Re: utilisation de proftpd avec apache

[Thierry B <debian@thierry.eu.org>]

Gilles Mocellin a écrit :
> Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit :
>> Bonjour,
> [...]
>> Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce
>> répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas
>> grave si on a un repertoire dans /var/www qui n'appartient plus à
>> www-data:www-data?
> 
> Pour moi, c'est plutôt anormal qu'un répertoire d'application web puisse être 
> modifié par le compte du process serveur Web !
> Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut 
> facilement mettre à jour ton site et donc lui mettre des virus, vers ou 
> backdors... Ou s'en servir pour hébergé des fichiers illicites...
> 
> Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions, upload 
> d'images...) le propriétaire c'est root.


ha ok,

la consultation des pages par le web ne joue en rien si tout appartient
à root donc? (du moment que "other" peut lire)
C'est juste au niveau des scripts executables que ca joue?

Merci :-)