Re: suite de : noel, annee nouvelle et requestions

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
CC: guilde
Subject: Re: suite de : noel, annee nouvelle et requestions
    Bonsoir,

Bressy Frédéric wrote:
> oui
>
> voilà un extrait
>
> Jan 6 19:01:02 Archange msec: User apache in shadow but not in passwd file
>
> Jan 6 19:01:04 Archange msec: changed mode of /home/web from 770 to 710
> Jan 6 19:01:04 Archange msec: changed mode of /home/rescue from 770 to 710
>
> voilà lres deux dossiers qui changent de droit web et rescue


    C'est effectivement indiqué dans les "/usr/share/msec/perm.*" :
<commande>
[olivier@phoenix /]$ grep -i home /usr/share/msec/perm.*
/usr/share/msec/perm.0:/home/     root.root               755
/usr/share/msec/perm.0:/home/*    current                 755
/usr/share/msec/perm.1:/home/     root.root               755
/usr/share/msec/perm.1:/home/*    current                 755
/usr/share/msec/perm.2:/home/     root.root               755
/usr/share/msec/perm.2:/home/*    current                 755
/usr/share/msec/perm.3:/home/     root.root               755
/usr/share/msec/perm.3:/home/*    current                 711
/usr/share/msec/perm.4:/home/     root.adm                751
/usr/share/msec/perm.4:/home/*    current                 700
/usr/share/msec/perm.5:/home/     root.root               711
/usr/share/msec/perm.5:/home/*    current                 700
</commande>


> et il y a un truc bizarre pour apache


    Tu dois avoir un mot de passe déclaré dans le /etc/password, alors 
qu'il n'y en a pas dans le /etc/shadow :


<commande>
[root@phoenix /]# grep apache /etc/passwd /etc/shadow
/etc/passwd:apache:x:72:72:system user for apache-conf:/var/www:/bin/sh
/etc/shadow:apache:!!:12138:0:99999:7:::
</commande>

Le "x" dans le /etc/password indique que le mot de passe à utiliser se
trouve dans le /etc/shadow (c'est la politique de sécurité standard sous
Mandrake).
Le "!!" dans le /etc/shadow indique qu'aucun mot de passe est valide
pour l'utilisateur "apache. Là encore, c'est pour restreindre les accès
au maximum.

>>    Quelle est ta distribution ?

>>
>
>
> c'est la mandrake 9.1


> ton avis donc me serait précieux


    4 solutions :


- Tu supprimes les règles de surveillance du "/home/*" dans les
"/usr/share/msec/perm.*" . Honnêtement, je NE te le conseille PAS, car
les autres répertoires du "/home" ne seront plus sécurisés.

- Tu rajoutes tes propres règles aux "/usr/share/msec/perm.*". Pour
cela, il doit falloir remplacer les règles avec des "/home/*" par une
règle pour chacun de tes répertoires du /home... Et penser à rajouter
des règles à chaque nouvelle création de compte sur cette machine...

- Tu changes le user/groupe des /home/web et /home/rescue. Un root:root
est ce qui est attendu par les règles de msec ("/home/*").

- Tu places ces répertoires ailleurs ("/[ailleurs]/" par exemple), et si
nécessaire tu crées des liens symboliques ou physiques "/home/web ->
/[ailleurs]/web" et "/home/rescue -> /[ailleurs]/rescue". Par contre, en
terme de sécurité, ce n'est pas évident que cela soit très bon...

> merci d'avance


    De rien,


                        Olivier


-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!