Re: Comment faire - set upload_tmp_dir to a non-world-readable directory

To: debian-user-french@lists.debian.org
Subject: Re: Comment faire - set upload_tmp_dir to a non-world-readable directory
From: G2PC <g2pc@visionduweb.com>
Date: Wed, 7 Aug 2019 17:29:06 +0200
Message-id: <[🔎] 389fd6d3-c0ba-8a9d-ed55-03a4c5599cd6@visionduweb.com>
In-reply-to: <[🔎] 20190807135524.219a148d@asus17.lairdutemps.org>
References: <[🔎] 090780ad-24b7-efc4-5b6b-a52dd42dd6b0@visionduweb.com> <[🔎] 20190802120047.GC5863@espinasse> <[🔎] 133a3ec5-72b0-3cdd-b649-4340e3d5b234@visionduweb.com> <[🔎] 20190802134201.GD5863@espinasse> <[🔎] 31c5c84c-9f75-4ced-844d-19eb15845e34@visionduweb.com> <[🔎] e32e97aa-d891-d37f-3766-95a9b5005b16@visionduweb.com> <[🔎] 20190805132948.78c2d38a@asus17.lairdutemps.org> <[🔎] 3bd9fc14-3d16-3af0-6f92-f3ce6f0c0405@visionduweb.com> <[🔎] 20190807131350.488db614@asus17.lairdutemps.org> <[🔎] 4ada1b77-9a12-9058-02b5-e7f2042f5342@visionduweb.com> <[🔎] 20190807135524.219a148d@asus17.lairdutemps.org>

Mais, en attendant, sur le système debian, les droits sont de 1777 sur
les dossiers tmp /tmp et /var/tmp

À noter, le 1 de départ, le sticky bit, qui veut dire que tout le monde peut créer un fichier
mais que le fichier créé ne peut ensuite être modifié que par son proprio (`man chmod` pour le
détail).

Dès lors, pourquoi le dossier /upload_tmp_dir pour php ne serait t'il
pas lui aussi en 1777 ?

Tout le monde doit pouvoir écrire dans /tmp, c'est l'OS qui te met à dispo un endroit où tu
peux écrire, mais pour php y'a aucune raison que qqun d'autre que php puisse lire / écrire dans
un dossier qui lui est réservé.

En général on met ce dossier en 700 ou 750, en mettant en proprio le user qui fait tourner php
(ça dépend de ton installation de php).

Je vois, merci pour tes explications, ça semble logique.
Donc, dans mon cas, c'est www-data qui fait tourner PHP, avec Apache.

Dès lors, je crée mon dossier dans /var/www/dossier_pour_tmp_php
chown www-data:www-data -R /var/www/dossier_pour_tmp_php/

chmod 750 -R /var/www/dossier_pour_tmp_php

( Ou éventuellement 1750 ? )

ça semble être acceptable comme conf ? Mais, alors, qu'en est t'il si Joomla me crie une erreur rendant la page inaccessible ?
Je vais sur mon domaine, le site Joomla ne charge plus et affiche Error
Par contre, d'autres contenu sont accessibles ( domaine.ext/phpsecinfo/ )

Idem si je le met en 755.
Le site ne fonctionne que si je met les droits en 777

Après test, je me rend compte que je me trompe ! Le dossier temporaire était donné à root:root

Maintenant, il est bien donné à www-data:www-data en 750 et le site Joomla est accessible !

Par contre, depuis phpsecinfo j'ai toujours le message en orange, qui considère les conditions comme non réalisées :

Notice

upload_tmp_dir is disabled, or is set to a common world-writable directory. This typically allows other users on this server to access temporary copies of files uploaded via your PHP scripts. You should set upload_tmp_dir to a non-world-readable directory

Current Value:	/var/www/dossier_pour_tmp_php (0750)
Recommended Value:	A non-world readable/writable directory

Pour ça, si vous utilisez PHP et que vous pensez que votre configuration est fonctionnelle, merci de tester ce script, il suffit de le télécharger
https://github.com/ZerooCool/phpsecinfo/tree/phpsecinfo-zeroocool-v0.2.1

Le test est effectué ligne 71 :
https://github.com/ZerooCool/phpsecinfo/blob/phpsecinfo-zeroocool-v0.2.1/20070406-phpsecinfo-v0.2.1/PhpSecInfo/Test/Core/upload_tmp_dir.php

Merci de vos avis.

Reply to:

Follow-Ups:
- Re: Comment faire - set upload_tmp_dir to a non-world-readable directory
  - From: Eric Degenetais <edegenetais@henix.fr>

References:
- Comment faire - set upload_tmp_dir to a non-world-readable directory
  - From: G2PC <g2pc@visionduweb.com>
- Re: Comment faire - set upload_tmp_dir to a non-world-readable directory
  - From: Jean-Michel OLTRA <jm.oltra@espinasse.net>
- Re: Comment faire - set upload_tmp_dir to a non-world-readable directory
  - From: G2PC <g2pc@visionduweb.com>
- Re: Comment faire - set upload_tmp_dir to a non-world-readable directory
  - From: Jean-Michel OLTRA <jm.oltra@espinasse.net>
- Re: Comment faire - set upload_tmp_dir to a non-world-readable directory
  - From: G2PC <g2pc@visionduweb.com>
- Re: Comment faire - set upload_tmp_dir to a non-world-readable directory
  - From: G2PC <g2pc@visionduweb.com>
- Re: Comment faire - set upload_tmp_dir to a non-world-readable directory
  - From: Daniel Caillibaud <ml@lairdutemps.org>
- Re: Comment faire - set upload_tmp_dir to a non-world-readable directory
  - From: G2PC <g2pc@visionduweb.com>
- Re: Comment faire - set upload_tmp_dir to a non-world-readable directory
  - From: Daniel Caillibaud <ml@lairdutemps.org>
- Re: Comment faire - set upload_tmp_dir to a non-world-readable directory
  - From: G2PC <g2pc@visionduweb.com>
- Re: Comment faire - set upload_tmp_dir to a non-world-readable directory
  - From: Daniel Caillibaud <ml@lairdutemps.org>

Prev by Date: Re: Comment faire - set upload_tmp_dir to a non-world-readable directory
Next by Date: Re: Comment faire - set upload_tmp_dir to a non-world-readable directory
Previous by thread: Re: Comment faire - set upload_tmp_dir to a non-world-readable directory
Next by thread: Re: Comment faire - set upload_tmp_dir to a non-world-readable directory
Index(es):
- Date
- Thread