#26 Le 07/01/2014, à 15:07
- jplemoine
Re : [Résolu]lamp
Étant loin d'être un spécialiste du web et de l'administration de serveur mais en poussant ton raisonnement à l’extrême.
- Pourquoi ne pas donner tous les droits sur toute l’arborescence à tous les utilisateurs ? (il faut bien que certains écrivent sur une partie de arborescence).
- et puis, après tout, on a qu'à mettre un seul utilisateur (root?) qui a tous les droits...
Je pense que la gestion des droits a une utilité...
Dans le cas présent, tu préconises de donner des droits d'écriture à un utilisateur sur toute une arborescence (/var/www) alors qu'une partie suffit (tmp et uploads) --> Je maintiens, persiste et signe : CE N'EST PAS LA BONNE SOLUTION !!!
De plus, ça ne résoudra pas le problème initial : la personne n'a pas les droits d'écriture sur /var/www !!!
Ce compte ne servira plus : vous pouvez le supprimer si le coeur vous en dit...
Laissé par l'auteur pour historique.
Hors ligne
#27 Le 07/01/2014, à 15:23
- pinguinman
Re : [Résolu]lamp
Étant loin d'être un spécialiste du web et de l'administration de serveur mais en poussant ton raisonnement à l’extrême.
- Pourquoi ne pas donner tous les droits sur toute l’arborescence à tous les utilisateurs ? (il faut bien que certains écrivent sur une partie de arborescence).
- et puis, après tout, on a qu'à mettre un seul utilisateur (root?) qui a tous les droits...Je pense que la gestion des droits a une utilité...
Dans le cas présent, tu préconises de donner des droits d'écriture à un utilisateur sur toute une arborescence (/var/www) alors qu'une partie suffit (tmp et uploads) --> Je maintiens, persiste et signe : CE N'EST PAS LA BONNE SOLUTION !!!
De plus, ça ne résoudra pas le problème initial : la personne n'a pas les droits d'écriture sur /var/www !!!
Tu prétends pousser mon raisonnement à l'extrême, mais tu déforme mes propos.
la seule arborescence concernée est /var/www.
le seul utilisateur concerné est www-data qui ne peut écrire nul part ailleurs.
Ériger en loi sacrée un principe de sécurité sans étudier au cas par cas c'est faire la motié du travail
Pour ma part J'ai supposé dés le départ que /var/www ne contenait qu'une application.
OUI je te l'accorde, inutile d'écrire dans tous les sous-dossiers de /var/www
Moi je suis administrateur systeme dans une agence web, à des fin d'industrialiser un minimum les hébergements, nous procédons comme suit :
un user linux = un user ftp = un user php.
Le client qui loue son espace d'hébergement n'est pas root. Il lui faut uploader son site, il a besoin de pouvoir écrire dans son dossier (tout son dossier). Il en est propriétaire et tous ses scripts php sont successible de créer des fichiers.
Voilà, sans vouloir te fâcher.
Dernière modification par pinguinman (Le 07/01/2014, à 15:25)
OS : Ubuntu 14.04 / Debian Weezy / Ubuntu server 12.04
Avec Linux t'as un noyau, avec windows t'as des pépins ;)
Hors ligne
#28 Le 07/01/2014, à 15:25
- Postmortem
Re : [Résolu]lamp
Il ne faut ne surtout pas mettre www-data en propriétaire.....
Si tu changes le propriétaire et que tu mets www-data et que les droits sont 644, ça veut dire que l'utilisateur qui fait tourner Apache peut modifier le contenu du fichier...Ça me parait être un gigantesque trou de sécurité.
il faut laisser root:root : c'est ça qui protège le site.
De plus, les fichiers textes (html, php,...) doivent avoir les droits rw-r--r-- et les répertoires rwxr-xr-x sauf s'ils doivent être écrit par le code du site.A la rigueur, pendant la mise au point, tu mets ton user en propriétaire : ça permet de modifier facilement les fichiers.
Il y a quelques années, j'étais analyste d'exploit dans une boite et je m'occupais des sites LAMP. Jamais on ne laissait les fichiers appartenant à root.
J'ai pas touché à un site LAMP depuis mais de mémoire, on faisait ainsi :
Chaque site avait son propre Document Root
Ce Document Root (et tous les fichiers/dossiers en-dessous) avait un propriétaire (distinct selon le site)
Ce Document Root (et tous les fichiers/dossiers en-dessous) avait comme groupe propriétaire le groupe du user faisant tourner Apache.
Les droits étaient ainsi :
750 pour les dossiers, 640 pour les fichiers. Pour les dossiers/fichiers où "le site" devait pouvoir écrire, on mettait les dossiers en 770 et les fichiers en 660.
Il y avait d'autres subtilités dues à l'utilisation de typo3 mais il me semble que c'était de ce gout là.
Une chose est certaine, des fichiers applicatifs ne doivent pas appartenir à root.
Mot' a dit : « Un Hellfest sans Slayer, c'est comme une galette-saucisse sans saucisse ! »
Hors ligne
#29 Le 07/01/2014, à 15:35
- pinguinman
Re : [Résolu]lamp
Désolé Itachi, tu dois être un peu largué là...
tu a pu regarder les log apache?
Dernière modification par pinguinman (Le 07/01/2014, à 15:36)
OS : Ubuntu 14.04 / Debian Weezy / Ubuntu server 12.04
Avec Linux t'as un noyau, avec windows t'as des pépins ;)
Hors ligne
#30 Le 07/01/2014, à 15:46
- jplemoine
Re : [Résolu]lamp
@Postmortem :
Si je ne me trompe pas : on est d'accord que le user qui fait tourner Apache n'a pas les droits d'écriture sur les dossiers/fichiers "normaux".
Par contre, dans le cas qui nous intéresse, pourquoi dis-tu
Une chose est certaine, des fichiers applicatifs ne doivent pas appartenir à root.
?
et quel utilisateur devrait alors posséder ces fichiers ?
Ce compte ne servira plus : vous pouvez le supprimer si le coeur vous en dit...
Laissé par l'auteur pour historique.
Hors ligne
#31 Le 07/01/2014, à 15:52
- pinguinman
Re : [Résolu]lamp
L'utilisateur qui éxécute le php bien sûr.
OS : Ubuntu 14.04 / Debian Weezy / Ubuntu server 12.04
Avec Linux t'as un noyau, avec windows t'as des pépins ;)
Hors ligne
#32 Le 07/01/2014, à 16:01
- Postmortem
Re : [Résolu]lamp
@Postmortem :
Si je ne me trompe pas : on est d'accord que le user qui fait tourner Apache n'a pas les droits d'écriture sur les dossiers/fichiers "normaux".
Par contre, dans le cas qui nous intéresse, pourquoi dis-tuPostmortem a écrit :Une chose est certaine, des fichiers applicatifs ne doivent pas appartenir à root.
?
et quel utilisateur devrait alors posséder ces fichiers ?
Un utilisateur que l'on créé pour chaque site/appli.
Mot' a dit : « Un Hellfest sans Slayer, c'est comme une galette-saucisse sans saucisse ! »
Hors ligne
#33 Le 07/01/2014, à 16:06
- jplemoine
Re : [Résolu]lamp
ok. Peux-tu répondre à la question initiale ? comment accéder au fichier dans /var/www ?
si c'est root, on fait un gksudo gedit <nom du fichier> ou sudo nano <nom du fichier> mais si on met un utilisateur quelconque ?
Ce compte ne servira plus : vous pouvez le supprimer si le coeur vous en dit...
Laissé par l'auteur pour historique.
Hors ligne
#34 Le 07/01/2014, à 16:18
- pinguinman
Re : [Résolu]lamp
Puisque tes scripts ne modifient pas les fichiers, tu devrais peut être le propriétaire du dossier , non ?
OS : Ubuntu 14.04 / Debian Weezy / Ubuntu server 12.04
Avec Linux t'as un noyau, avec windows t'as des pépins ;)
Hors ligne
#35 Le 07/01/2014, à 16:19
- Postmortem
Re : [Résolu]lamp
Soit on créé le fichier avec le user créé pour le site en question, soit on créé le fichier avec root (comme tu le fais) puis on change propriétaire et groupe pour mettre ça correctement.
Et si, comme tu le préconises, on laisse /var/www à root, ça veut dire que les dev doivent pouvoir se connecter en root pour mettre à jour le site. Je préfère qu'ils utilisent un autre compte !
Mot' a dit : « Un Hellfest sans Slayer, c'est comme une galette-saucisse sans saucisse ! »
Hors ligne
#36 Le 07/01/2014, à 16:24
- mazarini
Re : [Résolu]lamp
Il y a l'utilisateur qui manipule les fichiers et l'utilisateur apache.
L'utilisateur qui manipule les fichiers doit avoir tous les droit dessus pour mettre à jour les scripts.
L'utilisateur apache, lui n'a besoin que de la lecture et quelques fichiers ou répertoires en écriture.
Dans le cas ou il n'y a qu'un utilisateur sur le serveur, mettre les fichiers à l'utilisateur "moi" et au groupe www-data avec les bonnes autorisations de lecture et d'écriture.
Dans le cas ou il y a plusieurs utilisateurs (et plusieurs sites), on peut mettre utilisateurN et groupe www-utilisateurN avec apache tournant avec cet utilisateur pour chaque site.
Ca permet de limiter les interférences entre sites et utilisateurs et de limiter les droits d'écriture d'apache.
Reste à savoir quels fichiers le cms a besoin d'écrire lui même. A priori un fichier de config, un fichier de sitemap, un répertoire d'upload. Pour le fichier de config, j'enlève les droits d'écriture après le paramétrage et je les remets que si j'en ai besoin.
Mon utilisateur a un accès ftp, mais que sur localhost (pour les mises à jours par apache via ftp) et je fait du sftp pour transférer mes fichiers.
S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)
Hors ligne
#37 Le 07/01/2014, à 16:26
- jplemoine
Re : [Résolu]lamp
Le problème est que j'ai monopolisé le post mais que ce n'est pas le mien...
Serait-il possible à l'un d'entre vous (car je crois avoir compris mais je ne saurais pas expliquer) de revenir au sujet du post et donner les explications à Itachi Uchiwa qui est l'auteur du post.
Merci à vous tous pour vos éclaircissements..
Ce compte ne servira plus : vous pouvez le supprimer si le coeur vous en dit...
Laissé par l'auteur pour historique.
Hors ligne
#38 Le 07/01/2014, à 16:29
- pinguinman
Re : [Résolu]lamp
bonjour j'ai mis lamp comme serveur mais quand je veux cree un fichier en php dans certe parti de l'ordinateur /var/www/test.php sa veut pas sa me montre un message d'erreur comment je dois faire pour debloquer ? car sans sa je peu pas continuer mon site
Recommençons du début.
Peut tu nous donner le message d'erreur ?
OS : Ubuntu 14.04 / Debian Weezy / Ubuntu server 12.04
Avec Linux t'as un noyau, avec windows t'as des pépins ;)
Hors ligne
#39 Le 07/01/2014, à 16:43
- Postmortem
Re : [Résolu]lamp
Si on repart du début, on voit que son répertoire /var/www appartient à root :
quand je tape test.php pour enregistre dans le var/www sa mets : Impossible d'ouvrir le fichier en écriture
ls -la /var/www
total 12
drwxr-xr-x 2 root root 4096 nov. 24 09:37 .
drwxr-xr-x 14 root root 4096 nov. 24 09:36 ..
-rw-r--r-- 1 root root 177 nov. 24 09:37 index.html
Si Itachi Uchiwa ne veut pas s'embêter avec les droits, pour créer un fichier /var/www/test.php, il suffit de faire :
sudo nano /var/www/test.php
De mettre ce qu'on veut dans le fichier et de sauvegarder.
Si nano semble trop complexe, on peut créer le fichier avec gedit :
gksudo gedit /var/www/test.php
Edit : gksudo n'étant plus forcément installé par défaut, on peut faire pour créer le fichier :
sudo -i gedit /var/www/test.php
Dernière modification par Postmortem (Le 07/01/2014, à 16:44)
Mot' a dit : « Un Hellfest sans Slayer, c'est comme une galette-saucisse sans saucisse ! »
Hors ligne
#40 Le 07/01/2014, à 17:05
- pinguinman
Re : [Résolu]lamp
Et s'il préfère modifier les droits, il peut changer le propriétaire de /var/www avec un chown -R nomdelutilisateur /var/www et modifier ses fichiers sans passer par un sudo.
OS : Ubuntu 14.04 / Debian Weezy / Ubuntu server 12.04
Avec Linux t'as un noyau, avec windows t'as des pépins ;)
Hors ligne
#41 Le 07/01/2014, à 18:10
- pires57
Re : [Résolu]lamp
je me suis mal exprimé....
Ne plus utiliser /www/var et créer le(s) répertoire(s) de travail pour le(s) développeur(s) ainsi que les liens symboliques vers /var/www.
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#42 Le 13/01/2014, à 17:18
- Itachi Uchiwa
Re : [Résolu]lamp
je veux bien mais comment fait on pour changer les droit pour etre le proprietaire?
Et s'il préfère modifier les droits, il peut changer le propriétaire de /var/www avec un chown -R nomdelutilisateur /var/www et modifier ses fichiers sans passer par un sudo.
Hors ligne
#43 Le 13/01/2014, à 21:56
- pinguinman
Re : [Résolu]lamp
ouvre un terminal
puis tape la commande suivante.
sudo chown -R ton_nom:ton_nom /var/www
Ca te rend propriétaire du dossier et des sous-dossiers.
OS : Ubuntu 14.04 / Debian Weezy / Ubuntu server 12.04
Avec Linux t'as un noyau, avec windows t'as des pépins ;)
Hors ligne
#44 Le 14/01/2014, à 11:59
- Itachi Uchiwa
Re : [Résolu]lamp
@pinguinman sa a marcher ta ligne de commande maintenant je voualis savoir sa marche que sur se dossier? sa n'a rien touche aux autre dossier? j'ai enregistrer test.php dans le dossier var/www mais rien en localhost ces page vierge normal ou pas ?
Dernière modification par Itachi Uchiwa (Le 14/01/2014, à 12:10)
Hors ligne
#45 Le 14/01/2014, à 13:41
- pires57
Re : [Résolu]lamp
Tu as quoi dans test.php?
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#46 Le 14/01/2014, à 16:42
- Itachi Uchiwa
Re : [Résolu]lamp
<? phpinfo(); ?>
Hors ligne
#47 Le 14/01/2014, à 17:23
- pires57
Re : [Résolu]lamp
<?php
phpinfo();
?>
c'est déjà mieux comme cela,
ensuite pour l'appeler c'est
localhost/test.php
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#48 Le 14/01/2014, à 20:37
- Itachi Uchiwa
Re : [Résolu]lamp
bonne nouvelle a tous ces bon sa fonction je tenais a vous remercier a vous tous de votre participation et l'aide se sujet est maintenant Résolu
Hors ligne