applications modernes et sérieuses qui ont besoin de binder un port privilégié font toutes comme ça maintenant (openssh, isakmpd, dovecot, postfix, ...).
À partir de là, on reconnait facilement les applics péraves fait par des amateurs...
Ben pick n'a pas besoin d'etre root (c'est un SGDB qui n'ecoute pas sur un port privilegie) et il tourne quand meme en root.
-- http://www.unices.org Les meilleurs modules de Perl http://www.unices.org/photo/ 250 photos de Singapour, Sydney et Seoul http://artlibre.org/ Free Art License
Rakotomandimby (R12y) Mihamina
helios wrote:
puisque certain trouve que les programme ne doivent pas etre root comment lance apache sans etre root?
Entre le lancement et l'écoute il y a une différence. On peut lancer un truc en étant root, puis il écoute et travaille ou sous un autre user.
-- Un CMS Français à découvrir: CPS. (http://www.cps-project.org) Hébergement gratuit de sites Zope, Plone, et CPS: http://www.objectis.org
helios wrote:
puisque certain trouve que les programme ne doivent pas etre root
comment lance apache sans etre root?
Entre le lancement et l'écoute il y a une différence.
On peut lancer un truc en étant root, puis il écoute et travaille ou sous un
autre user.
--
Un CMS Français à découvrir: CPS. (http://www.cps-project.org)
Hébergement gratuit de sites Zope, Plone, et CPS: http://www.objectis.org
Le Fri, 29 Jul 2005 18:30:57 +0200, helios écrivait:
j'ai dis "securite locale" cela signifie que je gerer la securite cote client pas serveurs
Excellentissime ! Vous permetez que je vous cite en d'autres circonstances ?
Franck Yvonnet
Ainsi Parlait Kevin Denis
c'est vrai qu'il est plus rigolo que luc2 :)
Personnellement j'ai un faible pour ses récentes attaques personnelles qui ont un petit coté Vile Coyote des plus cocasse :-)
-- Franck Yvonnet I remember when trolls were fairy tale creatures who lived under bridges. Now homeless people live there and trolls live on Usenet.
Ainsi Parlait Kevin Denis <kevin@nowhere.invalid>
c'est vrai qu'il est plus rigolo que luc2 :)
Personnellement j'ai un faible pour ses récentes attaques personnelles
qui ont un petit coté Vile Coyote des plus cocasse :-)
--
Franck Yvonnet <fyvonnet@gmail.com>
I remember when trolls were fairy tale creatures who lived under bridges.
Now homeless people live there and trolls live on Usenet.
Personnellement j'ai un faible pour ses récentes attaques personnelles qui ont un petit coté Vile Coyote des plus cocasse :-)
-- Franck Yvonnet I remember when trolls were fairy tale creatures who lived under bridges. Now homeless people live there and trolls live on Usenet.
JustMe
Benjamin Pineau avait écrit le 01/08/2005 :
Le Fri, 29 Jul 2005 18:04:43 +0200, JustMe écrivait:
ou le lancer via (x)inetd
Heu oui mais là on ne fait que déplacer la question (quels privilèges pour xinetd etc.).
Remet en question l'OS pendant que tu y es ;-)
Plus sérieusement, confier la partie faible d'une sécurité à un outil utilisé/relu/vérifié par des dizaines de milliers de personnes et concu uniquement dans ce but plutot qu'a une appli complexe, moins rependue et dont le coueur de métier n'est pas la sécurité mais un service tiers, est une bonne regle de sécurité.
Benjamin Pineau avait écrit le 01/08/2005 :
Le Fri, 29 Jul 2005 18:04:43 +0200,
JustMe <pasdespam@merci.beaucoup> écrivait:
ou le lancer via (x)inetd
Heu oui mais là on ne fait que déplacer la question (quels privilèges
pour xinetd etc.).
Remet en question l'OS pendant que tu y es ;-)
Plus sérieusement, confier la partie faible d'une sécurité à un outil
utilisé/relu/vérifié par des dizaines de milliers de personnes et concu
uniquement dans ce but plutot qu'a une appli complexe, moins rependue
et dont le coueur de métier n'est pas la sécurité mais un service
tiers, est une bonne regle de sécurité.
Le Fri, 29 Jul 2005 18:04:43 +0200, JustMe écrivait:
ou le lancer via (x)inetd
Heu oui mais là on ne fait que déplacer la question (quels privilèges pour xinetd etc.).
Remet en question l'OS pendant que tu y es ;-)
Plus sérieusement, confier la partie faible d'une sécurité à un outil utilisé/relu/vérifié par des dizaines de milliers de personnes et concu uniquement dans ce but plutot qu'a une appli complexe, moins rependue et dont le coueur de métier n'est pas la sécurité mais un service tiers, est une bonne regle de sécurité.
helios
"Stephane TOUGARD" a écrit dans le message de news:
Benjamin Pineau wrote:
Les applications modernes et sérieuses qui ont besoin de binder un port privilégié font toutes comme ça maintenant (openssh, isakmpd, dovecot, postfix, ...).
À partir de là, on reconnait facilement les applics péraves fait par des amateurs...
Ben pick n'a pas besoin d'etre root (c'est un SGDB qui n'ecoute pas sur un port privilegie) et il tourne quand meme en root.
-- pick geres les users linux donc root pour la partie admin
"Stephane TOUGARD" <stephane@unices.org> a écrit dans le message de
news:h4l1s2-i6k.ln1@gulliver.unices.org...
Benjamin Pineau wrote:
Les applications modernes et sérieuses qui ont besoin de binder un port
privilégié font toutes comme ça maintenant (openssh, isakmpd, dovecot,
postfix, ...).
À partir de là, on reconnait facilement les applics péraves fait par des
amateurs...
Ben pick n'a pas besoin d'etre root (c'est un SGDB qui n'ecoute pas sur
un port privilegie) et il tourne quand meme en root.
--
pick geres les users linux donc root pour la partie admin
"Stephane TOUGARD" a écrit dans le message de news:
Benjamin Pineau wrote:
Les applications modernes et sérieuses qui ont besoin de binder un port privilégié font toutes comme ça maintenant (openssh, isakmpd, dovecot, postfix, ...).
À partir de là, on reconnait facilement les applics péraves fait par des amateurs...
Ben pick n'a pas besoin d'etre root (c'est un SGDB qui n'ecoute pas sur un port privilegie) et il tourne quand meme en root.
-- pick geres les users linux donc root pour la partie admin
