Question con:
chez moi si je donne un login/password d'un compte ftp,
sauf s'il y a une faille sur le serveur ftp (le soft ou la conf) ou
éventuellement dans le noyau, je ne vois pas trop comment tu efface les
logs. (sauf si l'herbergeur est assez <biiip :) > pour les laisser dans
l'espace accessible par ftp ou via des scripts lancés ensuite en http)
Pour la partie concernant la modif du site il y a pas mal de
possibilités, mais pour les logs c'est moins facile.
Une idée?
Question con:
chez moi si je donne un login/password d'un compte ftp,
sauf s'il y a une faille sur le serveur ftp (le soft ou la conf) ou
éventuellement dans le noyau, je ne vois pas trop comment tu efface les
logs. (sauf si l'herbergeur est assez <biiip :) > pour les laisser dans
l'espace accessible par ftp ou via des scripts lancés ensuite en http)
Pour la partie concernant la modif du site il y a pas mal de
possibilités, mais pour les logs c'est moins facile.
Une idée?
Question con:
chez moi si je donne un login/password d'un compte ftp,
sauf s'il y a une faille sur le serveur ftp (le soft ou la conf) ou
éventuellement dans le noyau, je ne vois pas trop comment tu efface les
logs. (sauf si l'herbergeur est assez <biiip :) > pour les laisser dans
l'espace accessible par ftp ou via des scripts lancés ensuite en http)
Pour la partie concernant la modif du site il y a pas mal de
possibilités, mais pour les logs c'est moins facile.
Une idée?
Par expérience, je penserais à une compromission du compte FTP, via un
keylogger ou un extracteur de base de registre (et donc une compromission
d'un des postes utilisés pour la mise à jour).
Par expérience, je penserais à une compromission du compte FTP, via un
keylogger ou un extracteur de base de registre (et donc une compromission
d'un des postes utilisés pour la mise à jour).
Par expérience, je penserais à une compromission du compte FTP, via un
keylogger ou un extracteur de base de registre (et donc une compromission
d'un des postes utilisés pour la mise à jour).
non non, ce n'est pas ça, le seul poste utilisé pour la mise à jour, c'est
ma machine, et y'a que moi qui y touche :-)
Passe que moi, au départ, j'avais fait informatique comme études, pas
NT, et je voudrais revenir à mon métier premier.
-+- BB in Guide du Linuxien pervers - Bien configurer son metier.
non non, ce n'est pas ça, le seul poste utilisé pour la mise à jour, c'est
ma machine, et y'a que moi qui y touche :-)
Passe que moi, au départ, j'avais fait informatique comme études, pas
NT, et je voudrais revenir à mon métier premier.
-+- BB in Guide du Linuxien pervers - Bien configurer son metier.
non non, ce n'est pas ça, le seul poste utilisé pour la mise à jour, c'est
ma machine, et y'a que moi qui y touche :-)
Passe que moi, au départ, j'avais fait informatique comme études, pas
NT, et je voudrais revenir à mon métier premier.
-+- BB in Guide du Linuxien pervers - Bien configurer son metier.
chez moi si je donne un login/password d'un compte ftp,
sauf s'il y a une faille sur le serveur ftp (le soft ou la conf) ou
éventuellement dans le noyau, je ne vois pas trop comment tu efface les
logs. (sauf si l'herbergeur est assez <biiip :) > pour les laisser dans
l'espace accessible par ftp ou via des scripts lancés ensuite en
http)
chez moi si je donne un login/password d'un compte ftp,
sauf s'il y a une faille sur le serveur ftp (le soft ou la conf) ou
éventuellement dans le noyau, je ne vois pas trop comment tu efface les
logs. (sauf si l'herbergeur est assez <biiip :) > pour les laisser dans
l'espace accessible par ftp ou via des scripts lancés ensuite en
http)
chez moi si je donne un login/password d'un compte ftp,
sauf s'il y a une faille sur le serveur ftp (le soft ou la conf) ou
éventuellement dans le noyau, je ne vois pas trop comment tu efface les
logs. (sauf si l'herbergeur est assez <biiip :) > pour les laisser dans
l'espace accessible par ftp ou via des scripts lancés ensuite en
http)
chez moi si je donne un login/password d'un compte ftp, sauf s'il y a
une faille sur le serveur ftp (le soft ou la conf) ou éventuellement
dans le noyau, je ne vois pas trop comment tu efface les logs. (sauf si
l'herbergeur est assez <biiip :) > pour les laisser dans l'espace
accessible par ftp ou via des scripts lancés ensuite en http)
Il me semble que Free le fait et je ne trouve pas ça particulièrement
idiot : cela permet de rendre accessibles les logs facilement au
client.
Dans le cas présent, il me semble que ce n'est pas très clair. A
priori, les logs ne semblent pas accessibles par le serveur FTP.
L'hébergeur semble dir qu'ils seraient accessibles par les scripts
PHP. Est-ce que le PHP tourne en safe mode ?
chez moi si je donne un login/password d'un compte ftp, sauf s'il y a
une faille sur le serveur ftp (le soft ou la conf) ou éventuellement
dans le noyau, je ne vois pas trop comment tu efface les logs. (sauf si
l'herbergeur est assez <biiip :) > pour les laisser dans l'espace
accessible par ftp ou via des scripts lancés ensuite en http)
Il me semble que Free le fait et je ne trouve pas ça particulièrement
idiot : cela permet de rendre accessibles les logs facilement au
client.
Dans le cas présent, il me semble que ce n'est pas très clair. A
priori, les logs ne semblent pas accessibles par le serveur FTP.
L'hébergeur semble dir qu'ils seraient accessibles par les scripts
PHP. Est-ce que le PHP tourne en safe mode ?
chez moi si je donne un login/password d'un compte ftp, sauf s'il y a
une faille sur le serveur ftp (le soft ou la conf) ou éventuellement
dans le noyau, je ne vois pas trop comment tu efface les logs. (sauf si
l'herbergeur est assez <biiip :) > pour les laisser dans l'espace
accessible par ftp ou via des scripts lancés ensuite en http)
Il me semble que Free le fait et je ne trouve pas ça particulièrement
idiot : cela permet de rendre accessibles les logs facilement au
client.
Dans le cas présent, il me semble que ce n'est pas très clair. A
priori, les logs ne semblent pas accessibles par le serveur FTP.
L'hébergeur semble dir qu'ils seraient accessibles par les scripts
PHP. Est-ce que le PHP tourne en safe mode ?
Tiens, j'écrivais l'autre jour dans une liste de diffusion que je
trouvais que ce n'était pas une bonne pratique de faire précéder une
règle ACCEPT trop permissive par une ou plusieurs règles DROP en
comptant sur ces dernières pour bloquer les paquets indésirables que la
règle ACCEPT aurait acceptés sinon. En effet si une règle DROP n'est pas
chargée pour une raison quelconque (manque de mémoire, erreur de
syntaxe, module manquant...), le résultat est plus permissif que prévu.
En poussant le raisonnement à l'extrême, on devrait pouvoir retirer
toutes les règles DROP d'un jeu de règles bien écrit sans en altérer la
sécurité.
Pourquoi ne pas simplement mettre toutes les conditions d'acceptation
nécessaires dans les règles ACCEPT ?
Et si on souhaite "factoriser" des
conditions communes à plusieurs règles, on peut regrouper ces règles
dans une chaîne utilisateur.
Tiens, j'écrivais l'autre jour dans une liste de diffusion que je
trouvais que ce n'était pas une bonne pratique de faire précéder une
règle ACCEPT trop permissive par une ou plusieurs règles DROP en
comptant sur ces dernières pour bloquer les paquets indésirables que la
règle ACCEPT aurait acceptés sinon. En effet si une règle DROP n'est pas
chargée pour une raison quelconque (manque de mémoire, erreur de
syntaxe, module manquant...), le résultat est plus permissif que prévu.
En poussant le raisonnement à l'extrême, on devrait pouvoir retirer
toutes les règles DROP d'un jeu de règles bien écrit sans en altérer la
sécurité.
Pourquoi ne pas simplement mettre toutes les conditions d'acceptation
nécessaires dans les règles ACCEPT ?
Et si on souhaite "factoriser" des
conditions communes à plusieurs règles, on peut regrouper ces règles
dans une chaîne utilisateur.
Tiens, j'écrivais l'autre jour dans une liste de diffusion que je
trouvais que ce n'était pas une bonne pratique de faire précéder une
règle ACCEPT trop permissive par une ou plusieurs règles DROP en
comptant sur ces dernières pour bloquer les paquets indésirables que la
règle ACCEPT aurait acceptés sinon. En effet si une règle DROP n'est pas
chargée pour une raison quelconque (manque de mémoire, erreur de
syntaxe, module manquant...), le résultat est plus permissif que prévu.
En poussant le raisonnement à l'extrême, on devrait pouvoir retirer
toutes les règles DROP d'un jeu de règles bien écrit sans en altérer la
sécurité.
Pourquoi ne pas simplement mettre toutes les conditions d'acceptation
nécessaires dans les règles ACCEPT ?
Et si on souhaite "factoriser" des
conditions communes à plusieurs règles, on peut regrouper ces règles
dans une chaîne utilisateur.
Oui et ?
Un keylogger s'installe très facilement sans avoir besoin
d'une présence physique sur la machine.
Oui et ?
Un keylogger s'installe très facilement sans avoir besoin
d'une présence physique sur la machine.
Oui et ?
Un keylogger s'installe très facilement sans avoir besoin
d'une présence physique sur la machine.
la seconde, c'est que mon site n'est pas une cible particulièrement
intéressante à pirater
j'en déduis donc que c'est une cible facile
la troisième c'est que je ne rentre jamais de mots de passe, mon client FTP
[...] s'en charge pour moi.
la seconde, c'est que mon site n'est pas une cible particulièrement
intéressante à pirater
j'en déduis donc que c'est une cible facile
la troisième c'est que je ne rentre jamais de mots de passe, mon client FTP
[...] s'en charge pour moi.
la seconde, c'est que mon site n'est pas une cible particulièrement
intéressante à pirater
j'en déduis donc que c'est une cible facile
la troisième c'est que je ne rentre jamais de mots de passe, mon client FTP
[...] s'en charge pour moi.
Un keylogger s'installe très facilement sans avoir besoin d'une
présence physique sur la machine.
je n'y crois pas pour trois raisons
la première est que je fais assez attention à ce qui traîne sur ma
machine et que je surveille régulièrement les processus qui tournent
dessus. la seconde, c'est que mon site n'est pas une cible
particulièrement intéressante à pirater, j'en déduis donc que c'est
une cible facile la troisième c'est que je ne rentre jamais de mots de
passe, mon client FTP (le très classique Cute FTP... Pas mauvaise
réputation que je sache) s'en charge pour moi.
Un keylogger s'installe très facilement sans avoir besoin d'une
présence physique sur la machine.
je n'y crois pas pour trois raisons
la première est que je fais assez attention à ce qui traîne sur ma
machine et que je surveille régulièrement les processus qui tournent
dessus. la seconde, c'est que mon site n'est pas une cible
particulièrement intéressante à pirater, j'en déduis donc que c'est
une cible facile la troisième c'est que je ne rentre jamais de mots de
passe, mon client FTP (le très classique Cute FTP... Pas mauvaise
réputation que je sache) s'en charge pour moi.
Un keylogger s'installe très facilement sans avoir besoin d'une
présence physique sur la machine.
je n'y crois pas pour trois raisons
la première est que je fais assez attention à ce qui traîne sur ma
machine et que je surveille régulièrement les processus qui tournent
dessus. la seconde, c'est que mon site n'est pas une cible
particulièrement intéressante à pirater, j'en déduis donc que c'est
une cible facile la troisième c'est que je ne rentre jamais de mots de
passe, mon client FTP (le très classique Cute FTP... Pas mauvaise
réputation que je sache) s'en charge pour moi.
Pascal Hambourg wrote:Tiens, j'écrivais l'autre jour dans une liste de diffusion que je
trouvais que ce n'était pas une bonne pratique de faire précéder une
règle ACCEPT trop permissive par une ou plusieurs règles DROP en
comptant sur ces dernières pour bloquer les paquets indésirables que
la règle ACCEPT aurait acceptés sinon. En effet si une règle DROP
n'est pas chargée pour une raison quelconque (manque de mémoire,
erreur de syntaxe, module manquant...), le résultat est plus permissif
que prévu.
Je comprends l'argument cependant je ne pense pas qu'il faille voir
les différentes règles comme des entités si individuelles que cela.
L'oubli d'une règle est une erreur de paramétrage qui est tout à fait
comparable à l'oubli/l'erreur d'une condition dans une autre. Dans tous
les cas le filtrage est compromis.
J'ai également du mal a voir ce que cela apporte réellement et ce
qu'il est réellement possible de faire avec cette idée.
Pourquoi ne pas simplement mettre toutes les conditions d'acceptation
nécessaires dans les règles ACCEPT ?
* D'un point de vue maintenance, je ne pense pas que cette maniere de
faire soit efficace. En effet, si je veux changer une condition de refus
de paquet de ce genre, je vais devoir changer la condition dans tous les
ACCEPT qui l'avaient en commun au risque d'en oublier un !
De plus, je ne vois pas vraiment comment cela est (toujours) possible.
Par exemple, comment (et pourquoi !?) devrais-je re-ecrire ceci en une
ligne ACCEPT ???
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN SYN --tcp-option ! 2 -j DROP
iptables -A INPUT -m state --state NEW,RELATED -p tcp --tcp-flags ! ALL
SYN -j DROP
iptables -A INPUT -i eth9 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth9 -s 127.0.0.0/8 -j DROP
iptables -A INPUT -i eth9 -p tcp --dport 123 -j ACCEPT
D'un point de vue lisibilité et maintenance, je pense qu'il _faut_
factoriser mais je ne vois pas en quoi ceci règle votre problème de
"sécurité" dû à l'oubli/l'erreur éventuel d'une règle DROP.
Ce qu'il ne faut pas faire, c'est mettre des DROP à gogo redondants
pour le plaisir
mais, bien dosés, je pense au contraire que la bonne
pratique est de "factoriser" ce qui peut l'être avec ou sans chaîne
utilisateur selon la taille du jeu de règles. A mon sens, on peut même
mettre certains DROP redondants en tête de du jeu de règles car on sait
que tel type de paquets correspond à 95 % des paquets à refuser; ce qui
aura pour effet de ne pas évaluer les autres règles pour ces 95% de
refusés.
Pascal Hambourg wrote:
Tiens, j'écrivais l'autre jour dans une liste de diffusion que je
trouvais que ce n'était pas une bonne pratique de faire précéder une
règle ACCEPT trop permissive par une ou plusieurs règles DROP en
comptant sur ces dernières pour bloquer les paquets indésirables que
la règle ACCEPT aurait acceptés sinon. En effet si une règle DROP
n'est pas chargée pour une raison quelconque (manque de mémoire,
erreur de syntaxe, module manquant...), le résultat est plus permissif
que prévu.
Je comprends l'argument cependant je ne pense pas qu'il faille voir
les différentes règles comme des entités si individuelles que cela.
L'oubli d'une règle est une erreur de paramétrage qui est tout à fait
comparable à l'oubli/l'erreur d'une condition dans une autre. Dans tous
les cas le filtrage est compromis.
J'ai également du mal a voir ce que cela apporte réellement et ce
qu'il est réellement possible de faire avec cette idée.
Pourquoi ne pas simplement mettre toutes les conditions d'acceptation
nécessaires dans les règles ACCEPT ?
* D'un point de vue maintenance, je ne pense pas que cette maniere de
faire soit efficace. En effet, si je veux changer une condition de refus
de paquet de ce genre, je vais devoir changer la condition dans tous les
ACCEPT qui l'avaient en commun au risque d'en oublier un !
De plus, je ne vois pas vraiment comment cela est (toujours) possible.
Par exemple, comment (et pourquoi !?) devrais-je re-ecrire ceci en une
ligne ACCEPT ???
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN SYN --tcp-option ! 2 -j DROP
iptables -A INPUT -m state --state NEW,RELATED -p tcp --tcp-flags ! ALL
SYN -j DROP
iptables -A INPUT -i eth9 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth9 -s 127.0.0.0/8 -j DROP
iptables -A INPUT -i eth9 -p tcp --dport 123 -j ACCEPT
D'un point de vue lisibilité et maintenance, je pense qu'il _faut_
factoriser mais je ne vois pas en quoi ceci règle votre problème de
"sécurité" dû à l'oubli/l'erreur éventuel d'une règle DROP.
Ce qu'il ne faut pas faire, c'est mettre des DROP à gogo redondants
pour le plaisir
mais, bien dosés, je pense au contraire que la bonne
pratique est de "factoriser" ce qui peut l'être avec ou sans chaîne
utilisateur selon la taille du jeu de règles. A mon sens, on peut même
mettre certains DROP redondants en tête de du jeu de règles car on sait
que tel type de paquets correspond à 95 % des paquets à refuser; ce qui
aura pour effet de ne pas évaluer les autres règles pour ces 95% de
refusés.
Pascal Hambourg wrote:Tiens, j'écrivais l'autre jour dans une liste de diffusion que je
trouvais que ce n'était pas une bonne pratique de faire précéder une
règle ACCEPT trop permissive par une ou plusieurs règles DROP en
comptant sur ces dernières pour bloquer les paquets indésirables que
la règle ACCEPT aurait acceptés sinon. En effet si une règle DROP
n'est pas chargée pour une raison quelconque (manque de mémoire,
erreur de syntaxe, module manquant...), le résultat est plus permissif
que prévu.
Je comprends l'argument cependant je ne pense pas qu'il faille voir
les différentes règles comme des entités si individuelles que cela.
L'oubli d'une règle est une erreur de paramétrage qui est tout à fait
comparable à l'oubli/l'erreur d'une condition dans une autre. Dans tous
les cas le filtrage est compromis.
J'ai également du mal a voir ce que cela apporte réellement et ce
qu'il est réellement possible de faire avec cette idée.
Pourquoi ne pas simplement mettre toutes les conditions d'acceptation
nécessaires dans les règles ACCEPT ?
* D'un point de vue maintenance, je ne pense pas que cette maniere de
faire soit efficace. En effet, si je veux changer une condition de refus
de paquet de ce genre, je vais devoir changer la condition dans tous les
ACCEPT qui l'avaient en commun au risque d'en oublier un !
De plus, je ne vois pas vraiment comment cela est (toujours) possible.
Par exemple, comment (et pourquoi !?) devrais-je re-ecrire ceci en une
ligne ACCEPT ???
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN SYN --tcp-option ! 2 -j DROP
iptables -A INPUT -m state --state NEW,RELATED -p tcp --tcp-flags ! ALL
SYN -j DROP
iptables -A INPUT -i eth9 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth9 -s 127.0.0.0/8 -j DROP
iptables -A INPUT -i eth9 -p tcp --dport 123 -j ACCEPT
D'un point de vue lisibilité et maintenance, je pense qu'il _faut_
factoriser mais je ne vois pas en quoi ceci règle votre problème de
"sécurité" dû à l'oubli/l'erreur éventuel d'une règle DROP.
Ce qu'il ne faut pas faire, c'est mettre des DROP à gogo redondants
pour le plaisir
mais, bien dosés, je pense au contraire que la bonne
pratique est de "factoriser" ce qui peut l'être avec ou sans chaîne
utilisateur selon la taille du jeu de règles. A mon sens, on peut même
mettre certains DROP redondants en tête de du jeu de règles car on sait
que tel type de paquets correspond à 95 % des paquets à refuser; ce qui
aura pour effet de ne pas évaluer les autres règles pour ces 95% de
refusés.
