Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 24/12/2012, à 09:57

bruno38000

Droit d'accès au repertoire crée par www-data

Bonjour,

Lors de mes upload j'utilise une fonction de recopie depuis un repertoire temporaire /temp.
Le nouveau répertoire est crée avec comme propitiatoire www-data hors via ftp je n'ai pas les droits d’accès à ce répertoire. Je dois me connecter via root, et je déteste ça :-) .
Comment permettre à mon user "MyUser" d'avoir accès à ce répertoire ?

NB 1 : J'ai essayé d'ajouter  MyUser au groupe www-data et reciproquement sans succes ( sudo adduser www-data MyUser et  sudo adduser MyUser www-data )
le fichier /etc/group contient donc déjà :

www-data:x:33:MyUser
MyUser:x:1000:www-data

En passant à quoi sert le chiffre ?

NB 2 : J'ai le même soucis avec les fichiers de log de symfony2

Merci pour vos réponses et joyeux noël

Dernière modification par bruno38000 (Le 24/12/2012, à 09:59)

Hors ligne

#2 Le 24/12/2012, à 13:19

mazarini

Re : Droit d'accès au repertoire crée par www-data

Tu peux attribuer les dossiers et fichier à ton user et au groupe www-data. Ensuite tu donnes les droits d'écriture pour le groupe www-data.
Pour les droits d'écriture au groupe www-data, tu peux te limiter au strict nécessaire, comme le répertoire des fichiers uploadés et quelques fichiers généré par le web comme parfois config.php.

Au passage, il n'est pas conseiller de permettre à root de se connecter en ftp (ni en ssh). Dans la mesure du possible, prévoir un user pour faire du ftp qui ne peut pas se connecter en ssh (user sans shell).


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne

#3 Le 24/12/2012, à 17:50

bruno38000

Re : Droit d'accès au repertoire crée par www-data

Le problème est que je ne suis pas maître du propriétaire sur les fichiers et répertoire crées par l'application.
Dans le cas de symfony2 la log est  avec comme propriétaire "www-data" (avec un droit en 755 dont je ne suis pas maitre également).

C'est pourquoi je pensais rendre accessible les répertoires avec une manipulation de user.
J'ai pensé un moment démarrer apache2 avec mon user mais cela ne suffit pas.

prévoir un user pour faire du ftp qui ne peut pas se connecter en ssh (user sans shell).

Comment interdire le ssh à un utilisateur ?

Hors ligne

#4 Le 26/12/2012, à 09:40

mazarini

Re : Droit d'accès au repertoire crée par www-data

Pour interdire à un user l'accès ssh, on peut ne pas lui mettre de shell. De memoire /bin/false comme shell, voir dans le fichier /etc/passwd.

On peut également faire un groupe (ssh_user par exemple), mettre les users autorisés à ssh dans ce groupe et ajouter AllowGroups ssh_users dans la config sshd.
De ce que j'ai entendu, il y a des problèmes de circulation de mot de passe en clair avec ftp.

Pour ce qui est des droits, j'essaye de limiter les droits d'écriture de www-data au strict minimum. en changeant les propriétaires et les droits après l'installation de l'application. J'ai tendance à travailler avec ssh plus qu'avec ftp.

Pour le répertoire d'upload, si tu mets le propriétaire tonUser.www-data et des droits d'écriture pour le groupe www-data, ca doit très bien fonctionner. A moins que tu crées souvent des nouveaux répertoires, mais dans ce cas, ca veut peut être dire que le contenu de ces répertoires doit se gérer via le web.

Pour les log, avec 755, tu peux les lire, ca doit te suffire ? Tu peux prévoir une gestion des log avec logrotate pour les faire vivre (remise à zéro et conservation de quelques versions).

J'utilise un wiki, et j'ai laissé le répertoire ou sont stockées les pages avec comme propriétaire www-data. Mais je n'ai pas besoin de gérer ces pages, tout passe par l'interface du wiki. Par contre, pour le code php, il est protégé en écriture, ca ne pose des problèmes que pour les mises à jour ou les modifications du paramétrage.


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne

#5 Le 28/12/2012, à 10:25

bruno38000

Re : Droit d'accès au repertoire crée par www-data

Merci d'avoir pris le temps de me faire ce retour fort utile.
Il me reste un soucis avec les fichiers de cache de symfony2 que je ne peux supprimer sans un login root :-(.

Hors ligne

#6 Le 28/12/2012, à 13:56

mazarini

Re : Droit d'accès au repertoire crée par www-data

Et symphony ne les purge pas lui même ?
Eventuellement une tache cron peut faire du ménage dans ces fichiers ?


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne