Post to Facebook
Tweet about this
Share at LinkedIn
Invite participants
Reference this pagesupport « Besoin d'aide «
Maintenance serveur [Solved]
Une faille potentielle ?..
| Owner | J.Juraver |
| Progress |  |
| Workflow | Support request |
| Status | Immediate solution has been provided
|
Bonjour,
voilà un phénomène que je remarque sur un serveur ministériel où j'administre un yacs en production :
- Tous les soirs pendant 20 minutes le serveur de données est à la rue, car les administrateurs doivent probablement faire une maintenance (reboot ?)
- Pendant ce laps de temps, yacs répond aux internautes qu'il n'y a pas d'accès au serveur de donnée, ET donne un lien vers /control/ pour aller configurer le serveur...
Question : cela ne constitue-t-il pas une faille de sécurité, considérant qu'on a pas la main sur cet horaire de maintenance, et que tout un chacun peut accèer à une nouvelle donne de configuration ?..
 Bernard Paques |  on Dec. 21 2009 Il n'y a pas de faille de sécurité à signaler que l'accès à la base de données est mort, et à proposer de réviser la configuration. Seuls les associés peuvent le faire ensuite, et unniquement s'ils ont pu s'authentifier avant la panne ... Pour résoudre ce problème chronique, le mieux serait peut-être de changer le nom du fichier |
 Christian | on Nov. 4 2009 En plus si le serveur est down je vois pas ce qu'il peut etre possible de faire. C'est plutot aux administrateurs système de prévoir quelque chose si nécessaire est-ce qu'en cliquant sur control il est possible d'intervenir ou de se connecter ? Actupro quelques sites yacs : création site internet annuaire pro |
 J.Juraver |  on Nov. 4 2009 Je me demande juste si y'a pas moyen de sécuriser ces quelques minutes pendant lesuqelles yacs s'ouvre à n'importe quelle modifications alors que c'est pas lui qui est en maintenance, mais le serveur de données sur lequel il tourne. ----- Faites votre pub pour Yacs Annuaire des sites YACs Plugin Firefox de recherche dans Yetanoz Nouvelles fonctions suggérées Je ne m'attarde pas, j'ai mon yacs en double file... 
 Yacs on my blog | Suivez le blog Yacs | Yacs Showroom | Plugin Firefox de recherche dans Yetanoz | |
 Alexis Raimbault |  on Nov. 3 2009 mais tu voudrais que cela marche comment alors ? on peut quand même pas dire que les manips possibles aux associés représentent une faille de sécurité ? y-a-pas d'effraction ! Alexis Raimbault webmaster free-lance |
J.Juraver |  on Nov. 3 2009 Attention : dans mon cas décrit ici, ce n'est pas yacs qui est en maintenance, mais le serveur sur lequel il est installé (lui ainsi que des dizaines de sites institutionnels). Je n'ai pas la main sur cette maintenance, ce sont les administrateurs serveur qui font leur popotte. Deuxièmement : cela ne me gêne pas d'avoir un accès au panel control pendant la phase où le serveur de données est éteint, bien au contraire, mais j'ai dû donner des droits "associé" à certains membres de ce yacs, qui eux ne savent pas forcément ce qu'il se passe au moment de cette maintenant et peuvent être tenter d'aller effectivement remplcaer des données de configuration système (puisque yacs les y invite) ----- Faites votre pub pour Yacs Annuaire des sites YACs Plugin Firefox de recherche dans Yetanoz Nouvelles fonctions suggérées Je ne m'attarde pas, j'ai mon yacs en double file...
Yacs on my blog | Suivez le blog Yacs | Yacs Showroom | Plugin Firefox de recherche dans Yetanoz | |
Christian |  on Nov. 3 2009 D'ailleurs pourquoi cela constituerait une faille de sécurité ? Même si le serveur fonctionne on peut avoir accès à la page /control/ Je me rappelle aussi que Thierry a proposé une page plus sympatique pour notifier que le serveur est en maintenance.
Actupro quelques sites yacs : création site internet annuaire pro |
J.Juraver | on Nov. 3 2009 Alexis : parce que le client, un matin il veut changer l'adresse de courriel pour les notifications, et l'autre matin il veut plus d'un autre truc. De manière générale, je ne vois pas ce qui te choque dans le fait d'ajuster un yacs nouvellement en production en fonction des retrours utilisateurs. ----- Faites votre pub pour Yacs Annuaire des sites YACs Plugin Firefox de recherche dans Yetanoz Nouvelles fonctions suggérées Je ne m'attarde pas, j'ai mon yacs en double file...
Yacs on my blog | Suivez le blog Yacs | Yacs Showroom | Plugin Firefox de recherche dans Yetanoz |
|
J.Juraver | on Nov. 2 2009 La version sur laquelle j'ai observé le phénomène est 8.11 Alexis : si je chmode, je serai emmerdé chaque fois que j'irai changer une petite option dans la config, en devant repasser par chmod à chaque fois... Ca annule aussi les pouvoirs des autres associés. Pas glop ... Yacs ne demande pas d'authentification si on l'est déjà (normal), mais du coup c'est dangereux en vertu des autres statuts associés qui ne comprennent pas forcément ce qu'il se passe et seraient tentés de cliquer la seule option possible... ----- Faites votre pub pour Yacs Annuaire des sites YACs Plugin Firefox de recherche dans Yetanoz Nouvelles fonctions suggérées Je ne m'attarde pas, j'ai mon yacs en double file...
Yacs on my blog | Suivez le blog Yacs | Yacs Showroom | Plugin Firefox de recherche dans Yetanoz |
|
Christian | on Nov. 1 2009 Il me semble d'ailleurs que yacs propose cette option de changement de droit dans le panneau de controle Actupro quelques sites yacs : création site internet annuaire pro |
Alexis Raimbault | on Nov. 1 2009 yacs ne demande pas d'authentification ? (c'est vrai que les comptes sont dans la base). Si la config ne doit pas bouger, tu peux aussi chmoder les fichiers de paramètres de manière à ce qu'ils soient en lecture seule. Dès lors l'accès au panneau de control serait sans conséquence. Alexis Raimbault webmaster free-lance |
