Bonsoir,
Bressy Frédéric wrote:
> oui
>
> voilà un extrait
>
> Jan 6 19:01:02 Archange msec: User apache in shadow but not in passwd file
>
> Jan 6 19:01:04 Archange msec: changed mode of /home/web from 770 to 710
> Jan 6 19:01:04 Archange msec: changed mode of /home/rescue from 770 to 710
>
> voilà lres deux dossiers qui changent de droit web et rescue
C'est effectivement indiqué dans les "/usr/share/msec/perm.*" :
<commande>
[olivier@phoenix /]$ grep -i home /usr/share/msec/perm.*
/usr/share/msec/perm.0:/home/ root.root 755
/usr/share/msec/perm.0:/home/* current 755
/usr/share/msec/perm.1:/home/ root.root 755
/usr/share/msec/perm.1:/home/* current 755
/usr/share/msec/perm.2:/home/ root.root 755
/usr/share/msec/perm.2:/home/* current 755
/usr/share/msec/perm.3:/home/ root.root 755
/usr/share/msec/perm.3:/home/* current 711
/usr/share/msec/perm.4:/home/ root.adm 751
/usr/share/msec/perm.4:/home/* current 700
/usr/share/msec/perm.5:/home/ root.root 711
/usr/share/msec/perm.5:/home/* current 700
</commande>
> et il y a un truc bizarre pour apache
Tu dois avoir un mot de passe déclaré dans le /etc/password, alors
qu'il n'y en a pas dans le /etc/shadow :
<commande>
[root@phoenix /]# grep apache /etc/passwd /etc/shadow
/etc/passwd:apache:x:72:72:system user for apache-conf:/var/www:/bin/sh
/etc/shadow:apache:!!:12138:0:99999:7:::
</commande>
Le "x" dans le /etc/password indique que le mot de passe à utiliser se
trouve dans le /etc/shadow (c'est la politique de sécurité standard sous
Mandrake).
Le "!!" dans le /etc/shadow indique qu'aucun mot de passe est valide
pour l'utilisateur "apache. Là encore, c'est pour restreindre les accès
au maximum.
>> Quelle est ta distribution ?
>>
>
>
> c'est la mandrake 9.1
> ton avis donc me serait précieux
4 solutions :
- Tu supprimes les règles de surveillance du "/home/*" dans les
"/usr/share/msec/perm.*" . Honnêtement, je NE te le conseille PAS, car
les autres répertoires du "/home" ne seront plus sécurisés.
- Tu rajoutes tes propres règles aux "/usr/share/msec/perm.*". Pour
cela, il doit falloir remplacer les règles avec des "/home/*" par une
règle pour chacun de tes répertoires du /home... Et penser à rajouter
des règles à chaque nouvelle création de compte sur cette machine...
- Tu changes le user/groupe des /home/web et /home/rescue. Un root:root
est ce qui est attendu par les règles de msec ("/home/*").
- Tu places ces répertoires ailleurs ("/[ailleurs]/" par exemple), et si
nécessaire tu crées des liens symboliques ou physiques "/home/web ->
/[ailleurs]/web" et "/home/rescue -> /[ailleurs]/rescue". Par contre, en
terme de sécurité, ce n'est pas évident que cela soit très bon...
> merci d'avance
De rien,
Olivier
--
~~~~~~~ _____/\_____ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix / _ \/ _ \ Olivier Allard-Jacquin
/ / \ / \ \ Web: http://olivieraj.free.fr
/___/ / \ \___\ Mail: olivieraj@???
~~~~ ///// ///\\\ \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!
