« Si ton serveur est un serveur web faut bien que le firewall laisse passer les requêtes http vers le serveur web. Donc le firewall ne protège pas ton serveur web.
Ce serveur web, même "dernière" un firewall, doit être bien configuré et à jour.
Donc le firewall n'est pas LA solution. Si tu as un script php mal foutu, tu peux être dans la merde avec ou sans "Trusted Debian". »
Concrêtement, le firewall ne fait pas forcement du tout ou rien. C'est à dire que même en laissant passer les requêtes, il peut toujours avoir un rôle (interdire certain types de requêtes, car toutes ne sont légitimes... ).
Donc le firewall protège le serveur web, en partie.
Bien entendu, si t'as un script php qui est une faille de sécurité, ça peut poser problème. Par exemple, si ton script php devoile le contenu de /etc/shadow, ça peut poser problème, si quelqu'un trouve le moyen d'avoir un shell sur cette machine (effectivement, craignos si le ssh est ouvert et qu'il accepte les mots de passe.
Mais ce problème là est toujours vrai. Si t'as un programme en C (qui ne passe pas par le serveur web) qui donne le contenu de shadow... Mais à ce niveau là, n'est-ce pas le système qui est mal configuré ? (www-data ne peut pas lire /etc/shadow en théorie).
[^] # Re: Trusted Debian 1.0
Posté par Anonyme . En réponse à la dépêche Trusted Debian 1.0. Évalué à 3.
Ce serveur web, même "dernière" un firewall, doit être bien configuré et à jour.
Donc le firewall n'est pas LA solution. Si tu as un script php mal foutu, tu peux être dans la merde avec ou sans "Trusted Debian". »
Concrêtement, le firewall ne fait pas forcement du tout ou rien. C'est à dire que même en laissant passer les requêtes, il peut toujours avoir un rôle (interdire certain types de requêtes, car toutes ne sont légitimes... ).
Donc le firewall protège le serveur web, en partie.
Bien entendu, si t'as un script php qui est une faille de sécurité, ça peut poser problème. Par exemple, si ton script php devoile le contenu de /etc/shadow, ça peut poser problème, si quelqu'un trouve le moyen d'avoir un shell sur cette machine (effectivement, craignos si le ssh est ouvert et qu'il accepte les mots de passe.
Mais ce problème là est toujours vrai. Si t'as un programme en C (qui ne passe pas par le serveur web) qui donne le contenu de shadow... Mais à ce niveau là, n'est-ce pas le système qui est mal configuré ? (www-data ne peut pas lire /etc/shadow en théorie).