# Swat



## pupa (25 Juin 2005)

bonjour,

est-ce que quelqu'un sait comment activer le service SWAT
j'ai essayé avec les infos donnés sur labo mac
http://www.labo-apple.com/fr/articles/os+x/rmacosx103-210/

ainsi que sur project omega
http://www.projectomega.org/article.php?lg=fr&php=oreilly_samba1&p=3

mais rien n'y fait, impossible de me loguer en root.
j'ai redémarrer pour être sur que tt soit bien pris en comptes, nada, ça ne marche tjrs pas

au fait je suis sur OSX 10.4.1


----------



## Winz (17 Juillet 2005)

J'ai eu le meme probleme, sous Tiger également.
J'ai suivi les 2 tutoriaux, mais au final j'ai configurer xinietd.d/swat comme ceci:

service swat
{
   port            = 901
   disable         = no
   only_from       = 127.0.0.1
   socket_type     = stream
   wait            = no
   user            = root
   server          = /usr/sbin/swat
   server_args     = -a s /private/etc/smb.conf
   log_on_failure  += USERID
   groups          = yes
   flags           = REUSE
}

Il y a juste la ligne avec "server_args" qui est différente par rapport aux tutoriaux proposés.
Le -a sert à désactiver l'authentification d'après la documentation de SWAT (avec la commande "man swat"). 
Ca marche mais ce n'est pas vraiment sécurisé comme service. Mais une fois qu'on a accès à SWAT, je pense que c'est bon.


----------



## rizoto (17 Avril 2006)

Winz a dit:
			
		

> Il y a juste la ligne avec "server_args" qui est différente par rapport aux tutoriaux proposés.
> Le -a sert à désactiver l'authentification d'après la documentation de SWAT (avec la commande "man swat").
> Ca marche mais ce n'est pas vraiment sécurisé comme service. Mais une fois qu'on a accès à SWAT, je pense que c'est bon.



Quels sont les risques de sécurité du à cette modification.


----------



## bompi (19 Avril 2006)

Ce n'est pas sécurisé car tout circule en clair et en plus l'authentification est désactivée (l'option -a)
Mais en limitant à ton poste (*only_from       = 127.0.0.1*) c'est déjà moins grave. Cela dit, toute personne travaillant sur ton poste devrait pouvoir accéder à SWAT, du coup.
Il faut aussi (pour bien faire et au cas où), bloquer en entrée le port 901 sur le pare-feu, si ce n'est déjà fait.


----------



## rizoto (3 Mai 2006)

Bon en Fait SWAT, c'est nul. c'est beaucoup plus simpe de configurer son smb.conf à la main. Au moins on est sur de ce que l'on fait.

Comment faire pour désactiver l'accès à swat par localhost ?
Comment fait on pour re sécuriser le tout?


----------



## bompi (4 Mai 2006)

Supprimer le fichier créé dans xinetd.d/swat devrait suffire (ça, c'est pour Panther).
Ou, pour Tiger, désactiver avec 'launchctl' le service swat puis supprimer (ou mettre de côté) le fichier '/System/Library/LaunchDaemons/swat.plist'.


----------



## rizoto (4 Mai 2006)

merci pour ta réponse rapide, je suis sous tiger

coçmment désactiver les service swat avec launchctl ?


pour le moment j'ai supprimé le fichier "swat" de /etc/xinetd.d/ et j'ai reconfiguré le fichier services en suppirmant la ligne créee pour le port 901.

Cela est il suffisant


----------



## bompi (4 Mai 2006)

Ça doit être bon  Pour vérifier, c'est simple, fait un 'telnet localhost 901' : si tu peux te connecter, c'est que c'est toujours actif et accessible.
IL te faudra peut-être rebooter (à tout le moins réinitialiser le service xinetd).

Quant à 'launchctl', c'était au cas où tu l'aurais installé en prenant l'option "nouvelle norme de service" de Tiger, ce qui ne semble pas le cas.


----------



## rizoto (5 Mai 2006)

ok merci pour les ocnseils

je n'ai pas fait de telnet (je ne sais pas comment) mais j'ai testé depuis mon navigateur et j'ai vérifié si le port était ouvert.


----------



## rizoto (7 Mai 2006)

Pour conclure, je conseille de ne pas activer le module SWAT de macosX. 

premierement car la méthode est un peu tiré par les cheveux et surtout parceque SWAT n'apporte pas grand chose. 

Si vous êtes un noob mieux vaut passer  par n logiciel tier
Si vous êtes motivé, configurer votre smb.conf avc un éditeur de texte. Au moin svous serez ce que vous faites.


----------



## bompi (7 Mai 2006)

Assez d'accord avec toi. D'autant qu'il ne semble pas possible de le sécuriser aisément, le SWAT.
Autant investir dans une petite doc (ou dégotter un howto bien fait) et la potasser un peu et s'attaquer tranquillement à "smb.conf".


----------



## supermoquette (7 Mai 2006)

sécuriser le swat en ne permettant qu'un accès localhost est facile !


----------



## bompi (7 Mai 2006)

Certes ... Mais bon, dans ce cas, tout user de l'ordi peut se connecter et s'amuser avec.
Par principe, ça me chiffonne ...


----------



## supermoquette (7 Mai 2006)

Sécuriser swat et le smb.conf c'est quasi pareil et ça demande pas plus d'effort.


----------



## bompi (7 Mai 2006)

C'qu'je voulais dire : quand tu ouvres SWAT (port 901) dans xinetd, ou dans un service 'launchd', tu ne peux pas mettre l'option [-a] d'authentification à SWAT (il doit y avoir un petit bug, au moins pour la version livrée en standard).
Au niveau parefeu, tu peux couper tout accès autre que _localhost_, ¡ claro !, mais tu ne pourras tout de même empêcher un utilisateur de se connecter à SWAT depuis la machine elle-même, puisqu'il n'y pas d'authentification.
En soi, ce n'est pas bien grave, mais sur un serveur, ça craint un chouîa, m'est avis.


----------

