Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?

To: debian-user-french@lists.debian.org
Subject: Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?
From: G2PC <g2pc@visionduweb.com>
Date: Fri, 8 May 2020 18:06:36 +0200
Message-id: <[🔎] 7e5a53e6-1c78-547b-7998-387691f872f3@visionduweb.com>
In-reply-to: <[🔎] 20200508072733.GA1926457@fusion>
References: <[🔎] 774bc10f-fd59-de9f-59d2-1fcf212bf4c0@visionduweb.com> <[🔎] 7D4FD35A-360B-4819-925E-76DD28ACBA4C@teledetection.fr> <[🔎] 2ea2fc3b-f5ab-fe5b-6593-1911a0e21f1f@visionduweb.com> <[🔎] 20200508072733.GA1926457@fusion>

Peut-être que ce serait bien de remplacer la commande:

sudo mv hosts.deny hosts.deny.bak

       ^^
par:

	$ sudo cp hosts.deny hosts.deny.bak
	       ^^
Sinon le fichier /etc/hosts.deny n'existe plus sur la machine
pendant le temps du téléchargement, ce qui pourrait laisser les
portes ouvertes aux vils pirates de tout poils pendant cet
interval de temps, fut-il juste de quelque millisecondes.

Très juste ! Je l'avais fais pour le hosts et effectivement pour le hosts.deny utiliser mv c'est moins bien.
Voilà qui est corrigé. Merci.

sudo wget https://hosts.ubuntu101.co.za/superhosts.deny

Éventuellement, si vous ne faites pas confiance à wget, parce
que cette commande intéragit avec l'extérieur, il est possible
de récupérer le fichier en tant qu'un utilisateur normal,
éventuellement créé spécifiquement pour cette tâche ; ça fait
partie d'un éventuelle stratégie qui consisterait à « affiner
les droits »  :)

	$ wget https://hosts.ubuntu101.co.za/superhosts.deny -P /tmp

Du coup la commande suivante

sudo mv superhosts.deny hosts.deny

deviendrait :

	$ sudo mv /tmp/superhosts.deny hosts.deny

J'entends la proposition d'utiliser un utilisateur normal pour récupérer le fichier.
mais ensuite, on utilise sudo ( manuellement ) pour déplacer le fichier du /tmp vers /etc

De plus si on utilise ce script via crontab de root, le sudo ne sera pas utilisé, et, éventuellement, on récupèrera le fichier directement via le script lancé depuis la crontab de root, donc, en root.

J'entends que au niveau de la politique des droits, on gagne une commande en tant que utilisateur normal, au lieu de root, ce qui à ce niveau semble mieux géré,
Par contre, je ne vois pas forcément ce qu'on gagne au niveau de la sécurité, au niveau d'un risque éventuel, puisque au final, le fichier sera chargé dans /etc/hosts.deny

Tout cela suppose que vous faites confiance au service délivré
par hosts.ubuntu101.co.za pour ne pas mettre n'importe quoi dans
votre /etc/hosts.deny, cat ils seraient en position de rendre
votre machine inaccessible en mettant l'Internet complet dans ce
fichier.

C'est certain et effectivement, il me faut ici faire confiance au contenu, ce qui peut être affiné, je suppose avec des contrôles de certificats, ou, une politique de controle de md5sum, ou les deux, et, peut être encore d'autres choses.

Amicalement,

Merci

Reply to:

Follow-Ups:
- Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?
  - From: Étienne Mollier <etienne.mollier@mailoo.org>

References:
- Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?
  - From: G2PC <g2pc@visionduweb.com>
- Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?
  - From: Pierre Malard <plm@teledetection.fr>
- Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?
  - From: G2PC <g2pc@visionduweb.com>
- Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?
  - From: Étienne Mollier <etienne.mollier@mailoo.org>

Prev by Date: Re: systemd
Next by Date: Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?
Previous by thread: Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?
Next by thread: Re: Comment mettre à jour un fichier appartenant à l'utilisateur root avec cron ?
Index(es):
- Date
- Thread