[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Policy pour les cgi-bin?



Quoting Raphael Hertzog (hertzog@debian.org):


> > Est-ce Mal?
> 
> Non, c'est ainsi qu'il faut faire, cf Debian Policy section 12.5.

Bien. Merci à Christian et toi. Je me demande s'il vaut mieux faire un
sous-répertoire de cgi-bin ou pas. La policy semble indiquer le contraire
mais n'interdit pas non plus de le faire..:-)

> Toutefois ce n'est pas une bonne idée si la config par défaut du CGI
> donne des droits trop important au commun des utilisateurs ... selon

La sécurité, c'est ma deuxième préoccupation.

Pour l'instant, le CGI en question est ceci :

#!/bin/sh
#
# Written for Debian package by Christian Perrier <bubulle@debian.org>
#   based on exampl given in gwtp's README file

GWTP_ETC=/etc/geneweb/gwtp
GENEWEB_DBS=/var/lib/geneweb
LOGDIR=/var/log
TMPDIR=/var/run/gwtp
SITE=http://`hostname -f`:2317/
/usr/lib/geneweb/gwtp \
   -etc $GWTP_ETC \
   -dst $GENEWEB_DBS \
   -log /var/log \
   -tmp /var/run/gwtp \
   -site $SITE

En gros, c'est un wrapper pour appeler le "vrai" CGI avec les bons
arguments. Je suis incompétent sur de tels "problèmes" de sécurité et n'ai
vraiment aucune idée des trous que je pourrais introduire avec ce minuscule
shell-script. A la limite, les variables qu'il y a dedans servent juste à
faire propre.

(tiens j'ai fait une fôte dans le commentaire, au fait)

> le CGI en question, on pourra le désactiver par défaut, ou simplement
> prévenir l'administrateur de l'existence de ce CGI et l'inviter à
> restreindre les droits s'il pense que c'est utile ou alors carrément

C'est ce que je songe à faire via debconf.

> limiter l'accès à localhost par défaut ... c'est toi qui voit en
> fonction de ce que tu sais du CGI.

Ce que j'en sais....A part que c'est le même auteur que Geneweb, que c'est
écrit en OCAML dont je n'ai pas une connaissance intime, c'est un peu
juste...:-)


-- 
Christian Perrier
ONERA/Département Réseau et Informatique Scientifique
+33 (0) 1 4673 4438 - +33 (0) 6 1016 9480
PGP/GnuPG Key ID 30C9348A (DSS)



Reply to: