[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sécurité Apache / Droits d'accès

Merwin wrote on Sun, Oct 25, 2009 at 05:22:52PM +0100
> Le dimanche 25 octobre 2009 à 16:47 +0100, Dominique Asselineau a
> écrit :
> > Merwin wrote on Sun, Oct 25, 2009 at 10:32:04AM +0100
> > > Le dimanche 25 octobre 2009 à 09:59 +0100, Dominique Asselineau a
> > > écrit :
> > > > David Prévot wrote on Sat, Oct 24, 2009 at 02:30:11PM -0400
> > > > > -----BEGIN PGP SIGNED MESSAGE-----
> > > > > Hash: SHA1
> > > > > 
> > > > > Dominique Asselineau a écrit :
> > > > > >> Merwin a écrit :
> > > > > >>> Question: Comment un utilisateur peut être sur qu'un fichier puisse être
> > > > > >>> lu par apache, et par PERSONNE D'AUTRE?
> > > > > 
> > > > > >> Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul
> > > > > >> g+r suffit. 
> > > > > > 
> > > > > > Via Apache, les autres utilisateurs pourraient lire le fichier.
> > > > > 
> > > > > Je ne comprends pas, tu peux développer s'il te plaît (seul root peut
> > > > > lancer apache2 et les processus fils appartiennent à www-data) ?
> > > > 
> > > > Si tous les services sont sous le contrôle de l'admin., la solution
> > > > que tu préconises ainsi que celle des ACL citée par ailleurs, sont
> > > > bonnes.  
> > > > 
> > > > Maintenant si le serveur exécute du PHP (ou autres) inséré dans des
> > > > pages de différents utilisateurs, du fait que tous ces scripts
> > > > tournent sous le même uid www-data, ils ont de facto les permissions
> > > > de cet uid et en particulier la permission de lire ce que www-data
> > > > peut lire.
> > > > 
> > > > Cordialement.
> > > > 
> > > > Dominique
> > > > 
> > > > --
> > > > 
> > > 
> > > Je pense qu'on peut coupler les ACL avec la propriété open_basedir de
> > > PHP définie différement pour chaque VHost non?
> > 
> > Possible, je ne suis pas vraiment adepte de PHP, et puis ça ne
> > résoudrait pas le problème pour les autres méthodes de scripting
> > (Python, Perl...).  Je préférerais résoudre ce cas en faisant
> > intervenir uniquement les permissions du système et celles d'Apache.
> > Tu parles de VHOST, s'il y as un VHOST par utilisateur, alors il est
> > possible de définir des User/Group au niveau de chaque virtual host.
> > 
> > Dominique
> > --
> > 
> 
> Je suis curieux d'en savoir plus à ce sujet, si tu pouvais détailler un
> peu merci ! C'est dans la config d'apache donc?

Oui mais renseignement pris, dans Apache2 c'est la directive
SuexecUserGroup du module mod_suexec.  Ça ne concerne que les CGI.
Vérifier si le PHP (ou autre JSP) est également concerné.  Je n'en
sais pas plus.

Dominique
--
Reply to: