Ubuntu-fr

Mmmax

Contourner Fstab BindFS

Bonjour

J'ai sur un serveur web wordpress (en prod), la necessité de changer les droits qu'un dossier et je me suis appercu que je ne pouvais pas car il y avais un bindfs de monté dans fstab

voici mon /etc/fstab/ :

UUID=f9d0e660-465b-4a9e-8d90-3c00086fcbce /               ext4    errors=remount-ro 0       1
# swap was on /dev/sda5 during installation
UUID=3e45b845-5e12-41ed-aad0-0e964d06a1ab none swap sw 0 0 /dev/sr0 /media/cdrom0 udf,iso9660 user,noauto 0 0
/var/www/ /home/webroot/websites/ipdusite fuse.bindfs force-user=webroot,force-group=webroot,chgrp-ignore,chown-ignore,chmod-ignore,create-with-perms=0755,create-for-user=www-data,create-for-group=www-data 0 0

Comment, sans démonter le bindfs, je peux changer les droits d'un dossier dans /home/webroot/websites/ipdusite et ainsi contourner ce chmod-ingore ?

Merci d'avance

Dernière modification par Mmmax (Le 22/09/2017, à 15:55)

J5012

Re : Contourner Fstab BindFS

pourquoi dois-tu changer les droits ?

le repertoire du site est monté de facon à etre protégé des acces root (au cas où root serait compromis), et en isolant les droits de montage (montage par fuse en utilisateur unique) des droits d'acces aux sous-dossiers de l'utilisateur apache (www-data) ... ca veut dire aussi que si le site wordpress est compromis, l'attaquant ne peut pas escalader les privileges ! → ca a l'air de fonctionner comme une sorte de chroot à l'envers ...

Zakhar

Re : Contourner Fstab BindFS

Tu es sûr que c'est ça J5012. Rajouter sudo -u www-data avant la commande sur ce répertoire, ne semble pas une barrière bien sérieuse à qui a déjà réussi à usurper les droits root !

---

"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

J5012

Re : Contourner Fstab BindFS

@zakhar : normal si tu es en localhost ... mais on parle d'une attaque à distance !
edit : et le serveur est en prod ... donc pas d'acces en localhost ...

Dernière modification par J5012 (Le 22/09/2017, à 23:36)