Proftpd : faire passer un utilisateur pour www-data

Le
Grégory Bulot
Bonjour,


je souhaiterais utiliser un compte d'un vrai utilisateur (présent
dans /etc/passwd) pour www-data lorsqu'il transfert des fichiers sur le
serveur.

en lisant
http://proftpd.org/localsite/Userguide/linked/ref-directives.html
j'ai essayé la combinaison suivante (qui me semble pertinente)

DefaultRoot ~
<Directory ~MonUserftp>
DirFakeUser on www-data
DirFakeGroup on www-data
UserOwner www-data
GroupOwner www-data
</Directory>

Mais
- Les fichiers créés reste sous l'identité MonUserftp
- Les logs du serveur affiche ceci :
USER MonUserftp: Login successful.
chown(/fichier.test) as root failed: Opération non permise


J'ai vu qu'il fallait ajouter ceci :
<IfModule mod_cap.c>
# Allow root to use chown(2)
CapabilitiesSet -CAP_CHOWN
</IfModule>
Mais cela ne change rien (je redémarre le serveur ftp entre chaque
modifs)

Avez-vous des idées ?




--
Cordialement
Grégory BULOT

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20111025162032.4705a938@bulot-fr.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Yves F. Barbier
Le #23903001
On Tue, 25 Oct 2011 16:20:32 +0200
Grégory Bulot
je souhaiterais utiliser un compte d'un vrai utilisateur (présent
dans /etc/passwd) pour www-data lorsqu'il transfert des fichiers sur le
serveur.



Histoire de voir si j'ai bien compris je reformule:
ton svr http fonctionne en www-data:www-data
et tu veux lui uploader de nouveaux fichiers à servir avec MonUserFtp
fichiers qui doivent pouvoir être lûs par www-data?

Si c'est juste cela, il suffit de:

1- Changer les droits du DIR recevant les données:
chown www-data:www-data /dir (ça devrait déjà être le cas)
chmod u+r+w+x /dir
chmod g+r+w+x+s /dir
(soit: 42770)

2- Ajouter MonUserFtp à www-data:
adduser monuserftp www-data

3- Vérifier que tout va bien:
su - monuserftp
touch /dir/monfichierquecestuntest
ls -al /dir
-rw-r--r-- 1 monuserftp www-data 0 oct. 25 17:03 monfichierquec estuntest

--
A fail-safe circuit will destroy others.
-- Klipstein

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Grégory Bulot
Le #23903761
Bonjour, Bonsoir,

Le Tue, 25 Oct 2011 17:15:18 +0200, Jean-Yves F. Barbier, vous avez
écrit :

On Tue, 25 Oct 2011 16:20:32 +0200
Grégory Bulot
> je souhaiterais utiliser un compte d'un vrai utilisateur (présent
> dans /etc/passwd) pour www-data lorsqu'il transfert des fichiers
> sur le serveur.

Histoire de voir si j'ai bien compris je reformule:
ton svr http fonctionne en www-data:www-data
et tu veux lui uploader de nouveaux fichiers à servir avec MonUserFtp
fichiers qui doivent pouvoir être lûs par www-data?



+ modifiés : je ne connais pas l'outil qui sera mis en place (boutique
en ligne), mais j'imagine bien ajoute d'images avec génération de
vignettes

1- Changer les droits du DIR recevant les données:
chown www-data:www-data /dir (ça devrait déjà être le cas)
chmod u+r+w+x /dir
chmod g+r+w+x+s /dir
(soit: 42770)



Effectivement je n'ai pas cherché du côte des droits spéciaux


2- Ajouter MonUserFtp à www-data:
adduser monuserftp www-data



bon, j'avais déjà fait ça, tout n'est pas perdu :-D


3- Vérifier que tout va bien:
su - monuserftp
touch /dir/monfichierquecestuntest
ls -al /dir
-rw-r--r-- 1 monuserftp www-data 0 oct. 25 17:03
monfichierquecestuntest



Je teste demain, merci pour cette piste alternative. [n'empêche ce truc
avec proftp ça me perturbe :-p ]



--
Cordialement
Grégory BULOT

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #23903911
On Tue, 25 Oct 2011 19:58:44 +0200
Grégory Bulot
Bonjour, Bonsoir,



Bonjoir,

...
> Histoire de voir si j'ai bien compris je reformule:
> ton svr http fonctionne en www-data:www-data
> et tu veux lui uploader de nouveaux fichiers à servir avec MonUser Ftp
> fichiers qui doivent pouvoir être lûs par www-data?

+ modifiés : je ne connais pas l'outil qui sera mis en place (boutiq ue
en ligne), mais j'imagine bien ajoute d'images avec génératio n de
vignettes



ça ne pose aucun PB puisque le owner des fichiers reste le user ftp et que
les fichiers héritent du umask standard (622), seul le group change ve rs
www-data.

On a donc la combinaison (en soi:) recherchée:
user ftp peut R/W les fichiers,
www-data peut juste les lire.

Ca a aussi un effet de bord inattendu et pratique, à savoir que mà ªme si le
svr http est compromis, le malfaisant ne peut pas toucher aux fichiers
sans obtenir les droits du user ftp, ce qui est quasiment impossible à
moins d'avoir simultanément une faille dans le svr et une autre dans le
kernel ou le pgm de login.

...
Je teste demain, merci pour cette piste alternative. [n'empêche ce t ruc
avec proftp ça me perturbe :-p ]



ça ne devrait pas, il faut être feignant et faire le plus simple possible;
et si utiliser cette solution fonctionne bien, il n'y a aucune raison
d'aller rechercher une solution plus alambiquée qui risque de poser
d'autres PBs.

Par contre, si ça ne marche pas du 1er coup ça voudra dire que le s options
ajoutées dans apache collisionnent avec les nouveaux droits du DIR et qu'il
faudra les virer de la conf (de toute façon, il faudra les virer puisq u'elles
ne servent plus à rien).

--
A clever prophet makes sure of the event first.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Grégory Bulot
Le #23905471
Bonjour, Bonsoir,

Le Tue, 25 Oct 2011 17:15:18 +0200, Jean-Yves F. Barbier, vous avez
écrit :

Histoire de voir si j'ai bien compris je reformule:
ton svr http fonctionne en www-data:www-data
et tu veux lui uploader de nouveaux fichiers à servir avec MonUserFtp
fichiers qui doivent pouvoir être lûs par www-data?

Si c'est juste cela, il suffit de:

1- Changer les droits du DIR recevant les données:
2- Ajouter MonUserFtp à www-data:
3- Vérifier que tout va bien:



ça roule



--
Cordialement
Grégory BULOT

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme