Exécuter avec apache2 une appli web sous un utilisateur spécifique

Le
Olivier
--001a11336878123947052db50346
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour,

Cela peut surprendre, mais malgré beaucoup de recherches personnelles =
sur
Internet, je n'arrive pas à trouver de réponse claire à la q=
uestion
ci-après.
Auriez-vous cette réponse ?

Il m'arrive d'avoir à mettre en ligne des applications Web comme Smoke=
ping
qui produisent (créent et modifient) des fichiers sur la machine hÃ=
©bergeant
le serveur web.
J'utilise dans ce cas, Apache2 sur Jessie.

Existe-t-il un moyen simple et sûr pour configurer Apache2 de telle so=
rte
que le processus ou le sous-processus qui traite les requêtes du
sous-domaine 1, soit la propriété de l'utilisateur 1, que celui q=
ui traite
le sous-domaine 2 soit la propriété de l'utilisateur2, et ainsi d=
e suite
et le tout sans nuire à la sécurité générale d=
'Apache2

(J'espère que mon vocabulaire profane ne nuira pas trop à la comp=
réhension
de ma question).
(Ceux qui ont configuré Smokeping en mode Maitre-Esclave comprendont
facilement de quoi je parle).

Est-ce possible ?
Une suggestion ?

Slts

--001a11336878123947052db50346
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<div dir="ltr"><div><div><div>Bonjour,<br><br></div>Cela peut surprendre,=
mais malgré beaucoup de recherches personnelles sur Internet, je n&#3=
9;arrive pas à trouver de réponse claire à la question ci-ap=
rès.<br>Auriez-vous cette réponse ?<br><br></div>Il m&#39;arrive =
d&#39;avoir à mettre en ligne des applications Web comme Smokeping qui=
produisent (créent et modifient) des fichiers sur la machine héb=
ergeant le serveur web.<br></div><div>J&#39;utilise dans ce cas, Apache2 su=
r Jessie.<br><br></div><div>Existe-t-il un moyen simple et sûr pour co=
nfigurer Apache2 de telle sorte que le processus ou le sous-processus qui t=
raite les requêtes du sous-domaine 1, soit la propriété de l=
&#39;utilisateur 1, que celui qui traite le sous-domaine 2 soit la propri=
été de l&#39;utilisateur2, et ainsi de suite et le tout sans =
nuire à la sécurité générale d&#39;Apache2<br><br>=
</div><div>(J&#39;espère que mon vocabulaire profane ne nuira pas trop=
à la compréhension de ma question).<br></div><div>(Ceux qui ont =
configuré Smokeping en mode Maitre-Esclave comprendont facilement de q=
uoi je parle).<br></div><div><br></div><div>Est-ce possible ?<br></div><div=
>Une suggestion ?<br><br></div><div>Slts<br></div><div><br></div><div><br><=
/div><div><div></div></div></div>

--001a11336878123947052db50346--
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Erwan David
Le #26392165
Le 10/03/2016 18:19, Olivier a écrit :
Bonjour,

Cela peut surprendre, mais malgré beaucoup de recherches personnelles
sur Internet, je n'arrive pas à trouver de réponse claire à la
question ci-après.
Auriez-vous cette réponse ?

Il m'arrive d'avoir à mettre en ligne des applications Web comme
Smokeping qui produisent (créent et modifient) des fichiers sur la
machine hébergeant le serveur web.
J'utilise dans ce cas, Apache2 sur Jessie.

Existe-t-il un moyen simple et sûr pour configurer Apache2 de telle
sorte que le processus ou le sous-processus qui traite les requêtes du
sous-domaine 1, soit la propriété de l'utilisateur 1, que celui qui
traite le sous-domaine 2 soit la propriété de l'utilisateur2, et ainsi
de suite ... et le tout sans nuire à la sécurité générale d'Apache2

(J'espère que mon vocabulaire profane ne nuira pas trop à la
compréhension de ma question).
(Ceux qui ont configuré Smokeping en mode Maitre-Esclave comprendont
facilement de quoi je parle).

Est-ce possible ?
Une suggestion ?

Slts





Tu peux regarder le mod_suexec, qui peut-être configuré par vhost.
Mais là je préfère la méthode nginx qui redirigera la requête vers un
serveur fcgi différent tournant sous le bon user.
Frédéric MASSOT
Le #26392172
Le 10/03/2016 18:19, Olivier a écrit :
Bonjour,

Cela peut surprendre, mais malgré beaucoup de recherches personnelles
sur Internet, je n'arrive pas à trouver de réponse claire à la question
ci-après.
Auriez-vous cette réponse ?

Il m'arrive d'avoir à mettre en ligne des applications Web comme
Smokeping qui produisent (créent et modifient) des fichiers sur la
machine hébergeant le serveur web.
J'utilise dans ce cas, Apache2 sur Jessie.

Existe-t-il un moyen simple et sûr pour configurer Apache2 de telle
sorte que le processus ou le sous-processus qui traite les requêtes du
sous-domaine 1, soit la propriété de l'utilisateur 1, que celui qui
traite le sous-domaine 2 soit la propriété de l'utilisateur2, et ainsi
de suite ... et le tout sans nuire à la sécurité générale d'Apache2



Tu peux utiliser le MPM ITK pour Apache : http://mpm-itk.sesse.net

Le paquet apache2-mpm-itk :

The ITK Multi-Processing Module (MPM) works in about the same way as the
classical "prefork" module (that is, without threads), except that it
allows you to constrain each individual vhost to a particular system
user. This allows you to run several different web sites on a single
server without worrying that they will be able to read each others'
files. This is a third-party MPM that is not included in the normal
Apache httpd.

Dans la config de l'hôte virtuel tu ajoutes :

AssignUserID toto toto-group
</IfModule>



--
============================================= | FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto: |
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |
==========================Þbian=GNU/Linux===
Olivier
Le #26392231
--001a114196b438f9d6052dc259ff
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour,

1. J'imagine qu'il me faut donc installer le paquet libapache2-mpm-itk (le
paquet apache2-mpm-itk est un paquet de transition).

2. Quels sont les inconvénients de l'ajout de ce paquet ? Ce qui march ait
sans ce module, marche-t-il toujours ?

Slts

Le 10 mars 2016 à 18:28, Frédéric MASSOT a écrit :

Le 10/03/2016 18:19, Olivier a écrit :
> Bonjour,
>
> Cela peut surprendre, mais malgré beaucoup de recherches personnel les
> sur Internet, je n'arrive pas à trouver de réponse claire à   la question
> ci-après.
> Auriez-vous cette réponse ?
>
> Il m'arrive d'avoir à mettre en ligne des applications Web comme
> Smokeping qui produisent (créent et modifient) des fichiers sur la
> machine hébergeant le serveur web.
> J'utilise dans ce cas, Apache2 sur Jessie.
>
> Existe-t-il un moyen simple et sûr pour configurer Apache2 de tell e
> sorte que le processus ou le sous-processus qui traite les requête s du
> sous-domaine 1, soit la propriété de l'utilisateur 1, que cel ui qui
> traite le sous-domaine 2 soit la propriété de l'utilisateur2, et ainsi
> de suite ... et le tout sans nuire à la sécurité gé nérale d'Apache2

Tu peux utiliser le MPM ITK pour Apache : http://mpm-itk.sesse.net

Le paquet apache2-mpm-itk :

The ITK Multi-Processing Module (MPM) works in about the same way as the
classical "prefork" module (that is, without threads), except that it
allows you to constrain each individual vhost to a particular system
user. This allows you to run several different web sites on a single
server without worrying that they will be able to read each others'
files. This is a third-party MPM that is not included in the normal
Apache httpd.

Dans la config de l'hôte virtuel tu ajoutes :

AssignUserID toto toto-group
</IfModule>



--
======================== ======================
| FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto: |
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |
======================== ==Þbian=GNU/Linux===





--001a114196b438f9d6052dc259ff
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

</span><span class="">&gt; Bonjour,<br>
&gt;<br>
&gt; Cela peut surprendre, mais malgré beaucoup de recherches personne lles<br>
&gt; sur Internet, je n&#39;arrive pas à trouver de réponse clair e à la question<br>
&gt; ci-après.<br>
&gt; Auriez-vous cette réponse ?<br>
&gt;<br>
&gt; Il m&#39;arrive d&#39;avoir à mettre en ligne des applications We b comme<br>
&gt; Smokeping qui produisent (créent et modifient) des fichiers sur l a<br>
&gt; machine hébergeant le serveur web.<br>
&gt; J&#39;utilise dans ce cas, Apache2 sur Jessie.<br>
&gt;<br>
&gt; Existe-t-il un moyen simple et sûr pour configurer Apache2 de tel le<br>
&gt; sorte que le processus ou le sous-processus qui traite les requêt es du<br>
&gt; sous-domaine 1, soit la propriété de l&#39;utilisateur 1, qu e celui qui<br>
&gt; traite le sous-domaine 2 soit la propriété de l&#39;utilisat eur2, et ainsi<br>
&gt; de suite ... et le tout sans nuire à la sécurité gà ©nérale d&#39;Apache2<br>
<br>
<br>
Le paquet apache2-mpm-itk :<br>
<br>
The ITK Multi-Processing Module (MPM) works in about the same way as the<br >
classical &quot;prefork&quot; module (that is, without threads), except tha t it<br>
allows you to constrain each individual vhost to a particular system<br>
user. This  allows you to run several different web sites on a single< br>
server without  worrying that they will be able to read each others&#3 9;<br>
files. This is a third-party MPM that is not included in the normal<br>
Apache httpd.<br>
<br>
Dans la config de l&#39;hôte virtuel tu ajoutes :<br>
<br>
&lt;IfModule itk.c&gt;<br>
        AssignUserID toto toto-group<br>
&lt;/IfModule&gt;<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
--<br>
========================= =====================<br>
|              FRÉDÉRIC MASSOT                |<br>
|      |   mailto: | ========================= =Þbian=GNU/Linux===<br>
<br>
</font></span></blockquote></div><br></div>

--001a114196b438f9d6052dc259ff--
Frédéric MASSOT
Le #26392551
Le 11/03/2016 10:13, Olivier a écrit :
Bonjour,

1. J'imagine qu'il me faut donc installer le paquet libapache2-mpm-itk
(le paquet apache2-mpm-itk est un paquet de transition).



Oui, ça dépends de la version de Debian que tu utilises.


2. Quels sont les inconvénients de l'ajout de ce paquet ? Ce qui
marchait sans ce module, marche-t-il toujours ?



Si tu utilisais le MPM prefork ça ne change rien, tu as juste à ajouter
le bloc ci-dessous dans les vhosts pour choisir ton utilisateur :

AssignUserId www-data www-data
</IfModule>



--
============================================= | FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto: |
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |
==========================Þbian=GNU/Linux===
Publicité
Poster une réponse
Anonyme