Xavier Roche wrote:Si seul le site est hébergé, vérifier que seul le port 80 est ouvert
derrière le firewall. Après, vérifier que le serveur web est correctement
configuré (exemple: sous Linux, un Apache récent, avec les modules type
php en safe mode, le tout chrooté sur un système dont le / est en
read-only)
Si j'execute Apache sous un users.group qui n'a des droits en lecture
ecriture que dans son repertoire, exemple bill.web dans /www,
y'a t'il des risques hors /www ?
Il faudrait que apache soit chrooté dans son répertoire, et même comme
Xavier Roche wrote:
Si seul le site est hébergé, vérifier que seul le port 80 est ouvert
derrière le firewall. Après, vérifier que le serveur web est correctement
configuré (exemple: sous Linux, un Apache récent, avec les modules type
php en safe mode, le tout chrooté sur un système dont le / est en
read-only)
Si j'execute Apache sous un users.group qui n'a des droits en lecture
ecriture que dans son repertoire, exemple bill.web dans /www,
y'a t'il des risques hors /www ?
Il faudrait que apache soit chrooté dans son répertoire, et même comme
Xavier Roche wrote:Si seul le site est hébergé, vérifier que seul le port 80 est ouvert
derrière le firewall. Après, vérifier que le serveur web est correctement
configuré (exemple: sous Linux, un Apache récent, avec les modules type
php en safe mode, le tout chrooté sur un système dont le / est en
read-only)
Si j'execute Apache sous un users.group qui n'a des droits en lecture
ecriture que dans son repertoire, exemple bill.web dans /www,
y'a t'il des risques hors /www ?
Il faudrait que apache soit chrooté dans son répertoire, et même comme
Xavier Roche wrote:
Si j'execute Apache sous un users.group qui n'a des droits en lecture
ecriture que dans son repertoire, exemple bill.web dans /www, y'a t'il des
risques hors /www ?
Xavier Roche wrote:
Si j'execute Apache sous un users.group qui n'a des droits en lecture
ecriture que dans son repertoire, exemple bill.web dans /www, y'a t'il des
risques hors /www ?
Xavier Roche wrote:
Si j'execute Apache sous un users.group qui n'a des droits en lecture
ecriture que dans son repertoire, exemple bill.web dans /www, y'a t'il des
risques hors /www ?
Xavier Roche wrote:Si seul le site est hébergé, vérifier que seul le port 80 est ouvert
derrière le firewall. Après, vérifier que le serveur web est
correctement
configuré (exemple: sous Linux, un Apache récent, avec les modules type
php en safe mode, le tout chrooté sur un système dont le / est en
read-only)
Si j'execute Apache sous un users.group qui n'a des droits en lecture
ecriture que dans son repertoire, exemple bill.web dans /www,
y'a t'il des risques hors /www ?
Xavier Roche wrote:
Si seul le site est hébergé, vérifier que seul le port 80 est ouvert
derrière le firewall. Après, vérifier que le serveur web est
correctement
configuré (exemple: sous Linux, un Apache récent, avec les modules type
php en safe mode, le tout chrooté sur un système dont le / est en
read-only)
Si j'execute Apache sous un users.group qui n'a des droits en lecture
ecriture que dans son repertoire, exemple bill.web dans /www,
y'a t'il des risques hors /www ?
Xavier Roche wrote:Si seul le site est hébergé, vérifier que seul le port 80 est ouvert
derrière le firewall. Après, vérifier que le serveur web est
correctement
configuré (exemple: sous Linux, un Apache récent, avec les modules type
php en safe mode, le tout chrooté sur un système dont le / est en
read-only)
Si j'execute Apache sous un users.group qui n'a des droits en lecture
ecriture que dans son repertoire, exemple bill.web dans /www,
y'a t'il des risques hors /www ?
"swollen" a écrit dans le message de
news:3fb24614$0$11226$Xavier Roche wrote:Si seul le site est hébergé, vérifier que seul le port 80 est ouvert
derrière le firewall. Après, vérifier que le serveur web est
correctementconfiguré (exemple: sous Linux, un Apache récent, avec les modules type
php en safe mode, le tout chrooté sur un système dont le / est en
read-only)
Si j'execute Apache sous un users.group qui n'a des droits en lecture
ecriture que dans son repertoire, exemple bill.web dans /www,
y'a t'il des risques hors /www ?
Je pense que la question est mal posée (meuh non je ne suis pas un politique
qui commence par cette phrase pour répondre "à côté"!).
Sur un système "normal" (sans acl par exemple) ton users.group définit
uniquement pour l'occasion profite des droits "other" pour tous les
fichiers.
Donc si tu as un "petit" problème de configuration (du genre /bin
en -rwxr-xrwx)
tu vas direct vers une compromission de la machine. De même
une faille locale accédée...en local[1]! et reboom.
Maintenant si tu es à jour des versions OS et softs et que tu ne t'es pas
planté dans ta config tu doit être raisonnablement tranquille.
Note que le chroot est un plus, mais il ne prend toute sa valeur que si tu
en connait les limites. Tu as eu un MISC il y a quelques temps là dessus.
"swollen" <hp@hp.invalid.com> a écrit dans le message de
news:3fb24614$0$11226$636a55ce@news.free.fr...
Xavier Roche wrote:
Si seul le site est hébergé, vérifier que seul le port 80 est ouvert
derrière le firewall. Après, vérifier que le serveur web est
correctement
configuré (exemple: sous Linux, un Apache récent, avec les modules type
php en safe mode, le tout chrooté sur un système dont le / est en
read-only)
Si j'execute Apache sous un users.group qui n'a des droits en lecture
ecriture que dans son repertoire, exemple bill.web dans /www,
y'a t'il des risques hors /www ?
Je pense que la question est mal posée (meuh non je ne suis pas un politique
qui commence par cette phrase pour répondre "à côté"!).
Sur un système "normal" (sans acl par exemple) ton users.group définit
uniquement pour l'occasion profite des droits "other" pour tous les
fichiers.
Donc si tu as un "petit" problème de configuration (du genre /bin
en -rwxr-xrwx)
tu vas direct vers une compromission de la machine. De même
une faille locale accédée...en local[1]! et reboom.
Maintenant si tu es à jour des versions OS et softs et que tu ne t'es pas
planté dans ta config tu doit être raisonnablement tranquille.
Note que le chroot est un plus, mais il ne prend toute sa valeur que si tu
en connait les limites. Tu as eu un MISC il y a quelques temps là dessus.
"swollen" a écrit dans le message de
news:3fb24614$0$11226$Xavier Roche wrote:Si seul le site est hébergé, vérifier que seul le port 80 est ouvert
derrière le firewall. Après, vérifier que le serveur web est
correctementconfiguré (exemple: sous Linux, un Apache récent, avec les modules type
php en safe mode, le tout chrooté sur un système dont le / est en
read-only)
Si j'execute Apache sous un users.group qui n'a des droits en lecture
ecriture que dans son repertoire, exemple bill.web dans /www,
y'a t'il des risques hors /www ?
Je pense que la question est mal posée (meuh non je ne suis pas un politique
qui commence par cette phrase pour répondre "à côté"!).
Sur un système "normal" (sans acl par exemple) ton users.group définit
uniquement pour l'occasion profite des droits "other" pour tous les
fichiers.
Donc si tu as un "petit" problème de configuration (du genre /bin
en -rwxr-xrwx)
tu vas direct vers une compromission de la machine. De même
une faille locale accédée...en local[1]! et reboom.
Maintenant si tu es à jour des versions OS et softs et que tu ne t'es pas
planté dans ta config tu doit être raisonnablement tranquille.
Note que le chroot est un plus, mais il ne prend toute sa valeur que si tu
en connait les limites. Tu as eu un MISC il y a quelques temps là dessus.
Eric Razny wrote:"swollen" a écrit dans le message de
news:3fb24614$0$11226$
Je pense que la question est mal posée (meuh non je ne suis pas un
politique
qui commence par cette phrase pour répondre "à côté"!).
Sur un système "normal" (sans acl par exemple) ton users.group définit
uniquement pour l'occasion profite des droits "other" pour tous les
fichiers.
Oui mais il ne peut pas faire grand chose de ca. De plus il est lancé
sous le non de l'utilisateur et non par root, je sais pas si c'est une
sécurité en plus?
Non quand même pas! Même pour /etc/httpd/http.conf et autres, cet
utilisateur ne peur que lire.
Maintenant si tu es à jour des versions OS et softs et que tu ne t'es
pas
planté dans ta config tu doit être raisonnablement tranquille.
C'est plutot à jour, derniere Slackwar 9.1
Note que le chroot est un plus, mais il ne prend toute sa valeur que si
tu
en connait les limites. Tu as eu un MISC il y a quelques temps là
dessus.
J'ai trouvé une doc, je vais lire :)
http://penguin.epfl.ch/chroot.html
Eric Razny wrote:
"swollen" <hp@hp.invalid.com> a écrit dans le message de
news:3fb24614$0$11226$636a55ce@news.free.fr...
Je pense que la question est mal posée (meuh non je ne suis pas un
politique
qui commence par cette phrase pour répondre "à côté"!).
Sur un système "normal" (sans acl par exemple) ton users.group définit
uniquement pour l'occasion profite des droits "other" pour tous les
fichiers.
Oui mais il ne peut pas faire grand chose de ca. De plus il est lancé
sous le non de l'utilisateur et non par root, je sais pas si c'est une
sécurité en plus?
Non quand même pas! Même pour /etc/httpd/http.conf et autres, cet
utilisateur ne peur que lire.
Maintenant si tu es à jour des versions OS et softs et que tu ne t'es
pas
planté dans ta config tu doit être raisonnablement tranquille.
C'est plutot à jour, derniere Slackwar 9.1
Note que le chroot est un plus, mais il ne prend toute sa valeur que si
tu
en connait les limites. Tu as eu un MISC il y a quelques temps là
dessus.
J'ai trouvé une doc, je vais lire :)
http://penguin.epfl.ch/chroot.html
Eric Razny wrote:"swollen" a écrit dans le message de
news:3fb24614$0$11226$
Je pense que la question est mal posée (meuh non je ne suis pas un
politique
qui commence par cette phrase pour répondre "à côté"!).
Sur un système "normal" (sans acl par exemple) ton users.group définit
uniquement pour l'occasion profite des droits "other" pour tous les
fichiers.
Oui mais il ne peut pas faire grand chose de ca. De plus il est lancé
sous le non de l'utilisateur et non par root, je sais pas si c'est une
sécurité en plus?
Non quand même pas! Même pour /etc/httpd/http.conf et autres, cet
utilisateur ne peur que lire.
Maintenant si tu es à jour des versions OS et softs et que tu ne t'es
pas
planté dans ta config tu doit être raisonnablement tranquille.
C'est plutot à jour, derniere Slackwar 9.1
Note que le chroot est un plus, mais il ne prend toute sa valeur que si
tu
en connait les limites. Tu as eu un MISC il y a quelques temps là
dessus.
J'ai trouvé une doc, je vais lire :)
http://penguin.epfl.ch/chroot.html
Je veux juste mettre en exergue que ton utilisateur est, de fait, via ses
script, local, et qu'on trouve encore pas mal de systèmes avec des droits
Je veux juste mettre en exergue que ton utilisateur est, de fait, via ses
script, local, et qu'on trouve encore pas mal de systèmes avec des droits
Je veux juste mettre en exergue que ton utilisateur est, de fait, via ses
script, local, et qu'on trouve encore pas mal de systèmes avec des droits
Je ne voudrais pas paraître pessimiste, mais :
Si c'est un Windows, il est d'ores et déja troué jusqu'à l'os.
Si c'est un Linux Redhat ou Mandrake, c'est très probable.
Si c'est un BSD, ça se peut aussi, mais moins probable.
Comme dit par un autre contributeur, la sécurité informatique, c'est un
métier.
Vu la teneur de ton message, ca n'est de toute evidence pas le tien.
Je ne voudrais pas paraître pessimiste, mais :
Si c'est un Windows, il est d'ores et déja troué jusqu'à l'os.
Si c'est un Linux Redhat ou Mandrake, c'est très probable.
Si c'est un BSD, ça se peut aussi, mais moins probable.
Comme dit par un autre contributeur, la sécurité informatique, c'est un
métier.
Vu la teneur de ton message, ca n'est de toute evidence pas le tien.
Je ne voudrais pas paraître pessimiste, mais :
Si c'est un Windows, il est d'ores et déja troué jusqu'à l'os.
Si c'est un Linux Redhat ou Mandrake, c'est très probable.
Si c'est un BSD, ça se peut aussi, mais moins probable.
Comme dit par un autre contributeur, la sécurité informatique, c'est un
métier.
Vu la teneur de ton message, ca n'est de toute evidence pas le tien.
C'est pas la peine de poster ici si c'est pour répeter ce que tu as
entendu de la bouche d'un parfait inconnu, sans verifier la réracité
de ses dires...
C'est une expérience personnelle.
Autre question ?
Non, mais des éléments de réponse :
C'est pas la peine de poster ici si c'est pour répeter ce que tu as
entendu de la bouche d'un parfait inconnu, sans verifier la réracité
de ses dires...
C'est une expérience personnelle.
Autre question ?
Non, mais des éléments de réponse :
C'est pas la peine de poster ici si c'est pour répeter ce que tu as
entendu de la bouche d'un parfait inconnu, sans verifier la réracité
de ses dires...
C'est une expérience personnelle.
Autre question ?
Non, mais des éléments de réponse :
"Eric" == Eric Belhomme writes:
"Eric" == Eric Belhomme <eric.belhomme_NOSPAM_@free.fr.invalid> writes:
"Eric" == Eric Belhomme writes:
Merci de vos conseils en tout genre (liens vers des outils, des
articles, des ouvrages... Bref, tout ce qui peut m'aider !)
Merci de vos conseils en tout genre (liens vers des outils, des
articles, des ouvrages... Bref, tout ce qui peut m'aider !)
Merci de vos conseils en tout genre (liens vers des outils, des
articles, des ouvrages... Bref, tout ce qui peut m'aider !)