[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: répertoires de Sites web : à qui en donner les droits



Nikö wrote on Wed, Apr 25, 2007 at 07:28:01AM +0200
> Ok, j'ai bien compris, donc il faut que j'utilise le compte www (par
> exemple).
> 
> Sinon, si j'ai des utilisateurs qui se connectent en ssh sur le serveur,
> auriez-vous un moyen de les limiter à leur répertoire home ? Parce que je
> viens de penser qu'ils seraient capables d'aller lire les fichiers des sites
> web et donc les fichiers de configuration avec les mot de passe.

L'exemple du compte www est bon pour un administrateur web unique.
Maintenant si on héberge plusieurs sites administrés par différentes
personnes, il faut effectivement s'y prendre autrement.  Les fichiers
devraient pouvoir appartenir au compte de ces utilisateurs et rester
au groupe www-data en lecture.  Pour des limitations de permissions
plus fines, je n'en ai pas vraiment l'expérience.  Voir peut-être avec
l'utilisation des ACLs.

Dominique

> 
> On 4/23/07, nicolas <nicolaskarp@free.fr> wrote:
> >
> >Dominique Asselineau a écrit :
> >> nicolas wrote on Mon, Apr 23, 2007 at 09:15:35PM +0200
> >>
> >>> Nikö a écrit :
> >>>
> >>>> Bonjour,
> >>>>
> >>>> Je solicite votre opinion sur la gestion des répertoires de vos sites
> >>>> web. J'aimerais savoir à qui vous donner les permissions : root ? un
> >>>> utilisateur special ? votre login "normal" ?
> >>>>
> >>>> S'il s'agit d'un user, vous faites juste un chown ?
> >>>>
> >>>>
> >>> Salut,
> >>>
> >>> Il faut que tu changes le propriétaires des répertoires et sous
> >>> répertoires de ton(tes) site(s) web en www-data,sous debian,
> >>>
> >>
> >> Pour le groupe, oui mais pour le propriétaire, ça n'est pas très bon
> >> que ce soit le même que le compte sous lequel tourne le serveur.  En
> >> cas d'attaque du serveur (et de prise en main de ce compte), ce serait
> >> plus ravageur.
> >>
> >> Il vaut mieux avoir un compte d'administration des pages différent de
> >> celui sous lequel tourne le serveur, le groupe restant le même.
> >>
> >>
> >>> mais
> >>> l'utilisateur change en focntion des distribs.. Il faut que tu regardes
> >>> sous quel utilisateur tourne le serveur Apache.
> >>>
> >>> La commande pour changer le propriétaire : chown -R www-data:www-data
> >>> /rep/vers/tes/sites   (ex : /var/www/)
> >>>
> >>
> >> Peut-être
> >>
> >> # chown -R www:www-data
> >>
> >> Si le compte d'admin. des pages est www.
> >>
> >> Et puis mettre le setgid sur la racine du rép. public et les sous-rép.
> >> à l'aide de "chmod g+s" pour que le groupe se propage sur les fichiers
> >> créés ensuite.
> >>
> >>
> >>> Une faille de sécurité serait de le faire tourner en root !!!
> >>>
> >>
> >> Oui, ça serait le pire des cas...
> >>
> >> A+
> >>
> >> Dominique
> >>
> >>
> >C'est bien, j'en apprends tous les jours :)
> >
> >
> 
> 
> -- 
> Nikö

-- 
+------------------------------------o-------------------------------------+
| P-mail:                            | E-mail:                             |
|   E.N.S.T. - Dep. TSI              |       Dominique.Asselineau@enst.fr  |
|   Dominique Asselineau             | Phone: (33/0) 1 45 81 78 91         |
|   46, rue Barrault                 |   Fax: (33/0) 1 45 81 37 94         |
|   75634 PARIS Cedex 13 - France    |                                     |
+------------------------------------o-------------------------------------+



Reply to: