[Résolu] Problème de sécurité- Script Nicobubulle + Cakebox

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Résolu] Problème de sécurité- Script Nicobubulle + Cakebox

NeoLiquid

Bonjour,

je me suis poser un question cet aprem sur cette commande qui est dans le tuto suivant
http://v2.mondedie.fr/knowledgebase/installer-cakebox-pour-streamer-ses-videos/

ln -s /home/<user>/torrents /var/www/users/<user>

Grâce a cet commande on peut accéder au home de l'user depuis le web.

imaginons que ce script et installer sur un dédie avec plusieurs utilisateur (pas forcement des amis)
Un utilisateur mal honnête upload un shell php (qui permet d’accéder au ftp depuis le web sans login et mdp), Grâce a se jolie shell uploader sur le dédie l'utilisateur mal honnête aura access au /home de tous les autre utilisateur (est sans avoir le login et mdp de tous les user!) .

Se shell ne permet pas seulement de voir le ftp mais aussi de modifier les fichier, supprimer ...

Pour optimiser la sécurité je pense qu'il vaudrai mieux faire un genre de chroot web (je sais pas si sa existe ^^') pour chrooter tous les user dans sont /home/

Magicalex

Ok mais y a un petit problème dans ce que tu dis. Ce fameux shell utilisera le user www-data qui n'a pas les droits root. Dans le meilleur des cas, il pourra seulement lister les fichiers systèmes et encore ça dépend du chmod de certain fichier.

C'est pour ça qu'il ne faut JAMAIS faire tourner son serveur en root.

Si tu as peur tu peux éventuellement désactiver php pour ce dossier, je sais pas si c'est facile à faire.

NeoLiquid

Si il utilise www-data alors pourquoi je peut accéder au dossier /ETC/ grace au shell ? ^^' sans login et mdp. (idem avec tous les dossier)

oui je pense que se serait pas mal de désactiver le php dans le home

j'ai trouver pour apache mais pas pour lighttpd
http://www.system-linux.eu/index.php?post/2009/05/05/Apache%3A-D%C3%A9activer-l-execution-des-scripts-PHP-dans-un-r%C3%A9pertoire.

Magicalex

Oui c'est normal que tu puisses accèder à /etc/

il pourra seulement lister les fichiers systèmes et encore ça dépend du chmod de certain fichier

En faisant un virtual host je pense que l'on peut bidouiller. Mais c'est vrai que lighttpd au niveau du développement il semble à l'abandon, il plein de chose qui n'a pas d'équivalent ça saoul. Moi quand j'ai le temps je vais passer à nginx, je ferais peut-être un tuto qui colle au tuto de nico.

NeoLiquid

Ok bah je vais attendre ton tuto alors