C'est pas faux. C'est jamais une bonne idée de donner des commandes accessible par apache.
Bon après, il y a la sécurité filesystem qui fera que ce user (apache) ai le même pourvoir qu'un user lamda sur ton linux et de plus les commandes ne peuvent être utilisées que par le core apache car le mod_security ne permet pas d'utilisé quoique ce soit.
Elle en aura fait du chemin cette petite chauves-souris. Et surtout sans déclencher le fail2ban (avec alertes qui vont biens) sur une url qui n'est censée être connu que par des admins.
Bref. Rien n'est malheureusement infaillible.
Le 01/05/2024 à 22:25, Paul Rolland (ポール・ロラン) a écrit :
Bonjour,
On Wed, 1 May 2024 21:33:42 +0200 Ludovic LEVET via FRsAG frsag@frsag.org wrote:
- Bon ... (Mode Bigard On ..) En admettant que la chauves-souris elle
trouve le code de la porte , elle connaisse l’étage de ton appart et qu'elle connaisse aussi ton numéro de porte ben elle ouvres son ip au ssh et ben il lui reste plus qu'a attaquer l'auth ssh ...
Elle aura surement plus envie de regarder ce que le sudo sur echo et sed peut lui permettre via apache et la page web ;)
Paul