[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Policy pour les cgi-bin?



(mes excuses, Peter, tu recevras ce mail en double : je voulais mettre la
réponse dans la liste et me suis planté)

Quoting Peter S Galbraith (GalbraithP@dfo-mpo.gc.ca):

> > > GWTP_ETC=/etc/geneweb/gwtp
> > > GENEWEB_DBS=/var/lib/geneweb
> > > LOGDIR=/var/log
> > > TMPDIR=/var/run/gwtp
> > > SITE=http://`hostname -f`:2317/
> > > /usr/lib/geneweb/gwtp \
> > >    -etc $GWTP_ETC \
> > >    -dst $GENEWEB_DBS \
> > >    -log /var/log \
> > >    -tmp /var/run/gwtp \
> > >    -site $SITE
> > 
> > Bon, ça ne fait hurler personne? Je suis étonné..Ou alors vous êtes muets
> > de surprise devant ma stupidité..:)
> 
> Simple question... Pourquoi pas $SERVER_NAME au lieu de `hostname -f` ?

Tu veux dire établir la variable SERVER_NAME d'abord et s'en servir
ensuite? Ou bien autre chose que je n'ai pas compris?

C'est pas terrible comme je fais, mais le problème est que ce programme a
besoin de savoir où tourne le démon Geneweb. Comme en toute logique, c'est
sur la machine où est installé gwtp, je n'ai trouvé que `hostname -f`

J'ai un peu peur, d'ailleurs, qu'un possible trou de sécurité soit possible
par ce biais. Je devrais peut-être coder en dur le chemin de hostname.

Faut aussi que je voie les fichiers temporaires créés par gwtp. Il y a
notamment un fichier appelé "token" dans /var/run/gwtp :


root@kernighan:/var/backups# ls -l /var/run/gwtp
total 1
-rw-rw-rw-    1 www-data geneweb        42 sep 12 09:34 token

A tous les coups, c'est une porte ouverte à une attaque de type "lien
symbolique", j'en ai peur.

Les permissions de /var/run/gwtp :
drwxrwx---    2 root     geneweb      1024 sep  5 09:26 gwtp

Dans le groupe geneweb, on met les utilisateurs autorisés à placer des
bases sur le serveur.

-- 
Christian Perrier
ONERA/Département Réseau et Informatique Scientifique
+33 (0) 1 4673 4438 - +33 (0) 6 1016 9480
PGP/GnuPG Key ID 30C9348A (DSS)



Reply to: