[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] Bonjour a tous


From Sebastien Tanguy <seb at death-gate dot fr dot eu dot org>
Subject Re: [gulliver] Bonjour a tous
Date Sat, 31 May 2003 12:35:26 +0200

Christophe Guilloux <cg-ml at rootix dot info> writes:

> comme apache est souvent buggé avec des failles de sécurité mais souvent
> en ne chargeant pas le module qui pose problème c bon.
> L'idéal est de la faire tourner en mode chrooté ansi, il fonctionne dans
> une arborescence disque virtuelle et n'a pas accès au reste du système
> donc même s'il est attaqué, il ne peut rien faire.

Si c'est pour faire des pages statiques, dans ce cas, oui, c'est assez
simple de chrooter Apache ou  de supprimer les modules. Voire, on peut
même se  passer de Apache et  utiliser un serveur plus  adapté et plus
léger.  

Par contre, s'il s'agit de faire des pages dynamiques (PHP, Perl, JSP,
CGI...), vu le nombre  d'éléments externes dépendants (typiquement, je
suppose que pour  utiliser mod_perl dans un chroot,  il faut dupliquer
l'arborescence Perl) cela risque de  devenir assez vite un cauchemar à
maintenir.


> Et pour 53, le DNS, aussi, il est souvent buggé avec des trous
> de sécurité et il faut absolument le faire tourner en mode chrooté.

Je suppose que par là tu parles en particulier de Bind et pas d'autres
implémentations de  serveurs DNS (ce  serait rigolo qu'un  serveur DJB
soit montré du  doigt comme étant buggé). L'avantage  avec Bind, c'est
qu'il   peut  gérer   lui-même  le   fait  de   se   chrooter  (hormis
l'environnement tel que).

> Mais bon, sous openbsd, c ce qui est fait par défaut. Avec linux, c un
> peu le bordel donc on bouche les trous quand on les voie.

Ils chrootent le Apache par défaut,  sous OpenBSD ?  Et puis, c'est un
peu dommage  aussi qu'ils tournent  avec une version aussi  antique de
Bind,   vu  que   celle-ci  ne   supporte  pas   certaines  propriétés
intéressantes (un  fichier de config lisible, ACL,  les zones signées,
dynamiques, etc...).

Sans compter  que ce sont les  mêmes gens, chez OpenBSD,  qui nous ont
fait passer  un été  formidable l'an dernier  avec OpenSSH.  Qui sait,
sans eux, Matrix2  n'aurait pas été le même  (je plaisante, c'était du
v1, pas du v2).

Oh, et puis,  vouloir à tout prix utiliser du  chroot en justifiant la
sécurité, c'est quand même un peu se mettre des oeillères.  Même si ça
permets de limiter  les dégâts dans un premier temps,  il faut être un
peu naïf pour croire qu'on ne peut pas du tout sortir d'un chroot.


seb.
-- 
``Only wimps use tape backup: _real_ men just upload their important 
  stuff on ftp, and let the rest of the world mirror it ;)''
                                                   --- Linus Torvalds 

---- Liste gulliver ----
Se désinscrire, mailto:gulliver-unsubscribe at listes dot gulliver dot eu dot org
GULLIVER,       http://gulliver.eu.org/