Bonjour,
 
Une petite question sur la securite d'un hebergeur (je reste, ou je part, hebergement mutualise, pour quelques petites applications professionelles, qui ne sont accessibles que par une dizaine de personne, mais qui exige un miminum de confidentialite).
 
Avec un script PHP, j'ai acces, en lecture seule a l'ensemble du serveur. Je ne peux pas ouvrir tous les fichiers, mais je peux facilement connaitre l'arborescence complete de leur systeme. Ne pouvant faire la moindre modification sur leur systeme, le risque, avec ce script est minimime, mais n'est ce pas un gros risque de laisser acces a n'importe quel client a l'ensemble de la structure du serveur, et ainsi, en cas d'attaque de ce dernier, facilite l'acces et la modification du systeme, puisque ce dernier sait ou se trouve les ficiers important, et ce de maniere parfaitement normal ?
 
Merci pour vos eclaircissement.
 
I.

 
Bonjour,
 
La question est surtout. As-tu besoin d'avoir un accès complet à l'ensemble des fichiers ? Peux-tu limiter l'accès via des droits par rapport aux users ?
 
A+
BrotherS

C'est un hebergement mutualise, sur lequel je ne peux donc faire aucune modification du systeme (il doit y avoir plusieurs dizaine de client sur ce serveur). Je ne suis pas l'hebergeur, mais un de ses clients.
 
Ce qui me derange, c'est la vulnerabilite de leur systeme. Un script PHP tout nete permet de lister l'ensemble de l'arborescence du serveur. Ce que je veux eviter, pour savoir si je reste chez eux, c'est si connaitre l'arborescence complete d'un serveur est un risque ou non, et si oui, pourquoi ?
 
Merci pour tes eclaircissements,
 
I.

Re,
 
Le risque de connaître l'arborescence d'un serveur est identifié l'ensemble des applications installées sur celui-ci.  En fonction des applications, tu peux trouver des failles et lancer des attaques.
 
Le risque est fort globalement. Peux-tu par exemple visualiser le fichier /etc/password ?  
 
A+

Bonjour,
 
Laisses moi essayer !!!

Je peux lire le fichier : /etc/passwd, les info ne sont pas cripter, mais je ne vois pas tres bien a quoi il correspond.
 
Doit probablement faire reference a l'endroit ou pour chaque utilisateur sont stockes les passwords !!!! ca me semble bien dangereux !!!

Et le fichier /etc/shadow tu arrives à le lire ?
 
Car si tu arrives à lire passwd et le shadow tu peux casser les mots de passes des utilisateurs... celà demande juste un peu de puissance de calcul.

Bonjour,
 
Mon objectif n'est pas de cracker quoique ce soit, mais uniquement d'etre sur que l'hebergeur choisi n'a pas laisse ouvert des failles qui pourrait etre exploiter pour utiliser, modifier, lire certaines info sur mon site web.
 
J'ai donc contacter ce dernier qui m'a assurer que pouvoir naviguer sur le site ne m'etait pas en danger mes infos, mais j'en doute !!!
 
i.

Comme le dis requin et nous savons bien. Ce n'est pas pour cracker pour évaluer le risque !

les fichiers /etc/shadow en lecture ça doit plus exister depuis qq dizaines d'années

 
bien sur que si !
 
par contre le cryptage n'est pas reversible.

dis moi où tu en trouves
 
sur solaris 1.0?
 
sur HP-UX 4?
 
debian 1.0?

 
redhat
AIX
 
permission : U+R de maniere a pouvoir ouvrir une session. Si personne ne peut le lire comment veux tu ouvrir des sessions ?!

faut quand meme que je verifie...

seul root a le droit de lire /etc/shadow