Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 01/10/2013, à 08:58

golderak-games

Bonjour petit souci script,

Bonjour,

Je contact les personne aillant une notion dans les scripts linux, je recherche un scripte simple qui me permettrais de redémarrer le service httpd avec identification automatique,

Pourquoi automatique ?
Et bien automatique car le service fais appelle a un certificat ssl qui demande une identification des que l'on redémarre le service httpd, donc ce que je chercher est qu'il puisse redémarrer le service httpd et qui saisisse automatique le login et le mot de passe quand le Certificat demande cette identification.

Je ne sais pas si je suis assez clair ?

Merci de votre aide.

Dernière modification par golderak-games (Le 01/10/2013, à 08:58)

Hors ligne

#2 Le 01/10/2013, à 22:01

JoelS

Re : Bonjour petit souci script,

Si je comprend bien, au démarrage du serveur httpd, celui-ci essaie de lire un fichier contenant un certificat, la clef privée certainement, qui sert pour les accès HTTPS. Ce fichier est protégé. Probablement un fichier PKCS12?

Si oui, pourquoi ne pas dé-protéger le fichier, c'est à dire ôter le mot de passe ?

Je m'explique: ton serveur httpd démarre avec les droits root pour pouvoir ouvrir le port 80, puis ue fois que c'est fait, change son propriétaire (probablement www ou www-data). au moment du démarrage, il lit (ou plutôt tente) de lire le fichier. A ce moment il est root. Si ton fichier contenant le certificat appartient à root en mode 400, seul root peut le lire, même s'il n'est pas protégé par mot de passe. Dans ce dernier cas, tu n'as plus de problème de lecture, et de gestion du mot de passe.

Si tu mets un mot de passe dans un script parce que tu penses que ce n'est pas assez sûr, de toute façon tu aura le même problème de gestion de droit (il faut éviter que n'importe qui excepté root puisse lire le mot de passe). Si un attaquant devient root, de toute façon, quoique tu fasses, t'es mort.

Donc supprimes le mot de passe et affecte les bons droits: fichier appartenant à root:root, mode 0400, dans un répertoire appartenant à root:root, mode 0700, interdiction à un utilisateur de faire un change-owner ou change-group (c'est le défaut sous Linux maintenant, mais ce n'est pas toujours le cas sur des OS Unix historique!).

C'est je pense suffisant et plus facile à gérer.

Ceci dit, j’admets ne pas avoir vraiment répondu à la question initiale.

Hors ligne

#3 Le 02/10/2013, à 12:05

golderak-games

Re : Bonjour petit souci script,

Bonjour,

JoelS a écrit :

Si je comprend bien, au démarrage du serveur httpd, celui-ci essaie de lire un fichier contenant un certificat, la clef privée certainement, qui sert pour les accès HTTPS. Ce fichier est protégé. Probablement un fichier PKCS12?

C’est bien cela tu as tout à fait raison smile, c'est ce que je voulais faire au départ sinon je n'aurais pas posté ici.

Oui c'est ce que je pensais mais bon par simple mesure de sécurité je n'ai pas envie d’ôter le mot de passe du certificat, effectivement cela n’empêche pas un attaquant je faire des modifications si il passe en Root, mais bon  mon problème peut servir a d'autre même si le plus facile serait d'enlever le mot de passe.

Effectivement tu ne réponds pas à ma question initiale mais ce n'est pas grave toute les réponses sont bonne.

Dernière modification par golderak-games (Le 02/10/2013, à 12:10)

Hors ligne

#4 Le 02/10/2013, à 17:29

tiramiseb

Re : Bonjour petit souci script,

par simple mesure de sécurité je n'ai pas envie d’ôter le mot de passe du certificat

Tu ne veux pas faire un certificat sans mot de passe, mais tu veux bien faire un certificat en stockant son mot de passe juste à côté ?

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Hors ligne

#5 Le 03/10/2013, à 21:13

JoelS

Re : Bonjour petit souci script,

golderak-games a écrit :

Effectivement tu ne réponds pas à ma question initiale mais ce n'est pas grave toute les réponses sont bonne.

Même les mauvaises ? big_smile

Je plussoie la réflexion de tiramiseb. Stocker un mot de passe dans un script ou dans une base accessible sans mot de passe n'a de sens que quand on ne peut pas faire autrement. Or la, tu peux faire autrement. Ca sera même probablement plus sûr d'utiliser au maximum les mécanismes des outils standard que de stocker un mot de passe.

En faisant comme je t'ai écris, tu pousses le point faible du système sur la gestion des droits d'accès à un fichier. Ca c'est géré par le noyau et ses satellites. Tu bénéficieras des mises à jour de sécurité de ces outils. Alors que si ton script a une faille, tu n'as quasiment aucune chance de la trouver toi-même. Reste seulement à bien positionner les droits sur le fichier.

Hors ligne

#6 Le 03/10/2013, à 21:16

pires57

Re : Bonjour petit souci script,

Pareil, la réponse de tiramiseb est la bonne pour moi aussi. On ne stocke JAMAIS un mot de passe dans un script quand on a la possibilité de faire autrement.

Dernière modification par pires57 (Le 03/10/2013, à 21:17)

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

Pages : 1