Re: Sécurité Apache / Droits d'accès
Le dimanche 25 octobre 2009 à 09:59 +0100, Dominique Asselineau a
écrit :
> David Prévot wrote on Sat, Oct 24, 2009 at 02:30:11PM -0400
> > -----BEGIN PGP SIGNED MESSAGE-----
> > Hash: SHA1
> >
> > Dominique Asselineau a écrit :
> > >> Merwin a écrit :
> > >>> Question: Comment un utilisateur peut être sur qu'un fichier puisse être
> > >>> lu par apache, et par PERSONNE D'AUTRE?
> >
> > >> Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul
> > >> g+r suffit.
> > >
> > > Via Apache, les autres utilisateurs pourraient lire le fichier.
> >
> > Je ne comprends pas, tu peux développer s'il te plaît (seul root peut
> > lancer apache2 et les processus fils appartiennent à www-data) ?
>
> Si tous les services sont sous le contrôle de l'admin., la solution
> que tu préconises ainsi que celle des ACL citée par ailleurs, sont
> bonnes.
>
> Maintenant si le serveur exécute du PHP (ou autres) inséré dans des
> pages de différents utilisateurs, du fait que tous ces scripts
> tournent sous le même uid www-data, ils ont de facto les permissions
> de cet uid et en particulier la permission de lire ce que www-data
> peut lire.
>
> Cordialement.
>
> Dominique
>
> --
>
Je pense qu'on peut coupler les ACL avec la propriété open_basedir de
PHP définie différement pour chaque VHost non?
Je ne sais pas si PHP comprendre ~/public_html/ dans open_basedir, mais
si c'est le cas serait super !
Reply to: