[Résolu]La page d'accueil visible

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[Résolu]La page d'accueil visible

Messagepar shwing » 30 Juin 2006 10:42

Bonjour,

Je me pose la question suivant:

Pourquoi par défaut la page index.cgi est visible directement sans authentification préalable ?

Ne trouvez-vous pas que le faite qu'on puisse voir la page d'Ipcop sur le net peut être déjà considérer comme un trou de sécurité ?

Ne serait-il pas mieux lorsqu'on souhaite se connecter sur Ipcop à distance, le mot de passe soit demandé directement sans voir aucune info ?

Pour exemple:
m0n0wall ne permet pas de joindre l'interface graphique si l'on est en IP dynamique (un peu extreme, pour moi).


Conclusion: y a t-il un moyen de modifier ce settings ?


Merci pour vos avis.



Solution en bas de page ou dans le newbee kit.
Dernière édition par shwing le 09 Juil 2006 20:55, édité 1 fois au total.
Avatar de l’utilisateur
shwing
Amiral
Amiral
 
Messages: 1246
Inscrit le: 14 Mars 2004 01:00
Localisation: GE/CH

Messagepar Billou02 » 30 Juin 2006 10:51

Salut

ca fait longtemps que j'y pense.

la page d'acceuil reprends l'ip, le nom d'hote, le nom de la machine et le domaine dans laquelle elle est. ce qui sont déjà des infos plus que sensibles.

je suis en phase d'essayer pfsense pour cela (dérivé de m0n0wall).

d'autres avis ?
Image
Avatar de l’utilisateur
Billou02
Amiral
Amiral
 
Messages: 1177
Inscrit le: 27 Jan 2004 01:00
Localisation: Picardie

Messagepar yarglaheu » 30 Juin 2006 10:58

Bonjour,

Une idée : modifier le fichier httpd.conf pour demander le user/pass
Avatar de l’utilisateur
yarglaheu
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 206
Inscrit le: 08 Juin 2004 16:13
Localisation: Vichy

Messagepar Billou02 » 30 Juin 2006 11:19

yarglaheu a écrit:Une idée : modifier le fichier httpd.conf pour demander le user/pass

euh une idée un peu plus précise ? :wink:
le newb que je suis as du mal a programmer le nux... :oops:

un petit newbie kit ? ca devrait plaire a plus d'un... (dont moi :roll: )
Image
Avatar de l’utilisateur
Billou02
Amiral
Amiral
 
Messages: 1177
Inscrit le: 27 Jan 2004 01:00
Localisation: Picardie

Messagepar shwing » 30 Juin 2006 11:53

il faudrait, je pense, modifier le "Allow from any" et le remplacer par ...

A la ligne 58 jusqu'à 65

Code: Tout sélectionner
<Files index.cgi>
        Satisfy Any
        Allow from All
    </Files>
    <Files credits.cgi>
        Satisfy Any
        Allow from All
    </Files>


j'ai essayé de supprimer ces lignes et fais un httpd restart

j'ai essayé de mettre ceci à la place:

Code: Tout sélectionner
AllowOverride None
    Options None
    AuthName "Restricted"
    AuthType Basic
    AuthUserFile /var/ipcop/auth/users
    Require user admin


et fais un httpd restart

aucune résultat.

Comme vous l'avez remarqué, je ne suis pas non plus un expert.

bon il est midi... a+
Avatar de l’utilisateur
shwing
Amiral
Amiral
 
Messages: 1246
Inscrit le: 14 Mars 2004 01:00
Localisation: GE/CH

Messagepar bad_trips » 30 Juin 2006 13:51

J'y avais dejà pensé, mais j'ai jamais trouvé où il fallait le mettre ni quel fichier modifié. A mon avi il faut trouver l'appel de l'identification et la déplacer au moment ou se fait la connection. Si une personne plus "savante " que nous trouve il serait agréable de nous faire parvenir la reponse et pourquoi pas la mettre en activité sur les prochaine versions.
Merci.
you are bad
bad_trips
Major
Major
 
Messages: 98
Inscrit le: 27 Mai 2005 13:19

Messagepar Gesp » 30 Juin 2006 13:53

Cela fait partie des choses qui devraient être changées en v1.5 mais le comment n'est pas encore déterminé (à part demander l'authentification pour toutes les pages).
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar shwing » 30 Juin 2006 14:00

la 1.5 semble être plein de promesse...
Avatar de l’utilisateur
shwing
Amiral
Amiral
 
Messages: 1246
Inscrit le: 14 Mars 2004 01:00
Localisation: GE/CH

Messagepar ShonGail » 30 Juin 2006 22:44

shwing a écrit:il faudrait, je pense, modifier le "Allow from any" et le remplacer par ...

A la ligne 58 jusqu'à 65

Code: Tout sélectionner
<Files index.cgi>
        Satisfy Any
        Allow from All
    </Files>
    <Files credits.cgi>
        Satisfy Any
        Allow from All
    </Files>


j'ai essayé de supprimer ces lignes et fais un httpd restart



Hello, cette manip fonctionne sur mon Ipcop 1.3 mais un "httpd restart" ne suffit pas. Un reboot est nécessaire.
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar ShonGail » 30 Juin 2006 23:00

Milles excuses, un reboot n'est pas obligatoire.

Il suffit de tuer les processus httpd ("killall httpd") et de le relancer ("httpd -DSSL")

Cela permet de prendre en compte les modifications apportées dans httpd.conf
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar shwing » 01 Juil 2006 18:18

super cela fonctionne !

Merci ShonGail.

Pensez-vous que cela puisse être mis dans le noob kit ?

la procédure est juste ?

Code: Tout sélectionner
Question: Rendre impossible la vue de la page index.cgi

Mots-clé: httpd.conf , password, mot de passe, sécurité, home page, authentification, page de garde,

Réponse: modifier le fichier httpd.conf aux lignes 58 à 65 modifier ceci


<Files index.cgi>
    Satisfy Any
    Allow from All
</Files>

<Files credits.cgi>
    Satisfy Any
    Allow from All
</Files>

par ceci:

<Files index.cgi>
    AllowOverride None
    Options None
    AuthName "Restricted"
    AuthType Basic
    AuthUserFile /var/ipcop/auth/users
    Require user admin
</Files>

<Files credits.cgi>
    AllowOverride None
    Options None
    AuthName "Restricted"
    AuthType Basic
    AuthUserFile /var/ipcop/auth/users
    Require user admin
</Files>

lancer la commande "killall httpd" et relancer par "httpd -DSSL"






bon mis à part ça je ne comprends pas le httpd - DSSL, pourquoi un simple httpd start ne suffit pas ? Et pourquoi 2 X le "S" ?
j'imagine que tu le l'a pas inventé pour me faire plaisir... ;)

Code: Tout sélectionner

root@ipcop:~ #httpd -h

Usage: httpd [-D name] [-d directory] [-f file]
             [-C "directive"] [-c "directive"]
             [-v] [-V] [-h] [-l] [-L] [-S] [-t] [-T] [-F]
Options:
  -D name          : define a name for use in <IfDefine name> directives
  -d directory     : specify an alternate initial ServerRoot
  -f file          : specify an alternate ServerConfigFile
  -C "directive"   : process directive before reading config files
  -c "directive"   : process directive after  reading config files
  -v               : show version number
  -V               : show compile settings
  -h               : list available command line options (this page)
  -l               : list compiled-in modules
  -L               : list available configuration directives
  -S               : show parsed settings (currently only vhost settings)
  -t               : run syntax check for config files (with docroot check)
  -T               : run syntax check for config files (without docroot check)
  -F               : run main process in foreground, for process supervisors
Avatar de l’utilisateur
shwing
Amiral
Amiral
 
Messages: 1246
Inscrit le: 14 Mars 2004 01:00
Localisation: GE/CH

Messagepar ShonGail » 01 Juil 2006 19:50

Hello,

le paramètre "-DSSL" sert à prendre en compte les directives SSL présentes dans le httpd.conf :

Code: Tout sélectionner
<IfDefine SSL>
   …
   </IfDefine>


Si tu fais un "ps -ax" sur ton Ipcop, tu te rendras compte que httpd est lancé par défaut sous Ipcop avec ce paramètre :)
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar shwing » 01 Juil 2006 20:17

ok,merci pour cette précision. sympa.
Avatar de l’utilisateur
shwing
Amiral
Amiral
 
Messages: 1246
Inscrit le: 14 Mars 2004 01:00
Localisation: GE/CH

Messagepar Billou02 » 02 Juil 2006 10:36

Salut,
perso, je pense que cela doit figurer dans le newbie kit, ca va interesser beaucoup de monde. :wink:

par contre je me posais une question. ipcop contient une commande
Code: Tout sélectionner
setreservedport

tout le monde la connais bien.

le fait de faire une modif de ce genre dans le httpd.conf ne va t'il pas perturber son fonctionnement ?
en gros faut il utiliser SetReservedPort :
    Réponse A - Avant de modifier le fichier ?
    Réponse B - Après avoir modifié le fichier ?
    Réponse C - Ne plus l'utiliser ?
    Réponse D - Ca n'a pas d'importance.
:lol:
Image
Avatar de l’utilisateur
Billou02
Amiral
Amiral
 
Messages: 1177
Inscrit le: 27 Jan 2004 01:00
Localisation: Picardie

Messagepar manu59 » 03 Juil 2006 19:00

pour info, sur la Smooth' 3.0 grizzly, la page d'accueil ne s'affiche pas si vous n'avez pas entré votre login et mdp correspondant ... 8)
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité