Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.

#1 Le 24/12/2012, à 10:57

bruno38000

Droit d'accès au repertoire crée par www-data

Bonjour,

Lors de mes upload j'utilise une fonction de recopie depuis un repertoire temporaire /temp.
Le nouveau répertoire est crée avec comme propitiatoire www-data hors via ftp je n'ai pas les droits d’accès à ce répertoire. Je dois me connecter via root, et je déteste ça :-) .
Comment permettre à mon user "MyUser" d'avoir accès à ce répertoire ?

NB 1 : J'ai essayé d'ajouter  MyUser au groupe www-data et reciproquement sans succes ( sudo adduser www-data MyUser et  sudo adduser MyUser www-data )
le fichier /etc/group contient donc déjà :

www-data:x:33:MyUser
MyUser:x:1000:www-data

En passant à quoi sert le chiffre ?

NB 2 : J'ai le même soucis avec les fichiers de log de symfony2

Merci pour vos réponses et joyeux noël

Dernière modification par bruno38000 (Le 24/12/2012, à 10:59)

Hors ligne

#2 Le 24/12/2012, à 14:19

mazarini

Re : Droit d'accès au repertoire crée par www-data

Tu peux attribuer les dossiers et fichier à ton user et au groupe www-data. Ensuite tu donnes les droits d'écriture pour le groupe www-data.
Pour les droits d'écriture au groupe www-data, tu peux te limiter au strict nécessaire, comme le répertoire des fichiers uploadés et quelques fichiers généré par le web comme parfois config.php.

Au passage, il n'est pas conseiller de permettre à root de se connecter en ftp (ni en ssh). Dans la mesure du possible, prévoir un user pour faire du ftp qui ne peut pas se connecter en ssh (user sans shell).


Je suis désolé de t'avoir blessé en te traitant de con. Je croyais que tu le savais déjà...

Hors ligne

#3 Le 24/12/2012, à 18:50

bruno38000

Re : Droit d'accès au repertoire crée par www-data

Le problème est que je ne suis pas maître du propriétaire sur les fichiers et répertoire crées par l'application.
Dans le cas de symfony2 la log est  avec comme propriétaire "www-data" (avec un droit en 755 dont je ne suis pas maitre également).

C'est pourquoi je pensais rendre accessible les répertoires avec une manipulation de user.
J'ai pensé un moment démarrer apache2 avec mon user mais cela ne suffit pas.

prévoir un user pour faire du ftp qui ne peut pas se connecter en ssh (user sans shell).

Comment interdire le ssh à un utilisateur ?

Hors ligne

#4 Le 26/12/2012, à 10:40

mazarini

Re : Droit d'accès au repertoire crée par www-data

Pour interdire à un user l'accès ssh, on peut ne pas lui mettre de shell. De memoire /bin/false comme shell, voir dans le fichier /etc/passwd.

On peut également faire un groupe (ssh_user par exemple), mettre les users autorisés à ssh dans ce groupe et ajouter AllowGroups ssh_users dans la config sshd.
De ce que j'ai entendu, il y a des problèmes de circulation de mot de passe en clair avec ftp.

Pour ce qui est des droits, j'essaye de limiter les droits d'écriture de www-data au strict minimum. en changeant les propriétaires et les droits après l'installation de l'application. J'ai tendance à travailler avec ssh plus qu'avec ftp.

Pour le répertoire d'upload, si tu mets le propriétaire tonUser.www-data et des droits d'écriture pour le groupe www-data, ca doit très bien fonctionner. A moins que tu crées souvent des nouveaux répertoires, mais dans ce cas, ca veut peut être dire que le contenu de ces répertoires doit se gérer via le web.

Pour les log, avec 755, tu peux les lire, ca doit te suffire ? Tu peux prévoir une gestion des log avec logrotate pour les faire vivre (remise à zéro et conservation de quelques versions).

J'utilise un wiki, et j'ai laissé le répertoire ou sont stockées les pages avec comme propriétaire www-data. Mais je n'ai pas besoin de gérer ces pages, tout passe par l'interface du wiki. Par contre, pour le code php, il est protégé en écriture, ca ne pose des problèmes que pour les mises à jour ou les modifications du paramétrage.


Je suis désolé de t'avoir blessé en te traitant de con. Je croyais que tu le savais déjà...

Hors ligne

#5 Le 28/12/2012, à 11:25

bruno38000

Re : Droit d'accès au repertoire crée par www-data

Merci d'avoir pris le temps de me faire ce retour fort utile.
Il me reste un soucis avec les fichiers de cache de symfony2 que je ne peux supprimer sans un login root :-(.

Hors ligne

#6 Le 28/12/2012, à 14:56

mazarini

Re : Droit d'accès au repertoire crée par www-data

Et symphony ne les purge pas lui même ?
Eventuellement une tache cron peut faire du ménage dans ces fichiers ?


Je suis désolé de t'avoir blessé en te traitant de con. Je croyais que tu le savais déjà...

Hors ligne

Haut de page ↑