Ubuntu-fr

r3dlight

Re : Quels droits pour le répertoire www ?...

suphp

ladymiss

Re : Quels droits pour le répertoire www ?...

...
j'ai trouvé cette procédure d'install et de configuration
http://doc.ubuntu-fr.org/suphp

=> je crois que je vais laisser tomber et repasser sur un mutualisé... la montagne de concepts à appréhender est trop gigantesque.

r3dlight

Re : Quels droits pour le répertoire www ?...

Franchement te prend pas le bob mec, fais tourner ton appli php tranquillou même sans suphp à la limite et personne ne t'embêtera ... je t'assure que bon nombre de serveurs d'entreprise même très très fréquenté tournent sans ce genre de considération... au pire fait juste des backup de tout histoire d'etre tranquille un jour si ca devait arriver ... mais va y lance toi, doucement vaut mieux que pas du tout

greg73

Re : Quels droits pour le répertoire www ?...

et un utilisateur autre que root mais du groupe de root c'est une solution à ça ? ou du coup c'est pareil que si c'était lancé par root et faut vraiment un user qui soit ni root ni du groupe root ?

(Je parlais des utilisateurs sous lequel sont lancés les programmes. Pour apache c'est www-data par exemple. Je ne parlais pas des droits des directoires.)
Si tu lances un programme avec un user qui est dans le groupe de root. Ben il aura les droits du groupe root Donc ce sera moins sécurisé que s'il n'est pas dans root. Tous ce qui peut être indépendant, il vaut mieux le laisser indépendant. Diviser pour mieux régner !

greg73

Re : Quels droits pour le répertoire www ?...

Comme le dit r3dlight lance toi. Mets le directoire drupal à www-data avec les droits 755. Et tu n'auras pas de problème. Je n'ai jamais eu d'intrusion sur mon serveur. Mais c'est bien de s'interroger sur les droits, histoires d'avoir les réflexes.

r3dlight

Re : Quels droits pour le répertoire www ?...

Franchement drupal en plus c'est propre comme appli, les mecs qui développent ca, c'est pas des mecs qui font du java (lol) ... bref suit le tuto et roule mais atta drupal il est dispo sur les dépots de toute facon, donc te prend pas le tête... ca se patch tout seul, active les maj de sécurité auto et roule ... oublie les droits, c'est déjà prévu dans le .deb tout ca ...

ladymiss

Re : Quels droits pour le répertoire www ?...

Ok
désolée pour ce petit moment de découragement ça va beaucoup mieux
(merci pour les encouragements )

Donc bilan :
- Je fais un chown en root pour mettre  www-data en owner de /var/www
- je mets /var/www en 755

et puis tant, qd je voudrais uploder mes modifs de mon serveur de test en local à la maison sur mon serveur de prod kimsufi je le ferai par scp en me logant sous www-data.
J'ai bon ? ou c'est pas une bonne idée le scp  www-data@ ?

ladymiss

Re : Quels droits pour le répertoire www ?...

Franchement drupal en plus c'est propre comme appli, les mecs qui développent ca, c'est pas des mecs qui font du java (lol) ... bref suit le tuto et roule mais atta drupal il est dispo sur les dépots de toute facon, donc te prend pas le tête... ca se patch tout seul, active les maj de sécurité auto et roule ... oublie les droits, c'est déjà prévu dans le .deb tout ca ...

Je vais l'administrer en ligne de commande avec drush donc je crois qu'il faut que l'user qui lance drush ait les droits qu'il faut pour.
Et puis je vais probablement aussi faire des customs de theming qui nécessiteront ponctuellement d'aller modifier en dur des page.tpl.php.

PS (hors sujet) : la rc de drupal 7 est sortie ce matin c'est la fête

Dernière modification par ladymiss (Le 01/12/2010, à 13:20)

yohann

Re : Quels droits pour le répertoire www ?...

idem

en fait déja pour que ça puisse posé un souci il faudrait qu'il y ai un moyen de compromettre un des comptes, (donc qu'il y aient d'autre services que apache qui "écoutent" le réseaux et ne soient pas sécurisé.

A vrai dire (peut être que je vais me faire lyncher) la seule chose importantes est déviter que apache ait le droit d'écire la ou il ne doit pas car le risque le plus important que tu cours est une faille dans ton code php qui permette d'éxécuter des scripts php malicieux, or ces script s'éxécuteront au nom d' apache, donc

tu prend le controle de /var/www et tu le laisse dans le groupe apache (pour pouvoir modifier les fichiers sans te prendre la tete et sans passer root):

 chown -R laidy:www-data /var/www/

puis tu donnes des permissions correctes (c'est a dire tout sauf execution pour toi, lecture seule pour apache, rien pour les autres)

 chmod -R u+wXr g+rX o-a /var/www/

et enfin si tes script doivent pouvoir écrire dans certain répertoire on autorise apache à écire seulement dans ceux là

chmod g+w /var/www/la/ou/apache/peut/ecrire

avec une telle configuration :

- tu prend un risque si il y a un  moyen de compromettre ton user par le réseau (mais sauf mauvaise config ça ne devrait pas arriver)
- tu ne prend (presque) aucun risque vis a vis d'erreur éventuelles dans ton code car apache ne pourra écrire que la ou tu le veux bien.

après tu peux fignoler en ajoutant un .htaccess dans les répertoires accessible à apache en écriture pour que au cas ou quelqu'un fasse écrire un script à apache dans lesdit repertoire il ne puisse pas aller les éxécuter.

Opération terminer

Tu seras 1000 fois moins sécurisé qu'un mutu mais 10000 fois moins attaquée aussi, donc au final plus en sécurité.

Bonne continuation

edit: balise code

Dernière modification par yohann (Le 01/12/2010, à 13:22)

---

j.vachez, le génie du net | Soirées jeux sur Lyon | 441
++++++++++[>+++++++>++++++++++>+++<<<-]>++.>+.+++++++
..+++.>++.<<+++++++++++++++.>.+++.------.--------.>+.

ladymiss

Re : Quels droits pour le répertoire www ?...

Tu seras 1000 fois moins sécurisé qu'un mutu

ah oui qd meme ...

yohann

Re : Quels droits pour le répertoire www ?...

enfin c'est  un peu une façon de parler, j'ai pas vraiment fait d'étude comparative sur le sujet, mais surment beaucoup moins et encore plus beaucoup mois attaquée

---

j.vachez, le génie du net | Soirées jeux sur Lyon | 441
++++++++++[>+++++++>++++++++++>+++<<<-]>++.>+.+++++++
..+++.>++.<<+++++++++++++++.>.+++.------.--------.>+.

ladymiss

Re : Quels droits pour le répertoire www ?...

ouai... donc je pense que je vais faire mumuse avec le kimsufi pour mes dev persos et pour me former
mais que pour les clients un bon mutu ça restera qd meme nécessaire

r3dlight

Re : Quels droits pour le répertoire www ?...

mouais pour la sécurité... c'est pas pour troller mais ca dépend des hébergeurs sur ton serveur perso, tu peux faire ce que tu veux, et qd tu sais ce que tu fais tu fais qqchose de vachement custom et sécu. Genre fail2ban pour les services authentifiant, iptables, snort etc et les lib de dev... toc tu as besoin d'un truc un peu exotique, tu as jute à l'installer... et roule ... franchement no stress, j'ai déjà vu un site d'une banque très connu tourner sur une redhat 7 avec du webmin accessible direct sur internet sans iptables.... la classe!  et il ne s'est jamais rien passé (non c'était même pas un honeypot )

yohann

Re : Quels droits pour le répertoire www ?...

Je crois que je vais supprimer ce passage sur la sécu, car c'est limite un début de troll, et en plus ça en reflete pas vraiment mon propos,

Je sais bien qu'un serveur perso configurer au petits oignons peut être hyper secure, mais je parlais d'un serveur avec une conf par défaut, et juste la l'impossibilité pour apache d'écrire n'importe ou, ça c'est pas hyper sécure, mais :

1°) ça l'est suffisament pour contrer l'immense majorité des attaques visant à injecter du code dans les scripts
2°) ça ne prend que 3 ligne de commande à mettre en place
3°) les hackers compétent trouve plus amusant de chercher une faille chez google que chez laidymiss.

d'ou ma conclusion: au final meme en fesant comme ça, (c'est a dire pas grand chose...) tu es plus en sécurité que sur un mutu

Mais Surtout et c'était la le point le plus important du message:

Le plus important est que apache n'ai pas le droit d'écrire n'importe où

Dernière modification par yohann (Le 01/12/2010, à 14:21)

---

j.vachez, le génie du net | Soirées jeux sur Lyon | 441
++++++++++[>+++++++>++++++++++>+++<<<-]>++.>+.+++++++
..+++.>++.<<+++++++++++++++.>.+++.------.--------.>+.

r3dlight

Re : Quels droits pour le répertoire www ?...

Yohann ?! tu m'expliques ?

"
Nous avons détecté que ton navigateur web n'est pas Internet Explorer 8.0. Tu viens donc s'en doute de l'époque de Godefroy de Montmirail ce qui expliquerait ton retard technologique !

Pour télécharger Internet Explorer 8.0 (conseillé) clique sur cette icône"

EDIT: c'est bon j'ai capté, c'est pas toi .... ouf, j'ai failli me tailler les veines ...

Dernière modification par r3dlight (Le 01/12/2010, à 14:37)

yohann

Re : Quels droits pour le répertoire www ?...

gg l'edit à 13:37

Sinon en effet je pense que je n'aurais jamais les compétences frontapage requises pour designer un site de cette qualité...

....
Et bienvenue et bravo, premier jour sur le forum et déjà en train d'aider les autres

Dernière modification par yohann (Le 01/12/2010, à 14:52)

---

j.vachez, le génie du net | Soirées jeux sur Lyon | 441
++++++++++[>+++++++>++++++++++>+++<<<-]>++.>+.+++++++
..+++.>++.<<+++++++++++++++.>.+++.------.--------.>+.

r3dlight

Re : Quels droits pour le répertoire www ?...

ouep je file un chti coup de main vite fait, c'est bien normal mais moi j'ai posté une question et c'est le néant ...

NooP

Re : Quels droits pour le répertoire www ?...

si tu veux modifier les fichiers de www-data il faut que www-data soit dans ton groupe
et que toi meme soit dans le groupe de www-data

Oh malheureux !!! Mettre www-data dans TON groupe !!! Mais SURTOUT PAS !!!
Faire cela autorise le serveur web (qui tourne sous l'utilisateur www-data) à pouvoir directement accéder à tes données perso !!!

Un peu de documentation sur les groupes et utilisateurs :

http://www.freebsd.org/doc/fr_FR.ISO885 … users.html

C'est une documentation BSD, mais elle est applicable à Linux comme à tous les Unix du marché.

---

Votez Macron, vous l'aurez dans le fion !

ladymiss

Re : Quels droits pour le répertoire www ?...

Si je passe le /home en 700 c'est ok de les avoir dans le même groupe ? ou toujours pas ?
et dans ce cas si je ne les mets pas dans le même groupe, je fais mes scp en me loggant par www-data ?

NooP

Re : Quels droits pour le répertoire www ?...

Que tu mettes 'laidy' dans le groupe www-data ne pose pas de problème.
Par contre, c'est l'inverse (mettre www-data dans le groupe 'laidy') qui est dangereux !

Dernière modification par NooP (Le 01/12/2010, à 16:02)

---

Votez Macron, vous l'aurez dans le fion !

ladymiss

Re : Quels droits pour le répertoire www ?...

hummmmmmmmmmmmmmmmmmmmmmmm
ok
tu proposerais quoi ? comme gestion des droits et users pour www et ses sous rep ?

NooP

Re : Quels droits pour le répertoire www ?...

Tout dépends de ce que tu veux faire.
Le mieux étant d'attribuer /var/www à quelqu'un d'autre que www-data, et de placer les répertoires en 'chmod 755' et les fichiers en 'chmod 644', par exemple de t'attribuer /var/www et tous ses sous répertoires (chown -r laidy:laidy /var/www), et ensuite, de donner les droits à apache (www-data) seulement là où il en aura absolument besoin (Généralement des répertoires comme Temp, Upload, Images etc ... pour certaines applications web : chown -r www-data:laidy /var/www/applicationweb/temp)

Dernière modification par NooP (Le 01/12/2010, à 16:47)

---

Votez Macron, vous l'aurez dans le fion !

ladymiss

Re : Quels droits pour le répertoire www ?...

avec drupal je crois que apache doit avoir les droits de partout non ?

NooP

Re : Quels droits pour le répertoire www ?...

Non, apache, de mémoire, n'a besoin d'avoir accès 'en écriture' que sur certains répertoires bien définis de drupal. Mais de toutes façons, la procédure d'installation de drupal te signaleras quand les droits ne seront pas bons.

---

Votez Macron, vous l'aurez dans le fion !

r3dlight

Re : Quels droits pour le répertoire www ?...

+1 avec NooP, le minimum de fichier doivent appartenir à apache, drupal te crie dessus si il lui manque des droits ...