• # Je vais être méchant.

    Posté par . En réponse au message sudo et apache chrooté [openbsd]. Évalué à 3.

    Mais OpenBSD est livré avec tout un tas de doccumentation, et là il va falloir la lire.

    Premièrement tu dis que ton apache est chrooté, j'en déduis que pf, snort, snort2c et mons2c sont dans les chroot avec lui non ?
    Existe-t-il un autre pf qui tourne en non chrooté ? Sur la même interface ? Mêmes questions pour snort ?

    Deuxièmement sudo c'est mal. On a maintenant des ACL sous linux et sous BSD. Sudo devrait donc disparaitre. Garde le owner de pf/snort etc. à root, créé un groupe "netsecure" et fait un chwon de netsecure sur les programmes dont tu as besoins (de préférence avec des droits limités genre juste en execution quand c'est possible). Enuite lance ton programme en php si tu veux.

    La solution du parano consisterait plutot à dire que php est un nid à bug et à failles de sécurité (c'est pas tout à fait vrai ). Dans ce cas là la solution est de faire un check de sécurité du repertoire de chroot via tripewire qui si il est valide lance la commande.