Re: Policy pour les cgi-bin?
(mes excuses, Peter, tu recevras ce mail en double : je voulais mettre la
réponse dans la liste et me suis planté)
Quoting Peter S Galbraith (GalbraithP@dfo-mpo.gc.ca):
> > > GWTP_ETC=/etc/geneweb/gwtp
> > > GENEWEB_DBS=/var/lib/geneweb
> > > LOGDIR=/var/log
> > > TMPDIR=/var/run/gwtp
> > > SITE=http://`hostname -f`:2317/
> > > /usr/lib/geneweb/gwtp \
> > > -etc $GWTP_ETC \
> > > -dst $GENEWEB_DBS \
> > > -log /var/log \
> > > -tmp /var/run/gwtp \
> > > -site $SITE
> >
> > Bon, ça ne fait hurler personne? Je suis étonné..Ou alors vous êtes muets
> > de surprise devant ma stupidité..:)
>
> Simple question... Pourquoi pas $SERVER_NAME au lieu de `hostname -f` ?
Tu veux dire établir la variable SERVER_NAME d'abord et s'en servir
ensuite? Ou bien autre chose que je n'ai pas compris?
C'est pas terrible comme je fais, mais le problème est que ce programme a
besoin de savoir où tourne le démon Geneweb. Comme en toute logique, c'est
sur la machine où est installé gwtp, je n'ai trouvé que `hostname -f`
J'ai un peu peur, d'ailleurs, qu'un possible trou de sécurité soit possible
par ce biais. Je devrais peut-être coder en dur le chemin de hostname.
Faut aussi que je voie les fichiers temporaires créés par gwtp. Il y a
notamment un fichier appelé "token" dans /var/run/gwtp :
root@kernighan:/var/backups# ls -l /var/run/gwtp
total 1
-rw-rw-rw- 1 www-data geneweb 42 sep 12 09:34 token
A tous les coups, c'est une porte ouverte à une attaque de type "lien
symbolique", j'en ai peur.
Les permissions de /var/run/gwtp :
drwxrwx--- 2 root geneweb 1024 sep 5 09:26 gwtp
Dans le groupe geneweb, on met les utilisateurs autorisés à placer des
bases sur le serveur.
--
Christian Perrier
ONERA/Département Réseau et Informatique Scientifique
+33 (0) 1 4673 4438 - +33 (0) 6 1016 9480
PGP/GnuPG Key ID 30C9348A (DSS)
Reply to: