Gilles Mocellin wrote:
Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit :Bonjour,[...]Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas grave si on a un repertoire dans /var/www qui n'appartient plus à www-data:www-data?Pour moi, c'est plutôt anormal qu'un répertoire d'application web puisse être modifié par le compte du process serveur Web ! Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut facilement mettre à jour ton site et donc lui mettre des virus, vers ou backdors... Ou s'en servir pour hébergé des fichiers illicites...
en principe, je suis d'accord. mais la, si un attaquant pirate proftpd, ça sera pareil... de toute façon, le problème existera toujours si on veut éditer des fichiers à distance (sans passer par ssh + editeur).
du coup, j'aimerais bien avoir l'opinion sur une comparaison (principalement en terme de securité, mais aussi en utilisabilité pour ne pas faire fuir les windowsiens...) entre:
- ftp comme fait Thierry - scp (avec winscp pour les windosiens)- mod_dav [avec auth+ssl]. (la, pour les clients windobs, c'est ce qu'il y a de plus simple, non?)
Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions, upload d'images...) le propriétaire c'est root.
Je suis d'accord.