IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

[Sécurité] Script PHP qui utilise la fonction ADDUSER sous Debian !


Sujet :

Langage PHP

  1. #1
    Futur Membre du Club
    Inscrit en
    Décembre 2005
    Messages
    8
    Détails du profil
    Informations forums :
    Inscription : Décembre 2005
    Messages : 8
    Points : 6
    Points
    6
    Par défaut [Sécurité] Script PHP qui utilise la fonction ADDUSER sous Debian !
    Bonjour a tous,

    Je dois faire une interface web, similaire a Webin, c'est à dire donner la possibilité à une personne novice sous Debian de créer des utilisateurs, de configuruer SAMBA, le serveur DHCP et DNS, etc.

    Pour bien commencer, je vais prendre comme début : Ajout / Suppression d'utilisateurs.

    Je pensais faire quelque chose en PHP : formulaire avec les champs à remplir (nom, prénom, login, mot de passe, etc) puis en validant, le script créé la commande avec quelque chose comme exec(adduser).

    Qu'en pensez-vous ?

    Merci

  2. #2
    Membre éclairé
    Avatar de Kioob
    Profil pro
    Inscrit en
    Septembre 2004
    Messages
    550
    Détails du profil
    Informations personnelles :
    Âge : 44
    Localisation : France, Rhône (Rhône Alpes)

    Informations forums :
    Inscription : Septembre 2004
    Messages : 550
    Points : 764
    Points
    764
    Par défaut
    Hello,

    cela pose de gros problèmes de sécurité : pour pouvoir ajouter des utilisateurs, configurer samba, bind, etc il faut avoir les droits root.

    Donc en gros :
    1) PHP ne doit pas etre en SAFE_MODE pour pouvoir executer tout et n'importe quoi
    2) PHP doit avoir les droit root pour pouvoir executer ces programmes et modifier les éventuels fichiers de configuration...
    3) Si PHP tourne en ROOT, Apache aussi...

    Bref, tu transformes ta machine en bombe à retardement...

    --------------------------------------

    Perso je procède ainsi :
    1) j'ai un démon en PHP "cli" (donc sans apache) qui tourne en root
    2) les scripts PHP de l'interface d'administration dialoguent uniquement avec ce démon, et n'envoyent que des commandes du genre "refresh DNS"
    3) quand le démon reçoit un "refresh", c'est lui qui analyse la base de données et determine s'il doit executer des shell ou non

  3. #3
    Futur Membre du Club
    Inscrit en
    Décembre 2005
    Messages
    8
    Détails du profil
    Informations forums :
    Inscription : Décembre 2005
    Messages : 8
    Points : 6
    Points
    6
    Par défaut
    Comment fonctionne Webmin alors :

    Je ne pense pas, vu la progression de ce soft, que les machines soient des troues de sécurité sur patte, si ?

  4. #4
    Membre éclairé
    Avatar de Kioob
    Profil pro
    Inscrit en
    Septembre 2004
    Messages
    550
    Détails du profil
    Informations personnelles :
    Âge : 44
    Localisation : France, Rhône (Rhône Alpes)

    Informations forums :
    Inscription : Septembre 2004
    Messages : 550
    Points : 764
    Points
    764
    Par défaut
    Webmin a son propre processus qui tourne en root (si ma mémoire est bonne) et fait tourner son propre serveur web sur un port spécifique.

    Quant à Plesk, il fait tourner un deuxième Apache sur un port spécifique, et avec un user particulier. Il ne tourne pas en root, mais je suppose qu'il repose sur une panoplie de scripts exécutés en root.

    Tu peux aussi regarder du coté de VHCS, mais il y a de très grandes chances pour qu'il repose sur un système similaire.

    => si tu n'as pas un minimum de connaissances là dedans, peut être devrais tu plutot utiliser un script existant, ou au moins regarder comment ils procèdent.

  5. #5
    Futur Membre du Club
    Inscrit en
    Décembre 2005
    Messages
    8
    Détails du profil
    Informations forums :
    Inscription : Décembre 2005
    Messages : 8
    Points : 6
    Points
    6
    Par défaut
    Finalement, j'utilise SUDO et je donne à www-data la possibilité de créer des users etc.

    Pour information, l'application web est protégée par un .htaccess et n'est accessible qu'en local

    Il s'agit d'un projet pour l'école donc pour apprendre et le prof nous explique les failles de sécurité que l'on peut créer donc ce n'est une appli web que je met en place pour n'importe qui

  6. #6
    Membre éclairé
    Avatar de Kioob
    Profil pro
    Inscrit en
    Septembre 2004
    Messages
    550
    Détails du profil
    Informations personnelles :
    Âge : 44
    Localisation : France, Rhône (Rhône Alpes)

    Informations forums :
    Inscription : Septembre 2004
    Messages : 550
    Points : 764
    Points
    764
    Par défaut
    Bah j'espère qu'il n'y aura aucune autre "application" hebergée sur la machine.

    M'enfin si ce n'est que pour un petit projet d'étude, je suppose que ça peut passer...

  7. #7
    Futur Membre du Club
    Inscrit en
    Décembre 2005
    Messages
    8
    Détails du profil
    Informations forums :
    Inscription : Décembre 2005
    Messages : 8
    Points : 6
    Points
    6
    Par défaut
    Salut,

    J'attends de voir le prof pour savoir si je suis bien partit ou bien si ce n'est pas bon

    Mais normalement, il n'ya que moi qui pose les scripts sur le FTP et personne d'autres

Discussions similaires

  1. Réponses: 0
    Dernier message: 08/05/2012, 11h11
  2. Stopper un script php qui se prend pour superman
    Par supergrey dans le forum Langage
    Réponses: 2
    Dernier message: 08/06/2007, 22h12
  3. Script php qui inclu une page au hasard
    Par adri5656 dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 2
    Dernier message: 12/04/2007, 02h00
  4. [SQL] Script PHP qui marche pas !
    Par Diabless6 dans le forum PHP & Base de données
    Réponses: 9
    Dernier message: 12/02/2007, 16h28
  5. Page de login -- script PHP qui ne marche pas
    Par Alexlesilex dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 6
    Dernier message: 24/04/2006, 16h32

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo