Re: Portabilité - Sécuriser un fichier de configuration pour un script

[Daniel Caillibaud <ml@lairdutemps.org>]

Le 26/03/18 à 03:10, G2PC <g2pc@visionduweb.com> a écrit :
G> L'utilisateur qui reçoit le " programme " devrait pouvoir l'utiliser
G> directement, et, sans avoir à paramétrer le chemin du fichier de
G> configuration pour son propre utilisateur.

Le mieux est probablement de lui demander de mettre son login / pass dans
son ~/.my.cnf en lui fournissant un fichier d'exemple.

G> Je souhaite permettre à l'utilisateur de faire des ajouts dans la base
G> de données, mais, sans qu'il ne puisse avoir accès aux informations de
G> connexion.

Ce n'est pas possible, s'il n'a pas les infos de connexion il ne peut pas
se connecter à la base.

Un contournement bien crade consisterait à utiliser un fichier suid root
exécutable mais pas lisible, je détaillerais pas car c'est à proscrire.

La bonne solution est de créer un user/pass par personne qui doit écrire
dans la base avec le strict minimum de droits (tu peux par ex ne donner
que des droits d'insert sur une table sans droits de lecture ni update).

Si c'est trop compliqué ou pas gérable, je ne vois que le fait d'envoyer
les infos à ajouter sur le serveur (via rsync+ssh ou une api http
authentifiée ou n'importe quel autre moyen) et un script sur le serveur qui
lit ces infos, vérifie qu'elles peuvent être ajoutées et le fait si c'est le
cas. Ce script devra évidemment avoir accès à des infos de connexion, à
priori un user/pass dédié à cette tâche.

-- 
Daniel

Le peuple français est incapable d'un régicide.
Louis XVI (1789)