[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Proftpd : faire passer un utilisateur pour www-data



On Tue, 25 Oct 2011 19:58:44 +0200
Grégory Bulot <debian.list200912@batman.dyndns.org> wrote:

> Bonjour, Bonsoir, 

Bonjoir,
 
...
> > Histoire de voir si j'ai bien compris je reformule:
> > ton svr http fonctionne en www-data:www-data
> > et tu veux lui uploader de nouveaux fichiers à servir avec MonUserFtp
> > fichiers qui doivent pouvoir être lûs par www-data?
> 
> + modifiés : je ne connais pas l'outil qui sera mis en place (boutique
>   en ligne), mais j'imagine bien ajoute d'images avec génération de
>   vignettes

ça ne pose aucun PB puisque le owner des fichiers reste le user ftp et que
les fichiers héritent du umask standard (622), seul le group change vers
www-data.

On a donc la combinaison (en soi:) recherchée: 
user ftp peut R/W les fichiers,
www-data peut juste les lire.

Ca a aussi un effet de bord inattendu et pratique, à savoir que même si le
svr http est compromis, le malfaisant ne peut pas toucher aux fichiers
sans obtenir les droits du user ftp, ce qui est quasiment impossible à
moins d'avoir simultanément une faille dans le svr et une autre dans le
kernel ou le pgm de login.

...
> Je teste demain, merci pour cette piste alternative. [n'empêche ce truc
> avec proftp ça me perturbe :-p ]

ça ne devrait pas, il faut être feignant et faire le plus simple possible;
et si utiliser cette solution fonctionne bien, il n'y a aucune raison
d'aller rechercher une solution plus alambiquée qui risque de poser
d'autres PBs.

Par contre, si ça ne marche pas du 1er coup ça voudra dire que les options
ajoutées dans apache collisionnent avec les nouveaux droits du DIR et qu'il
faudra les virer de la conf (de toute façon, il faudra les virer puisqu'elles
ne servent plus à rien).

-- 
A clever prophet makes sure of the event first.


Reply to: