[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Comment faire - set upload_tmp_dir to a non-world-readable directory

Le 07/08/2019 à 13:13, Daniel Caillibaud a écrit :
> Le 07/08/19 à 12:49, G2PC <g2pc@visionduweb.com> a écrit :
>>>> Avant toute chose, j'aimerais réellement trouver de l'information sur ce
>>>> qu'est, officiellement, un dossier dit " A non-world readable/writable
>>>> directory ".  
>>>> C'est un dossier dans lequel tout le monde ne peut pas lire/écrire, donc un chmod xx1 max.
>>>>
>>>> drwxrwx--x
>>>>  ^^^ le proprio peut lire / écrire / entrer
>>>>     ^^^ le groupe peut lire / écrire / entrer
>>>>        ^^^ les autres ne peuvent pas lire / écrire, seulement entrer  
>> - Donc tu dois faire un chmod 700 ou 750 ou ce que tu veux mais avec du xxy ou y vaut 0 ou 1
>> Daniel Caillibaud 
>>
>> - Essaie `chmod 407` sur le répertoire temporaire.
> Et pour trancher => `man chmod`
>
>
> Un 407 ne devrait pas marcher puisque le proprio ne pourrait plus entrer dans le dossier
> mais que n'importe qui pourrait entrer, lire et écrire… 
>
> Et ça parait curieux de refuser tous les droits au groupe et de les
> accepter pour tout le monde, mais on peut faire ça pour justement donner "tous les droits sauf
> pour un groupe".
>
> Je pense que jm pensais au masque, le complémentaire, un masque de 407 donnerait un chmod 370,
> qui est curieux (moins de droits pour le proprio que le groupe) mais serait d'équerre avec la
> demande initiale de ne pas avoir de "world writable".
>
>> Une chose est sur c'est que si les droits du /tmp_upload
>> pour les " autres " n'est pas égal à 7, Joomla me hurle dessus avec un
>> message d'erreur. Je ne peux dès lors plus naviguer sur le CMS Joomla.
> Donc Joomla n'est pas compatible avec des réglages de sécurité minimaux, mais ça c'est pas une
> nouvelle :-D (ça me surprend quand même, mais on en voit de belles tous les jours)
>
> Car ce 7 signifie justement rwx pour "other", donc tout le monde peut lire/écrire/entrer

Mais, en attendant, sur le système debian, les droits sont de 1777 sur
les dossiers tmp /tmp et /var/tmp
Dès lors, pourquoi le dossier /upload_tmp_dir pour php ne serait t'il
pas lui aussi en 1777 ?
Reply to: