On jeudi 2 mai 2024 18 h 11 min 34 s CEST, Ludovic Levet via FRsAG wrote:
J'ai jamais dit que cela est parfait, mais je laisse pas un
démon dès plus sensible ouvert à tout-va ...
sudo me semble pire ...
Après t'as plein d'autres solutions , comme passer par un VPN
temporairement pour accéder a ton serveur et mettre ta règle
iptable, ou via un shellinabox, ou un gacamole, ou un
wireguard, ou tout combiner ensemble ou...
Bref plein de choses possibles mais pas de sshd direct sur le net.
La sécurité d'un ensemble n'est pas pas la somme, mais le minimum de la
sécurité de chaque pièce.
C'est certainement possible de faire quelque chose pour ajouter de la
sécurité sans ouvrir de failles béantes, mais ce n'est pas le cas ici :
script php troué, serveur troué ...
Vincent.
Le 02/05/2024 à 17:47, Vincent Tondellier via FRsAG a écrit :
Hello,
mod_security ou pas, il n'empêche que ce bout de code est un
bon exemple de ce qu'il ne faut surtout pas faire.
Aucune validation des entrées, exécution de commandes a
travers un shell et pas de quote des entrées, sudo depuis
l'utilisateur www-data ...
https://xkcd.com/327/ version shell
Et la surface d'exposition devient apache + php + sh + sudo +
ipset + ssh au lieu d'un ssh bien audité, très peu pour moi.
...
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/
