Salut,
Je préfèrerais que ce soit VIP-ire qui réponde ! Je ne connais pas sa contrib, et j'espère que je ne vais pas raconter d'âneries !
Mais bon, je raisonne selon la "philosophie" SME. Si cette contrib la suit bien, je devrais être assez dans le vrai.
Oui, bien que le caractère "tout en un" de SME fasse bondir certains puristes, ça n'en est pas moins une distrib sécurisée, et bien sécurisée puisqu'elle est destinée à être dans bien des cas le seul élément de sécurité d'un réseau, au niveau du contrôle des flux j'entends.
L'architecture interne de SME est véritablement un mini-réseau. On peut considérer,
comme je l'explique ici, qu'on a affaire à un firewall qui délimite un LAN et des DMZ internes. Le LAN interne est relié à une interface, ce qui lui permet de se prolonger à l'extérieur de la SME. Les DMZ (je dis bien : les DMZ) sont exclusivement internes, mais bien séparées entre elles, et séparées du LAN (et bien sûr du WAN !).
On peut en effet considérer que chaque ibay est une DMZ à part des autres. Tout est fait pour que, dans la plupart des cas, une intrusion dans une ibay y reste cantonnée. Je ne crois pas connaitre de cas où un pirate ait réussi à passer d'une ibay à l'autre, ou dans le LAN. S'il a réussi à s'introduire dans une ibay par une faille de sécurité (une appli web mal sécurisée par exemple), il y fera ce qu'il voudra, mais ne pourra pas aller ailleurs.
C'est pour garantir cette sécurité que les possibilités au niveau des droits des ibays sont réduites. Plus exactement, c'est parce qu'on ne peut pas assurer en même temps cette sécurité, la facilité d'installation et de maintenance et des possibilités sans restrictions sur les droits.
Donc, une contrib telle que celle de Daniel est intéressante, parce qu'elle permet des choses que ne permettent pas les ibays. Mais, ce faisant, je pense qu'elle ne garantit plus le même isolement qu'entre les ibays... D'où mon conseil de ne l'utiliser qu'à des fins de partages à l'intérieur du LAN.
Voilà pour les explications. Tu peux donc en déduire facilement la réponse à tes questions
Mais pour plus de clarté pour ceux qui liraient ce post en diagonale, j'y réponds quand même :
arnaud056 a écrit:t'ai-je bien compris: même en utilisation de sme en server+gateway (donc où sme possède une connexion internet), les fichiers "privés" destinés uniquement au réseau local sont/seraient protégés?
Tout à fait ! Une SME en frontal sur le web, c'est un LAN parfaitement sécurisé derrière ! A condition, bien sûr, de ne pas bricoler n'importe quoi... C'est garanti "out of the box", après, les contribs et les bidouilles, c'est sous la responsabilité de ceux qui les installent.
arnaud056 a écrit:Le danger/l'insécurité potentielle viendrait si l'on stocke par exemple un site internet accessible de l'extérieur sur ces shared-folders?
Sauf si le nécessaire a été fait pour qu'ils soient, selon leur utilisation, soit dans le LAN, soit dans une DMZ, un shared-folder est forcément dans le LAN. On autorise donc PHP avec de possibles failles, et surtout les pages stockées à transiter entre LAN et WAN, donc c'est effectivement un énorme gouffre de sécurité. Encore une fois, il est possible, mais non certain, que le nécessaire ait été prévu... Tant qu'il n'y a pas de certitude, mieux vaut appliquer le principe de précaution
arnaud056 a écrit:Donc ne pas/éviter d'utiliser les shared-folders pour ce qui n'est pas à usage interne uniquement?
Ils font naturellement partie du LAN, les destiner à autre chose va bien entendu ouvrir une brèche entre WAN et LAN ! Donc, je répète : sauf à être sûr que tout ce qu'il faut a été fait, ils doivent être exclusivement réservés à un usage interne.
arnaud056 a écrit:Ou emploi des shared-folders sur une machine serveur de données uniquement?
Si la contrib est bien faite, et je pense qu'elle l'est : VIP-ire connait son boulot ! les shared-folders doivent être parfaitement cloisonnés dans le LAN interne de SME. Donc, gateway ou pas, c'est sans importance !
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Pourquoi il ne faut plus "jamais" retoucher à la configuration de l'ibay ? 
Parce que tous les droits, utilisateurs, groupes, etc... seront rétablis pour correspondre à ceux sélectionnés dans '
