[réglé] Apache: séparer les users.

Uld · Le 04/08/2005, à 14:26

Bonjour à tous.

Voilà mon problème:
J'ai plusieurs utilisateurs qui ont un compte sur ma machine, et j'avais l'habitude de chmoder leurs dossier /hmo/user en 700 pour empecher qu'un utilisateur A puisse visiter le dossier d'un utilisateur B à coup de "cd ~/../B"

J'ai aussi donné l'appartenance de chaque dossier /home/user à user:www-data afin que apache puisse acceder à chaque sous dossier /home/user/public_html

Jusque là tout va bien.

Le soucis, suite à ce topic, c'est que mes dossiers /home/user ont en fait besoin d'être chmodé en 775 pour que le deamon ssh puisse acceder aux dossier ~/.ssh (besoin de pouvoir permettre aux utilisateur de se connecter sans password pour rsync et touti quanti.)

Donc comment faire pour que:
1. Les utilisateurs ne puissent pas aller fouiller chez le voisins
2. apache ait accès aux ~/public_html
3. le deamon ssh puisse quand meme acceder aux dossiers ~/.ssh

Merci de votre aide parce que là je vois pas...

Dernière modification par Uld (Le 04/08/2005, à 15:00)

pef · Le 04/08/2005, à 14:54

Ce que tu peux faire c'est mettre 710 sur les home :

-7 pour le propriétaire : accès complet
-1 pour le groupe : peut rentrer
-0 pour les autres : ne peuvent rien faire

Et mettre le groupe d'apache sur le home.

Comme ça le propriétaire fait ce qu'il veut chez lui, il ne peut pas matter chez les autres, et apache peut rentrer.

Mettons que apache soit dans le groupe www-data, ça donne ceci :

chmod 710 /home/toto
chgrp www-data /home/toto

En théorie ca doit marcher

Dernière modification par pef (Le 04/08/2005, à 14:58)

Uld · Le 04/08/2005, à 15:00

Pef, tu es génial, tout bonnement parfait
Merci.

Par faudra m'expliquer... Je comprend qu'on le fait de ne pas donner les droits rw empeche les user de se balader, mais je comprend pas pourquoi le droit d'executer peut permettre aux deamon apache et ssh de passer...
Je comprend pas le concept de dossier "executable".

pef · Le 04/08/2005, à 15:04

Uld a écrit :

Pef, tu es génial, tout bonnement parfait
Merci.
Par faudra m'expliquer... Je comprend qu'on le fait de ne pas donner les droits rw empeche les user de se balader, mais je comprend pas pourquoi le droit d'executer peut permettre aux deamon apache et ssh de passer...
Je comprend pas le concept de dossier "executable".

en gros le +x pour un répertoire est le droit d'y accéder, le mieux est un exemple :

loic@iron:/tmp] $ mkdir -p home/toto
[loic@iron:/tmp] $ chmod 000 home/
[loic@iron:/tmp] $ ls  home/toto
ls: home/toto: Permission non accordée
[loic@iron:/tmp] $ chmod +x home/
[loic@iron:/tmp] $ ls  home/toto
[loic@iron:/tmp] $    
[loic@iron:/tmp] $ ls  home/
ls: home/: Permission non accordée

Là j'ai le droit d'aller voir un sous-rep dans home, mais pas regarder dans le rep home lui-même, j'ai donc juste le droit d'y accéder, mais c'est tout, je peux pas le lire/écrire.

+x pour un fichier = rendre exécutable, pour un répertoire = y avoir accès

Dernière modification par pef (Le 04/08/2005, à 15:09)

Uld · Le 04/08/2005, à 15:35

Oki, j'enregistre ca dans un coin de ma tete, ca sera certainement utile dans d'autre occasions

pef · Le 04/08/2005, à 15:48

sans l'ombre d'un doute

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 04/08/2005, à 14:26

[réglé] Apache: séparer les users.

#2 Le 04/08/2005, à 14:54

Re : [réglé] Apache: séparer les users.

#3 Le 04/08/2005, à 15:00

Re : [réglé] Apache: séparer les users.

#4 Le 04/08/2005, à 15:04

Re : [réglé] Apache: séparer les users.

#5 Le 04/08/2005, à 15:35

Re : [réglé] Apache: séparer les users.

#6 Le 04/08/2005, à 15:48

Re : [réglé] Apache: séparer les users.

Pied de page des forums