Swat

[pupa]

bonjour,

est-ce que quelqu'un sait comment activer le service SWAT
j'ai essayé avec les infos donnés sur labo mac
http://www.labo-apple.com/fr/articles/os+x/rmacosx103-210/

ainsi que sur project omega
http://www.projectomega.org/article.php?lg=fr&php=oreilly_samba1&p=3

mais rien n'y fait, impossible de me loguer en root.
j'ai redémarrer pour être sur que tt soit bien pris en comptes, nada, ça ne marche tjrs pas

au fait je suis sur OSX 10.4.1

 

[Winz]

J'ai eu le meme probleme, sous Tiger également.
J'ai suivi les 2 tutoriaux, mais au final j'ai configurer xinietd.d/swat comme ceci:

service swat
{
port = 901
disable = no
only_from = 127.0.0.1
socket_type = stream
wait = no
user = root
server = /usr/sbin/swat
server_args = -a s /private/etc/smb.conf
log_on_failure += USERID
groups = yes
flags = REUSE
}

Il y a juste la ligne avec "server_args" qui est différente par rapport aux tutoriaux proposés.
Le -a sert à désactiver l'authentification d'après la documentation de SWAT (avec la commande "man swat").
Ca marche mais ce n'est pas vraiment sécurisé comme service. Mais une fois qu'on a accès à SWAT, je pense que c'est bon.

 

[rizoto]

Il y a juste la ligne avec "server_args" qui est différente par rapport aux tutoriaux proposés.
Le -a sert à désactiver l'authentification d'après la documentation de SWAT (avec la commande "man swat").
Ca marche mais ce n'est pas vraiment sécurisé comme service. Mais une fois qu'on a accès à SWAT, je pense que c'est bon.

Quels sont les risques de sécurité du à cette modification.

 

[bompi]

Ce n'est pas sécurisé car tout circule en clair et en plus l'authentification est désactivée (l'option -a)
Mais en limitant à ton poste (only_from = 127.0.0.1) c'est déjà moins grave. Cela dit, toute personne travaillant sur ton poste devrait pouvoir accéder à SWAT, du coup.
Il faut aussi (pour bien faire et au cas où), bloquer en entrée le port 901 sur le pare-feu, si ce n'est déjà fait.

 

[rizoto]

Bon en Fait SWAT, c'est nul. c'est beaucoup plus simpe de configurer son smb.conf à la main. Au moins on est sur de ce que l'on fait.

Comment faire pour désactiver l'accès à swat par localhost ?
Comment fait on pour re sécuriser le tout?

 

[bompi]

Supprimer le fichier créé dans xinetd.d/swat devrait suffire (ça, c'est pour Panther).
Ou, pour Tiger, désactiver avec 'launchctl' le service swat puis supprimer (ou mettre de côté) le fichier '/System/Library/LaunchDaemons/swat.plist'.

 

[rizoto]

merci pour ta réponse rapide, je suis sous tiger

coçmment désactiver les service swat avec launchctl ?


pour le moment j'ai supprimé le fichier "swat" de /etc/xinetd.d/ et j'ai reconfiguré le fichier services en suppirmant la ligne créee pour le port 901.

Cela est il suffisant

 

[bompi]

Ça doit être bon Pour vérifier, c'est simple, fait un 'telnet localhost 901' : si tu peux te connecter, c'est que c'est toujours actif et accessible.
IL te faudra peut-être rebooter (à tout le moins réinitialiser le service xinetd).

Quant à 'launchctl', c'était au cas où tu l'aurais installé en prenant l'option "nouvelle norme de service" de Tiger, ce qui ne semble pas le cas.

 

[rizoto]

ok merci pour les ocnseils

je n'ai pas fait de telnet (je ne sais pas comment) mais j'ai testé depuis mon navigateur et j'ai vérifié si le port était ouvert.

 

[rizoto]

Pour conclure, je conseille de ne pas activer le module SWAT de macosX.

premierement car la méthode est un peu tiré par les cheveux et surtout parceque SWAT n'apporte pas grand chose.

Si vous êtes un noob mieux vaut passer par n logiciel tier
Si vous êtes motivé, configurer votre smb.conf avc un éditeur de texte. Au moin svous serez ce que vous faites.

 

[bompi]

Assez d'accord avec toi. D'autant qu'il ne semble pas possible de le sécuriser aisément, le SWAT.
Autant investir dans une petite doc (ou dégotter un howto bien fait) et la potasser un peu et s'attaquer tranquillement à "smb.conf".

 

[supermoquette]

sécuriser le swat en ne permettant qu'un accès localhost est facile !

 

[bompi]

Certes ... Mais bon, dans ce cas, tout user de l'ordi peut se connecter et s'amuser avec.
Par principe, ça me chiffonne ...

 

[supermoquette]

Sécuriser swat et le smb.conf c'est quasi pareil et ça demande pas plus d'effort.

 

[bompi]

C'qu'je voulais dire : quand tu ouvres SWAT (port 901) dans xinetd, ou dans un service 'launchd', tu ne peux pas mettre l'option [-a] d'authentification à SWAT (il doit y avoir un petit bug, au moins pour la version livrée en standard).
Au niveau parefeu, tu peux couper tout accès autre que localhost, ¡ claro !, mais tu ne pourras tout de même empêcher un utilisateur de se connecter à SWAT depuis la machine elle-même, puisqu'il n'y pas d'authentification.
En soi, ce n'est pas bien grave, mais sur un serveur, ça craint un chouîa, m'est avis.