François Boisson wrote on Sat, Oct 19, 2013 at 12:03:55AM +0200 > Le Fri, 18 Oct 2013 17:08:10 +0200 > Dominique Asselineau <assel...@telecom-paristech.fr> a écrit: > > > Sauf si on ne peut pas faire autrement, l'accès à la base MySQL par un > > CGI devrait s'en tenir à des privilèges des plus limités. Ne pas > > autoriser de drop par ex. > > Le script était un script de chgmt de mot de passe. Dur de ne pas lui donner > des droits d'écriture.
Les bases de données permettent de préciser quels types d'opérations on peut faire. S'il s'agit d'une procédure de changement de mot de passe, a priori seul le update est nécessaire ? En tout cas, si l'accès réservé à un service ouvert sur l'extérieur n'a pas besoin des drop, create et insert, autant les lui interdire. Sinon un bourrage de base de données resterait potentiellement possible. > > Pour les protections, fail2ban n'est pas assez fin vu le trafic. mod-evasive > remplit très ce rôle en renvoyant une erreur 403 si on s'acharne sur la page. Oui mais face à des requêtes douteuses, il vaut toujours mieux s'en apercevoir le plus tôt possible et de ne pas y répondre. Je crois qu'on a donné des règles iptables pour ce genre de cas ? > On peut mettre une liste blanche permettant par exemple le recensement google > qui sinon serait perturbé. > > Pas d'idées à propos de ces lignes > > 125.88.123.244 - - [15/Oct/2013:03:59:57 +0200] "X-iqstuvt: 1" 400 306 "-" "-" > > que je n'arrive pas à comprendre? Ni pour un logiciel d'analyse de fichiers > access.log pour activités curieuses? On trouve ça décidément nulle part. D'ailleurs en repensant à la liste que tu as donnée précédemment, ça semblait bien aléatoire... Peut-être un truc pour essayer de mettre en échec un service ? dom -- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20131019153209.ga30...@telecom-paristech.fr
