Mon /var/www est la propriété de root mais www-data a des droits d'écriture sur l'un de ses sous-répertoires (un dossier de téléchargement de l'utilisateur, contenant photos seulement ).
Est-ce qu'un utilisateur malveillant peut naviguer hors de ce sous-répertoire spécifique ou même hors de l'arborescence de l'entreprise ? /var/www ?
Y a-t-il quelque chose que je puisse faire pour renforcer la sécurité pour ça ?
Le chrooting est-il inutile dans ce cas ?
Merci pour vos suggestions.
Vos autorisations de fichiers devraient être 644 et les répertoires doivent être 755 . Le seul utilisateur qui a la permission doit être www-data. Les autres utilisateurs n'ont que des droits de lecture. Dans votre cas, cela semble correct.
Mettez un scan quotidien de clam-av y LMD dans le répertoire racine de votre site web. Si vous utilisez des frameworks intégrés, vérifiez la sécurité de leur site et disposez toujours des dernières versions des applications.
Pour surveiller le répertoire racine du site web, vous devriez mettre inotify sur /var/www, vous devez donc savoir quels sont les fichiers édités, créés et supprimés sur le système de fichiers. La première étape du pirate consiste à placer des fichiers à la racine du site Web, puis à naviguer dans le système de fichiers, ce que vous devez surveiller via inotify.
Disposez toujours d'une sauvegarde quotidienne des anciens fichiers afin de pouvoir comparer les fichiers nouvellement édités sur le web pour détecter les codes malveillants.
Tous les fichiers créés dans le dossier images ne doivent pas avoir le droit d'exécution. Vérifiez également que le fichier téléchargé est une image uniquement et vérifiez les extensions du fichier.
J'espère que cela vous aidera.
Ce type de vulnérabilité est appelé "traversée de répertoire".
Cela fait longtemps qu'Apache lui-même n'a pas eu de vulnérabilité de traversée, mais il semble que vous exécutez votre propre code dans Apache ; c'est là que vous devrez vous concentrer sur l'atténuation des risques, en particulier si vous avez du code qui charge d'autres fichiers ou du contenu à partir du système de fichiers (le code de téléchargement, par exemple).
Vous verrez parfois dans vos journaux des entrées provenant de robots qui font des requêtes du type /../../../etc/passwd mais Apache ne va pas leur donner ce contenu (du moins pas sans qu'une nouvelle vulnérabilité soit découverte), vous devez donc vous assurer qu'il en est de même pour votre propre code.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
