C'est pas faux. C'est jamais une bonne idée de donner des commandes
accessible par apache.
Bon après, il y a la sécurité filesystem qui fera que ce user (apache)
ai le même pourvoir qu'un user lamda sur ton linux et de plus les
commandes ne peuvent être utilisées que par le core apache car le
mod_security ne permet pas d'utilisé quoique ce soit.
Elle en aura fait du chemin cette petite chauves-souris. Et surtout sans
déclencher le fail2ban (avec alertes qui vont biens) sur une url qui
n'est censée être connu que par des admins.
Bref. Rien n'est malheureusement infaillible.
Le 01/05/2024 à 22:25, Paul Rolland (ポール・ロラン) a écrit :
Bonjour,
On Wed, 1 May 2024 21:33:42 +0200
Ludovic LEVET via FRsAG <frsag@frsag.org> wrote:
3) Bon ... (Mode Bigard On ..) En admettant que la chauves-souris elle
trouve le code de la porte , elle connaisse l’étage de ton appart et
qu'elle connaisse aussi ton numéro de porte ben elle ouvres son ip au
ssh et ben il lui reste plus qu'a attaquer l'auth ssh ...
Elle aura surement plus envie de regarder ce que le sudo sur echo et sed
peut lui permettre via apache et la page web ;)
Paul
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/
