Ben il suffit de prendre un peu de temps ...
Voila sans sudo :
Ton démon :
cat watch-iptrusted.sh
#!/bin/bash
watchdir=/var/www/monsite/data/
basedir=/var/www/monsite
while : ; do
inotifywait $watchdir|while read path action file; do
if [ ! -z "$file" ]; then
echo
Coucou,
Le Fri, 15 Mar 2024 12:07:40 +0100,
François Poulain a écrit :
> Bref ; on ne m'y reprendra pas.
Last but not least, décidé à changer de registrar (pour Gandi ... /o\),
j'ai eu le droit à 7 jours de délais d'acceptation du transfert.
François
--
François Poulain
On jeudi 2 mai 2024 18 h 11 min 34 s CEST, Ludovic Levet via FRsAG wrote:
J'ai jamais dit que cela est parfait, mais je laisse pas un
démon dès plus sensible ouvert à tout-va ...
sudo me semble pire ...
Après t'as plein d'autres solutions , comme passer par un VPN
temporairement pour accéder
J'ai jamais dit que cela est parfait, mais je laisse pas un démon dès
plus sensible ouvert à tout-va ...
Après ta plein d'autres solutions , comme passer par un VPN
temporairement pour accéder a ton serveur et mettre ta règle iptable, ou
via un shellinabox, ou un gacamole, ou un wireguard,
Non, pas de problème. J'utilise aussi 2FA sur ssh. C'est une sécurité
supplémentaire.
Le 02/05/2024 à 17:43, David Ponzone a écrit :
Totalement.
Par contre (j’insiste), je ne vois jamais aucune discussion sur l’usage du
plugin 2FA Google avec openssh.
Y a des raisons de l’éviter ?
David
Hello,
mod_security ou pas, il n'empêche que ce bout de code est un bon exemple de
ce qu'il ne faut surtout pas faire.
Aucune validation des entrées, exécution de commandes a travers un shell et
pas de quote des entrées, sudo depuis l'utilisateur www-data ...
https://xkcd.com/327/ version
Bonjour, c'est frsag.org !
You are receiving this e-mail because you or someone else has requested a
password for your user account. However, we do not have any record of a user
with email frsag@frsag.org in our database.
This mail can be safely ignored if you did not request a password reset.
Totalement.
Par contre (j’insiste), je ne vois jamais aucune discussion sur l’usage du
plugin 2FA Google avec openssh.
Y a des raisons de l’éviter ?
David
> Le 2 mai 2024 à 17:37, Ludovic Levet via FRsAG a écrit :
>
> C'est pas faux. C'est jamais une bonne idée de donner des commandes
>
C'est pas faux. C'est jamais une bonne idée de donner des commandes
accessible par apache.
Bon après, il y a la sécurité filesystem qui fera que ce user (apache)
ai le même pourvoir qu'un user lamda sur ton linux et de plus les
commandes ne peuvent être utilisées que par le core apache car le
> Le 2 mai 2024 à 17:16, Ludovic Levet via FRsAG a écrit :
>
>
> Le minimum que l'on fait pour un serveur web frontal de ce type est de mettre
> en place le mod_security d'apache avec les customs rules qui vont bien ...
>
> Et d'y ajouter le bon core rule set :
>
Sans troller...
Le minimum n'est-il pas de ne plus utiliser Apache (perfs totalement
nazes + sécu non centralisée) ?
--
Stéphane Rivière
Ile d'Oléron - France
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/
Le minimum que l'on fait pour un serveur web frontal de ce type est de
mettre en place le mod_security d'apache avec les customs rules qui vont
bien ...
Et d'y ajouter le bon core rule set :
https://github.com/coreruleset/coreruleset
J'ai quand même fait l'essai sans le mod_security et ta
Le 02/05/2024 à 09:16, Luc Bégault via FRsAG a écrit :
il me parrait préférable de se reposer sur du code trés surveillé comme ssh
A propos, est-ce que la faille concernant lzma a été corrigée ?
Y a-t-il une meilleure source d'infirmation que
Bonjour à tous,
dans tous les cas, il est nécessaire d'avoir un composant logiciel
exposé au public, il me parrait préférable de se reposer sur du code
trés surveillé comme ssh et sa partie authentification que sur un bout
de php écrit en interne.
Sans présumer de la qualité des personnes
Bien vu :)
D’une manière générale, je me demandais s’il y avait quelque chose de rationnel
qui permettait d’estimer qu’un serveur HTTP avait moins de chance de comporter
de trou de sécurité que openssh, et que donc il était plus sûr de se reposer
sur Apache/Neginx plutôt que sur openssh avec
15 matches
Mail list logo
