[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Comment faire - set upload_tmp_dir to a non-world-readable directory

Le 07/08/19 à 12:49, G2PC <g2pc@visionduweb.com> a écrit :
> >> Avant toute chose, j'aimerais réellement trouver de l'information sur ce
> >> qu'est, officiellement, un dossier dit " A non-world readable/writable
> >> directory ".  
> 
> >> C'est un dossier dans lequel tout le monde ne peut pas lire/écrire, donc un chmod xx1 max.
> >>
> >> drwxrwx--x
> >>  ^^^ le proprio peut lire / écrire / entrer
> >>     ^^^ le groupe peut lire / écrire / entrer
> >>        ^^^ les autres ne peuvent pas lire / écrire, seulement entrer  
> 
> - Donc tu dois faire un chmod 700 ou 750 ou ce que tu veux mais avec du xxy ou y vaut 0 ou 1
> Daniel Caillibaud 
> 
> - Essaie `chmod 407` sur le répertoire temporaire.
> jm
> ####
> Bon, au final, vous vous contredisez, et, ça me rassure un peu, 

Tant mieux, c'est une très bonne illustration de l'adage "ne JAMAIS lancer une commande lue qq
part sans comprendre ce que ça fait !"

Et pour trancher => `man chmod`


Un 407 ne devrait pas marcher puisque le proprio ne pourrait plus entrer dans le dossier
mais que n'importe qui pourrait entrer, lire et écrire… 

Et ça parait curieux de refuser tous les droits au groupe et de les
accepter pour tout le monde, mais on peut faire ça pour justement donner "tous les droits sauf
pour un groupe".

La règle est assez simple, pour un chmod xyz, x donne les droits du proprio, y ceux du groupe
et z ceux pour tous les autres. La combinaison de droits se fait en additionnant
4 : r / lecture (read)
2 : w / modification (write), pour un dossier ça veut dire pouvoir le renommer/supprimer ou
    créer un fichier/dossier dedans
1 : x / exécution, pour un dossier ça signifie pouvoir entrer dedans

donc ici le 407 donne :
4 : r-- pour le proprio
0 : --- pour le groupe
7 : rwx pour tous les autres

Je pense que jm pensais au masque, le complémentaire, un masque de 407 donnerait un chmod 370,
qui est curieux (moins de droits pour le proprio que le groupe) mais serait d'équerre avec la
demande initiale de ne pas avoir de "world writable".

> Une chose est sur c'est que si les droits du /tmp_upload
> pour les " autres " n'est pas égal à 7, Joomla me hurle dessus avec un
> message d'erreur. Je ne peux dès lors plus naviguer sur le CMS Joomla.

Donc Joomla n'est pas compatible avec des réglages de sécurité minimaux, mais ça c'est pas une
nouvelle :-D
(ça me surprend quand même, mais on en voit de belles tous les jours)

Car ce 7 signifie justement rwx pour "other", donc tout le monde peut lire/écrire/entrer

-- 
Daniel

Apprendre, pour Socrate, c'est se ressouvenir de ce qu'on a oublié.
Platon
Reply to: