Gestions des droits pour un développement Web collaboratif

Zep37 · Le 04/01/2010, à 15:58

Bonjour à tous, et meilleurs voeux de santé, bonheur (pourquoi pas ?) et réussite (en bonus) dans vos projets pour cette année.

Je patouille un peu (mais j'apprends) dans la gestion des droits sur un serveur ubuntu LTS 8.04 qui a vocation à servir de serveur de test pour plusieurs (4) déveppeurs .

LAMP est installé, Webmin aussi ( mais j'utilise aussi la ligne de commande même si cette question des droits est certainement une question de débutant).

On accède au www avec Samba. (C'est provisoire, à termes on utilisera un SVN proprement, mais maîtrisons une chose après l'autre)

J'ai fait la chose suivante :

Apache, et les développeurs sont tous membres de www-data

Je pensais que ça permettrait à un autre developpeur, membre du groupe, que le propriétaire d'intervenir sur un répertoire 755.

Or ça n'est pas le cas car...

Si Patrick dépose un répertoire, celui est bien 755, mais Gertrude ne peut le modifier bien qu'elle soit, comme Patrick, membre du groupe www-data.

Le hic, (je pense ?) c'est que le propriétaire du répertoire est bien Patrick, par contre le contre est le groupe Patrick( groupe d'origine de Patrick), il faudrait que le groupe soit www-data ???? C'est ça ?

Comment je fais pour que le groupe pris en compte soit tout de suite www-data.

Merci d'avance pour les pistes que vous pourriez m'indiquer.

\\Ouranos// · Le 04/01/2010, à 16:04

C'est le deuxième numéro dans les droits qui correspond aux groupes du propriétaire. Donc il faudrait plutôt utiliser un chmod 775 qu'un chmod 755, amha.

Zep37 · Le 04/01/2010, à 16:19

Merci Ouranos pour ta réponse très rapide.

Je suis un peu honteux là.

Quand je vais copier l'ensemble sur un serveur de production (par FTP cette fois), je n'aurai pas de problème de sécurité du fait d'avoir certains répertoire en 775 sur mon serveur de dev ?

Re-question de débutant ...

yohann · Le 04/01/2010, à 16:52

ben si il y en aura

Le fait est que si apache a le droit d'écrire dans un repertoire, il a donc le droit de supprimer et créer des fichiers dans le dit repertoire, ce qui veux dire que si une faille de sécurité se présente dans ton code php (je suppose que vous codez en php...) apache aura le droit de modifier le contenu des fichiers du site (en général on donne le droit d'écriture pour apache seulement dans un repertoire "cache" ou "tmp" mais pas sur la totalité du site.

Zep37 · Le 04/01/2010, à 17:01

ARRGH, je m'en doutais un peu.

Alors comment que je fais , Oh grand génie incompris ?

Ce que je voudrais :

Travailler tranquillou à plusieurs sans être trop embêté, et une fois le tout validé, je remets au carré (sécurité), et en ligne.

C'est-ti possible ?

Merci

yohann · Le 04/01/2010, à 17:08

oui c'est possible:

laisse les droits posix tels quel (www-data en lecture seule sauf là ou c'est absolument necessaire qu'il puisse écrire).
et utilise les ACLs (access control list) (qui sont, je crois très bien documentés sur la partie documentation de ce site) sur le serveur de developpement pour que tout les dev puissent écrire sur tous les fichiers.

sinon fait un test avec un client ftp pour vérifier s'il conserve les droits posix après le transfert. (je ne crois pas que tous le clients aient le meme comportement la dessus).

Zep37 · Le 04/01/2010, à 17:22

Merci,

Je me lance dans la compréhension des ACL et je reviens si j'ai de nouvelles questions.

Je laisse le topic ouvert, pour
- nouvelles questions, ou
-retour d'expérience.

Merci

Zep37 · Le 04/01/2010, à 18:34

Je reviens,

En fait si le problème de sécurité vient du fait que www-data ait les droits,

plutôt que d'utiliser les ACL, je:

Créer un groupe par ex : lefousdudev,
dans lequel je mets Patrick, Gertrude et les autres.

Tout nouveau répertoire créé par les fous du dev sera 775

Apache n'aura qu'un droit de lecture, (Sauf dossier spécifique que je préciserai)

Lorsque je remets tout en ligne, je me place du côté du serveur distant le groupe "lesfousdudev" n'existe pas sur mon serveur distant, c'est donc l'utilisateur "FTP" qui fait le transfert et devient propriétaire des répertoire en question, seul dans son groupe.

Est-ce que ça vous parait pertinent ? D'autres expériences/idées ?

Merci pour vos retours

yohann · Le 05/01/2010, à 09:41

ça me parait plutôt pertinent en effet.
cependant (mais je manque un peu de recul par rapport a ce que je vais dire) l'important dans un groupe n'est pas tant son nom que son GID, ce qui veut dire que si un groupe avec le meme GID que celui de lesfousdudev existe sur le serveur final, ce groupe se retrouvera avec les droits d'écriture sur les fichiers, mais encore une fois rien ne vaut l'experience et le test du transfert ftp.

test à faire:

touch test.txt
chgrp lesfousdudev test.txt
chmod 775 test.txt
transfert ftp de test.txt
verification du groupe et des droit de test.txt sur le serveur ftp

bonne chance.

Zep37 · Le 20/01/2010, à 09:50

Bonjour à Tous,

Ca fonctionne pas trop mal, voilà un nouvel écueil, l'arrivé de MAC OS...

Connexion d'un mac donc (la graphiste, vous l'aurez compris), et création de fichier .DS Store ou .old lorqu'il y a modification.

Le hic, c'est qu'il sont créés 444 , donc même le mac ne peut pas les supprimer.

Pénible un peu..

Est-ce que quelqu'un a déjà eu cette difficulté et aurait une solution ?

Merci

yohann · Le 20/01/2010, à 10:25

tu me copieras 256 fois (sans ctrlC ctrV):

je n'ai pas besoin des droit en écriture sur un fichier pour supprimer ce fichier

edit: oups j'ai confondu avec un autre topic, c'est pas a toi que j'avais expliquer cela:

donc je l'explique plus calmement:

surpprimer un fichier = supprimer une entrée dans le répertoire

donc on a besoin des droit en écriture sur le repertoire, mais pas sur le fichier que l'on veut supprimer (on ne le modifie pas)

Dernière modification par yohann (Le 20/01/2010, à 10:29)

Zep37 · Le 22/01/2010, à 15:27

Bonjour Yohann, bonjour à tous,

Alors tant pis, je prends le risque, mais....ça marche pas. C'est un fait, les droits du répertoire en question devait me permettre de supprimer ces fichiers mais normalement, mais bon. J'ai passé le répertoire en 777, et devine quoi ? Ca marche peut, je peux ajouter, retirer... de n'importe quel poste, mais ces fichus fichiers ne Bougent Pas...... même du poste d'origine (MAC) on ne peut pas les supprimer.

Pour la suppresion par la console avec rm, ou même le Filemanager de Webmin pas de problème mais en passant par mes postes clients sur samba, rien.

Voili, voilou, j'ai du encore oublier quelque chose .... si quelqu'un peut me répondre (ou me taper sur les doigts, c'est que virtuel...)

Merci

yohann · Le 22/01/2010, à 15:47

bonjour, alors voilà ce que je te suggère:

remet les droits comme ils étaient avant sur ces fichiers.
depuis la console, essaye de les supprimer en utilisant le compre utilisé par les utilisateurs qui doivent les supprimer.

si tu y arrive, c'est que le probleme vient de samba (apparament c'est le cas).
par contre n'oublie pas de "te faire passer pour un utilisateur samba" qd tu feras le test depuis la console (commande su...)

s'il s'avere que tu as un probleme samba, poste ici le résultat de la commande testparm

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 04/01/2010, à 15:58

Gestions des droits pour un développement Web collaboratif

#2 Le 04/01/2010, à 16:04

Re : Gestions des droits pour un développement Web collaboratif

#3 Le 04/01/2010, à 16:19

Re : Gestions des droits pour un développement Web collaboratif

#4 Le 04/01/2010, à 16:52

Re : Gestions des droits pour un développement Web collaboratif

#5 Le 04/01/2010, à 17:01

Re : Gestions des droits pour un développement Web collaboratif

#6 Le 04/01/2010, à 17:08

Re : Gestions des droits pour un développement Web collaboratif

#7 Le 04/01/2010, à 17:22

Re : Gestions des droits pour un développement Web collaboratif

#8 Le 04/01/2010, à 18:34

Re : Gestions des droits pour un développement Web collaboratif

#9 Le 05/01/2010, à 09:41

Re : Gestions des droits pour un développement Web collaboratif

#10 Le 20/01/2010, à 09:50

Re : Gestions des droits pour un développement Web collaboratif

#11 Le 20/01/2010, à 10:25

Re : Gestions des droits pour un développement Web collaboratif

#12 Le 22/01/2010, à 15:27

Re : Gestions des droits pour un développement Web collaboratif

#13 Le 22/01/2010, à 15:47

Re : Gestions des droits pour un développement Web collaboratif

Pied de page des forums