Open Astral0 opened 5 years ago
Dans bcp de plugins des dépendances sont requises, mqtt, pip,... Je ne connais pas de commandes php qui feraient du apt install sans passer par un apt install....
On peut imaginer un plugin foireux qui ajoute un depot, install un package et donne la main sur le serveur a celui qui a conçu le package. Comment verifier que le sudo truc est legitime ou pas...?
... en mettant sous contrôle l'ajout de plugins..
J'imagine deux modes :
Il faut arriver à mettre sous contrôle les appels systèmes car c'est un véritable trou de sécurité. Surtout que www-data est dans /etc/sudoers, donc il peut faire n'importe quoi sur la machine.
Première étape : faire un audit des commandes qui passent.
J'ai trouvé ces deux pages mais ca me semble être pour PHP5 : http://php.net/manual/fr/function.runkit-function-redefine.php http://php.net/manual/fr/function.override-function.php
Une aute solution serait d'essayer de trapper la commande sudo (log ou interception). A voir.