Je me posais une question, je parle ici d'un cas théorique.
- On est sur une machine debian, et plusieurs personnes ont un accès
ssh, et donc un compte sur la machine.
- Apache est installé, et contient pas mal de VirtualHost pour des sites
différents, et les utilisateurs disposent en plus d'un dossier
~/public_html.
Alors voila:
- Lorsqu'un utilisateur ajoute un fichier dans son public_html, il doit
lui donner les droits "o+r", pour que l'utilisateur www-data puisse lire
son fichier.
- Pareil pour les dossier contenants les VirtualHost, soit les fichiers
appartiennent à l'utilisateur www-data, soit ils ont des droits de
lecture pour tout le monde.
Dans ce cas:
N'importe qu'elle utilisateur de la machine, en faisant simplement, par
exemple, un 'find / -name config.php', pourrait voir les fichiers de
config php (et donc les accès au BDD) de beaucoup d'autres utilisateurs
ou de sites web.
Question: Comment un utilisateur peut être sur qu'un fichier puisse être
lu par apache, et par PERSONNE D'AUTRE?
Merci d'avance,
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
- Lorsqu'un utilisateur ajoute un fichier dans son public_html, il doit lui donner les droits "o+r", pour que l'utilisateur www-data puisse lire son fichier.
[...]
Question: Comment un utilisateur peut être sur qu'un fichier puisse être lu par apache, et par PERSONNE D'AUTRE?
Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul g+r suffit. Dans l'autre sens (ajouter le groupe www-data aux utilisateurs), je suspecte une faille (donner plus de de droits aux utilisateurs n'est pas forcément une bonne idée).
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Merwin a écrit :
Bonjour,
Bonjour,
- Lorsqu'un utilisateur ajoute un fichier dans son public_html, il doit
lui donner les droits "o+r", pour que l'utilisateur www-data puisse lire
son fichier.
[...]
Question: Comment un utilisateur peut être sur qu'un fichier puisse être
lu par apache, et par PERSONNE D'AUTRE?
Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul
g+r suffit. Dans l'autre sens (ajouter le groupe www-data aux
utilisateurs), je suspecte une faille (donner plus de de droits aux
utilisateurs n'est pas forcément une bonne idée).
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
- Lorsqu'un utilisateur ajoute un fichier dans son public_html, il doit lui donner les droits "o+r", pour que l'utilisateur www-data puisse lire son fichier.
[...]
Question: Comment un utilisateur peut être sur qu'un fichier puisse être lu par apache, et par PERSONNE D'AUTRE?
Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul g+r suffit. Dans l'autre sens (ajouter le groupe www-data aux utilisateurs), je suspecte une faille (donner plus de de droits aux utilisateurs n'est pas forcément une bonne idée).
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Dominique Asselineau
Jean-Damien Durand wrote on Sat, Oct 24, 2009 at 07:01:01PM +0200
Le samedi 24 octobre 2009 18:41:00, Merwin a écrit : > Question: Comment un utilisateur peut être sur qu'un fichier puisse être > lu par apache, et par PERSONNE D'AUTRE?
Avec des ACLs ?
Ça marche à condition que les scripts et autres codes PHP appartenant à d'autres utilisateurs, ne tournent pas sous le même uid. Sinon voir avec suexec pour Apache.
Dominique --
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Jean-Damien Durand wrote on Sat, Oct 24, 2009 at 07:01:01PM +0200
Le samedi 24 octobre 2009 18:41:00, Merwin a écrit :
> Question: Comment un utilisateur peut être sur qu'un fichier puisse être
> lu par apache, et par PERSONNE D'AUTRE?
Avec des ACLs ?
Ça marche à condition que les scripts et autres codes PHP appartenant
à d'autres utilisateurs, ne tournent pas sous le même uid. Sinon voir
avec suexec pour Apache.
Dominique
--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Jean-Damien Durand wrote on Sat, Oct 24, 2009 at 07:01:01PM +0200
Le samedi 24 octobre 2009 18:41:00, Merwin a écrit : > Question: Comment un utilisateur peut être sur qu'un fichier puisse être > lu par apache, et par PERSONNE D'AUTRE?
Avec des ACLs ?
Ça marche à condition que les scripts et autres codes PHP appartenant à d'autres utilisateurs, ne tournent pas sous le même uid. Sinon voir avec suexec pour Apache.
Dominique --
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Dominique Asselineau
David Prévot wrote on Sat, Oct 24, 2009 at 01:02:29PM -0400
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Merwin a écrit : > Bonjour,
Bonjour,
> - Lorsqu'un utilisateur ajoute un fichier dans son public_html, il doit > lui donner les droits "o+r", pour que l'utilisateur www-data puisse lire > son fichier.
[...]
> Question: Comment un utilisateur peut être sur qu'un fichier puisse être > lu par apache, et par PERSONNE D'AUTRE?
Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul g+r suffit.
Via Apache, les autres utilisateurs pourraient lire le fichier.
dominique --
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
David Prévot wrote on Sat, Oct 24, 2009 at 01:02:29PM -0400
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Merwin a écrit :
> Bonjour,
Bonjour,
> - Lorsqu'un utilisateur ajoute un fichier dans son public_html, il doit
> lui donner les droits "o+r", pour que l'utilisateur www-data puisse lire
> son fichier.
[...]
> Question: Comment un utilisateur peut être sur qu'un fichier puisse être
> lu par apache, et par PERSONNE D'AUTRE?
Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul
g+r suffit.
Via Apache, les autres utilisateurs pourraient lire le fichier.
dominique
--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
David Prévot wrote on Sat, Oct 24, 2009 at 01:02:29PM -0400
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Merwin a écrit : > Bonjour,
Bonjour,
> - Lorsqu'un utilisateur ajoute un fichier dans son public_html, il doit > lui donner les droits "o+r", pour que l'utilisateur www-data puisse lire > son fichier.
[...]
> Question: Comment un utilisateur peut être sur qu'un fichier puisse être > lu par apache, et par PERSONNE D'AUTRE?
Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul g+r suffit.
Via Apache, les autres utilisateurs pourraient lire le fichier.
dominique --
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
David Prévot
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Dominique Asselineau a écrit :
Merwin a écrit :
Question: Comment un utilisateur peut être sur qu'un fichier puisse être lu par apache, et par PERSONNE D'AUTRE?
Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul g+r suffit.
Via Apache, les autres utilisateurs pourraient lire le fichier.
Je ne comprends pas, tu peux développer s'il te plaît (seul root peut lancer apache2 et les processus fils appartiennent à www-data) ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Dominique Asselineau a écrit :
Merwin a écrit :
Question: Comment un utilisateur peut être sur qu'un fichier puisse être
lu par apache, et par PERSONNE D'AUTRE?
Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul
g+r suffit.
Via Apache, les autres utilisateurs pourraient lire le fichier.
Je ne comprends pas, tu peux développer s'il te plaît (seul root peut
lancer apache2 et les processus fils appartiennent à www-data) ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Merwin
Le samedi 24 octobre 2009 à 19:01 +0200, Jean-Damien Durand a écrit :
Le samedi 24 octobre 2009 18:41:00, Merwin a écrit : > Question: Comment un utilisateur peut être sur qu'un fichier puisse être > lu par apache, et par PERSONNE D'AUTRE?
Avec des ACLs ? Pas testé mais ca a l'air ok (mieux que jouer avec des chmod ou setgid en tout cas -;)
Ça semble correspondre pile poil à ce que je recherche, merci bien, je ne connaissais pas du tout !
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Le samedi 24 octobre 2009 à 19:01 +0200, Jean-Damien Durand a écrit :
Le samedi 24 octobre 2009 18:41:00, Merwin a écrit :
> Question: Comment un utilisateur peut être sur qu'un fichier puisse être
> lu par apache, et par PERSONNE D'AUTRE?
Avec des ACLs ? Pas testé mais ca a l'air ok (mieux que jouer avec des chmod
ou setgid en tout cas -;)
Ça semble correspondre pile poil à ce que je recherche, merci bien, je
ne connaissais pas du tout !
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Le samedi 24 octobre 2009 à 19:01 +0200, Jean-Damien Durand a écrit :
Le samedi 24 octobre 2009 18:41:00, Merwin a écrit : > Question: Comment un utilisateur peut être sur qu'un fichier puisse être > lu par apache, et par PERSONNE D'AUTRE?
Avec des ACLs ? Pas testé mais ca a l'air ok (mieux que jouer avec des chmod ou setgid en tout cas -;)
Ça semble correspondre pile poil à ce que je recherche, merci bien, je ne connaissais pas du tout !
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Dominique Asselineau
David Prévot wrote on Sat, Oct 24, 2009 at 02:30:11PM -0400
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Dominique Asselineau a écrit : >> Merwin a écrit : >>> Question: Comment un utilisateur peut être sur qu'un fichier puisse être >>> lu par apache, et par PERSONNE D'AUTRE?
>> Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul >> g+r suffit. > > Via Apache, les autres utilisateurs pourraient lire le fichier.
Je ne comprends pas, tu peux développer s'il te plaît (seul root peut lancer apache2 et les processus fils appartiennent à www-data) ?
Si tous les services sont sous le contrôle de l'admin., la solution que tu préconises ainsi que celle des ACL citée par ailleurs, sont bonnes.
Maintenant si le serveur exécute du PHP (ou autres) inséré dans des pages de différents utilisateurs, du fait que tous ces scripts tournent sous le même uid www-data, ils ont de facto les permissions de cet uid et en particulier la permission de lire ce que www-data peut lire.
Cordialement.
Dominique
--
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
David Prévot wrote on Sat, Oct 24, 2009 at 02:30:11PM -0400
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Dominique Asselineau a écrit :
>> Merwin a écrit :
>>> Question: Comment un utilisateur peut être sur qu'un fichier puisse être
>>> lu par apache, et par PERSONNE D'AUTRE?
>> Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul
>> g+r suffit.
>
> Via Apache, les autres utilisateurs pourraient lire le fichier.
Je ne comprends pas, tu peux développer s'il te plaît (seul root peut
lancer apache2 et les processus fils appartiennent à www-data) ?
Si tous les services sont sous le contrôle de l'admin., la solution
que tu préconises ainsi que celle des ACL citée par ailleurs, sont
bonnes.
Maintenant si le serveur exécute du PHP (ou autres) inséré dans des
pages de différents utilisateurs, du fait que tous ces scripts
tournent sous le même uid www-data, ils ont de facto les permissions
de cet uid et en particulier la permission de lire ce que www-data
peut lire.
Cordialement.
Dominique
--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
David Prévot wrote on Sat, Oct 24, 2009 at 02:30:11PM -0400
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Dominique Asselineau a écrit : >> Merwin a écrit : >>> Question: Comment un utilisateur peut être sur qu'un fichier puisse être >>> lu par apache, et par PERSONNE D'AUTRE?
>> Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul >> g+r suffit. > > Via Apache, les autres utilisateurs pourraient lire le fichier.
Je ne comprends pas, tu peux développer s'il te plaît (seul root peut lancer apache2 et les processus fils appartiennent à www-data) ?
Si tous les services sont sous le contrôle de l'admin., la solution que tu préconises ainsi que celle des ACL citée par ailleurs, sont bonnes.
Maintenant si le serveur exécute du PHP (ou autres) inséré dans des pages de différents utilisateurs, du fait que tous ces scripts tournent sous le même uid www-data, ils ont de facto les permissions de cet uid et en particulier la permission de lire ce que www-data peut lire.
Cordialement.
Dominique
--
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Merwin
Le dimanche 25 octobre 2009 à 09:59 +0100, Dominique Asselineau a écrit :
David Prévot wrote on Sat, Oct 24, 2009 at 02:30:11PM -0400 > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Dominique Asselineau a écrit : > >> Merwin a écrit : > >>> Question: Comment un utilisateur peut être sur qu'un fichier puisse être > >>> lu par apache, et par PERSONNE D'AUTRE? > > >> Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul > >> g+r suffit. > > > > Via Apache, les autres utilisateurs pourraient lire le fichier. > > Je ne comprends pas, tu peux développer s'il te plaît (seul root peut > lancer apache2 et les processus fils appartiennent à www-data) ?
Si tous les services sont sous le contrôle de l'admin., la solution que tu préconises ainsi que celle des ACL citée par ailleurs, sont bonnes.
Maintenant si le serveur exécute du PHP (ou autres) inséré dans des pages de différents utilisateurs, du fait que tous ces scripts tournent sous le même uid www-data, ils ont de facto les permissions de cet uid et en particulier la permission de lire ce que www-data peut lire.
Cordialement.
Dominique
--
Je pense qu'on peut coupler les ACL avec la propriété open_basedir de PHP définie différement pour chaque VHost non?
Je ne sais pas si PHP comprendre ~/public_html/ dans open_basedir, mais si c'est le cas serait super !
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Le dimanche 25 octobre 2009 à 09:59 +0100, Dominique Asselineau a
écrit :
David Prévot wrote on Sat, Oct 24, 2009 at 02:30:11PM -0400
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Dominique Asselineau a écrit :
> >> Merwin a écrit :
> >>> Question: Comment un utilisateur peut être sur qu'un fichier puisse être
> >>> lu par apache, et par PERSONNE D'AUTRE?
>
> >> Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul
> >> g+r suffit.
> >
> > Via Apache, les autres utilisateurs pourraient lire le fichier.
>
> Je ne comprends pas, tu peux développer s'il te plaît (seul root peut
> lancer apache2 et les processus fils appartiennent à www-data) ?
Si tous les services sont sous le contrôle de l'admin., la solution
que tu préconises ainsi que celle des ACL citée par ailleurs, sont
bonnes.
Maintenant si le serveur exécute du PHP (ou autres) inséré dans des
pages de différents utilisateurs, du fait que tous ces scripts
tournent sous le même uid www-data, ils ont de facto les permissions
de cet uid et en particulier la permission de lire ce que www-data
peut lire.
Cordialement.
Dominique
--
Je pense qu'on peut coupler les ACL avec la propriété open_basedir de
PHP définie différement pour chaque VHost non?
Je ne sais pas si PHP comprendre ~/public_html/ dans open_basedir, mais
si c'est le cas serait super !
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Le dimanche 25 octobre 2009 à 09:59 +0100, Dominique Asselineau a écrit :
David Prévot wrote on Sat, Oct 24, 2009 at 02:30:11PM -0400 > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Dominique Asselineau a écrit : > >> Merwin a écrit : > >>> Question: Comment un utilisateur peut être sur qu'un fichier puisse être > >>> lu par apache, et par PERSONNE D'AUTRE? > > >> Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul > >> g+r suffit. > > > > Via Apache, les autres utilisateurs pourraient lire le fichier. > > Je ne comprends pas, tu peux développer s'il te plaît (seul root peut > lancer apache2 et les processus fils appartiennent à www-data) ?
Si tous les services sont sous le contrôle de l'admin., la solution que tu préconises ainsi que celle des ACL citée par ailleurs, sont bonnes.
Maintenant si le serveur exécute du PHP (ou autres) inséré dans des pages de différents utilisateurs, du fait que tous ces scripts tournent sous le même uid www-data, ils ont de facto les permissions de cet uid et en particulier la permission de lire ce que www-data peut lire.
Cordialement.
Dominique
--
Je pense qu'on peut coupler les ACL avec la propriété open_basedir de PHP définie différement pour chaque VHost non?
Je ne sais pas si PHP comprendre ~/public_html/ dans open_basedir, mais si c'est le cas serait super !
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Dominique Asselineau
Merwin wrote on Sun, Oct 25, 2009 at 10:32:04AM +0100
Le dimanche 25 octobre 2009 à 09:59 +0100, Dominique Asselineau a écrit : > David Prévot wrote on Sat, Oct 24, 2009 at 02:30:11PM -0400 > > -----BEGIN PGP SIGNED MESSAGE----- > > Hash: SHA1 > > > > Dominique Asselineau a écrit : > > >> Merwin a écrit : > > >>> Question: Comment un utilisateur peut être sur qu'un fichier puisse être > > >>> lu par apache, et par PERSONNE D'AUTRE? > > > > >> Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul > > >> g+r suffit. > > > > > > Via Apache, les autres utilisateurs pourraient lire le fichier. > > > > Je ne comprends pas, tu peux développer s'il te plaît (seul root peut > > lancer apache2 et les processus fils appartiennent à www-data) ? > > Si tous les services sont sous le contrôle de l'admin., la solution > que tu préconises ainsi que celle des ACL citée par ailleurs, sont > bonnes. > > Maintenant si le serveur exécute du PHP (ou autres) inséré dans des > pages de différents utilisateurs, du fait que tous ces scripts > tournent sous le même uid www-data, ils ont de facto les permissions > de cet uid et en particulier la permission de lire ce que www-data > peut lire. > > Cordialement. > > Dominique > > -- >
Je pense qu'on peut coupler les ACL avec la propriété open_basedir de PHP définie différement pour chaque VHost non?
Possible, je ne suis pas vraiment adepte de PHP, et puis ça ne résoudrait pas le problème pour les autres méthodes de scripting (Python, Perl...). Je préférerais résoudre ce cas en faisant intervenir uniquement les permissions du système et celles d'Apache. Tu parles de VHOST, s'il y as un VHOST par utilisateur, alors il est possible de définir des User/Group au niveau de chaque virtual host.
Dominique --
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Merwin wrote on Sun, Oct 25, 2009 at 10:32:04AM +0100
Le dimanche 25 octobre 2009 à 09:59 +0100, Dominique Asselineau a
écrit :
> David Prévot wrote on Sat, Oct 24, 2009 at 02:30:11PM -0400
> > -----BEGIN PGP SIGNED MESSAGE-----
> > Hash: SHA1
> >
> > Dominique Asselineau a écrit :
> > >> Merwin a écrit :
> > >>> Question: Comment un utilisateur peut être sur qu'un fichier puisse être
> > >>> lu par apache, et par PERSONNE D'AUTRE?
> >
> > >> Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul
> > >> g+r suffit.
> > >
> > > Via Apache, les autres utilisateurs pourraient lire le fichier.
> >
> > Je ne comprends pas, tu peux développer s'il te plaît (seul root peut
> > lancer apache2 et les processus fils appartiennent à www-data) ?
>
> Si tous les services sont sous le contrôle de l'admin., la solution
> que tu préconises ainsi que celle des ACL citée par ailleurs, sont
> bonnes.
>
> Maintenant si le serveur exécute du PHP (ou autres) inséré dans des
> pages de différents utilisateurs, du fait que tous ces scripts
> tournent sous le même uid www-data, ils ont de facto les permissions
> de cet uid et en particulier la permission de lire ce que www-data
> peut lire.
>
> Cordialement.
>
> Dominique
>
> --
>
Je pense qu'on peut coupler les ACL avec la propriété open_basedir de
PHP définie différement pour chaque VHost non?
Possible, je ne suis pas vraiment adepte de PHP, et puis ça ne
résoudrait pas le problème pour les autres méthodes de scripting
(Python, Perl...). Je préférerais résoudre ce cas en faisant
intervenir uniquement les permissions du système et celles d'Apache.
Tu parles de VHOST, s'il y as un VHOST par utilisateur, alors il est
possible de définir des User/Group au niveau de chaque virtual host.
Dominique
--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Merwin wrote on Sun, Oct 25, 2009 at 10:32:04AM +0100
Le dimanche 25 octobre 2009 à 09:59 +0100, Dominique Asselineau a écrit : > David Prévot wrote on Sat, Oct 24, 2009 at 02:30:11PM -0400 > > -----BEGIN PGP SIGNED MESSAGE----- > > Hash: SHA1 > > > > Dominique Asselineau a écrit : > > >> Merwin a écrit : > > >>> Question: Comment un utilisateur peut être sur qu'un fichier puisse être > > >>> lu par apache, et par PERSONNE D'AUTRE? > > > > >> Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul > > >> g+r suffit. > > > > > > Via Apache, les autres utilisateurs pourraient lire le fichier. > > > > Je ne comprends pas, tu peux développer s'il te plaît (seul root peut > > lancer apache2 et les processus fils appartiennent à www-data) ? > > Si tous les services sont sous le contrôle de l'admin., la solution > que tu préconises ainsi que celle des ACL citée par ailleurs, sont > bonnes. > > Maintenant si le serveur exécute du PHP (ou autres) inséré dans des > pages de différents utilisateurs, du fait que tous ces scripts > tournent sous le même uid www-data, ils ont de facto les permissions > de cet uid et en particulier la permission de lire ce que www-data > peut lire. > > Cordialement. > > Dominique > > -- >
Je pense qu'on peut coupler les ACL avec la propriété open_basedir de PHP définie différement pour chaque VHost non?
Possible, je ne suis pas vraiment adepte de PHP, et puis ça ne résoudrait pas le problème pour les autres méthodes de scripting (Python, Perl...). Je préférerais résoudre ce cas en faisant intervenir uniquement les permissions du système et celles d'Apache. Tu parles de VHOST, s'il y as un VHOST par utilisateur, alors il est possible de définir des User/Group au niveau de chaque virtual host.
Dominique --
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Merwin
Le dimanche 25 octobre 2009 à 16:47 +0100, Dominique Asselineau a écrit :
Merwin wrote on Sun, Oct 25, 2009 at 10:32:04AM +0100 > Le dimanche 25 octobre 2009 à 09:59 +0100, Dominique Asselineau a > écrit : > > David Prévot wrote on Sat, Oct 24, 2009 at 02:30:11PM -0400 > > > -----BEGIN PGP SIGNED MESSAGE----- > > > Hash: SHA1 > > > > > > Dominique Asselineau a écrit : > > > >> Merwin a écrit : > > > >>> Question: Comment un utilisateur peut être sur qu'un fichier puisse être > > > >>> lu par apache, et par PERSONNE D'AUTRE? > > > > > > >> Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul > > > >> g+r suffit. > > > > > > > > Via Apache, les autres utilisateurs pourraient lire le fichier. > > > > > > Je ne comprends pas, tu peux développer s'il te plaît (seul root peut > > > lancer apache2 et les processus fils appartiennent à www-data) ? > > > > Si tous les services sont sous le contrôle de l'admin., la solution > > que tu préconises ainsi que celle des ACL citée par ailleurs, sont > > bonnes. > > > > Maintenant si le serveur exécute du PHP (ou autres) inséré dans des > > pages de différents utilisateurs, du fait que tous ces scripts > > tournent sous le même uid www-data, ils ont de facto les permissions > > de cet uid et en particulier la permission de lire ce que www-data > > peut lire. > > > > Cordialement. > > > > Dominique > > > > -- > > > > Je pense qu'on peut coupler les ACL avec la propriété open_basedir de > PHP définie différement pour chaque VHost non?
Possible, je ne suis pas vraiment adepte de PHP, et puis ça ne résoudrait pas le problème pour les autres méthodes de scripting (Python, Perl...). Je préférerais résoudre ce cas en faisant intervenir uniquement les permissions du système et celles d'Apache. Tu parles de VHOST, s'il y as un VHOST par utilisateur, alors il est possible de définir des User/Group au niveau de chaque virtual host.
Dominique --
Je suis curieux d'en savoir plus à ce sujet, si tu pouvais détailler un peu merci ! C'est dans la config d'apache donc?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Le dimanche 25 octobre 2009 à 16:47 +0100, Dominique Asselineau a
écrit :
Merwin wrote on Sun, Oct 25, 2009 at 10:32:04AM +0100
> Le dimanche 25 octobre 2009 à 09:59 +0100, Dominique Asselineau a
> écrit :
> > David Prévot wrote on Sat, Oct 24, 2009 at 02:30:11PM -0400
> > > -----BEGIN PGP SIGNED MESSAGE-----
> > > Hash: SHA1
> > >
> > > Dominique Asselineau a écrit :
> > > >> Merwin a écrit :
> > > >>> Question: Comment un utilisateur peut être sur qu'un fichier puisse être
> > > >>> lu par apache, et par PERSONNE D'AUTRE?
> > >
> > > >> Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul
> > > >> g+r suffit.
> > > >
> > > > Via Apache, les autres utilisateurs pourraient lire le fichier.
> > >
> > > Je ne comprends pas, tu peux développer s'il te plaît (seul root peut
> > > lancer apache2 et les processus fils appartiennent à www-data) ?
> >
> > Si tous les services sont sous le contrôle de l'admin., la solution
> > que tu préconises ainsi que celle des ACL citée par ailleurs, sont
> > bonnes.
> >
> > Maintenant si le serveur exécute du PHP (ou autres) inséré dans des
> > pages de différents utilisateurs, du fait que tous ces scripts
> > tournent sous le même uid www-data, ils ont de facto les permissions
> > de cet uid et en particulier la permission de lire ce que www-data
> > peut lire.
> >
> > Cordialement.
> >
> > Dominique
> >
> > --
> >
>
> Je pense qu'on peut coupler les ACL avec la propriété open_basedir de
> PHP définie différement pour chaque VHost non?
Possible, je ne suis pas vraiment adepte de PHP, et puis ça ne
résoudrait pas le problème pour les autres méthodes de scripting
(Python, Perl...). Je préférerais résoudre ce cas en faisant
intervenir uniquement les permissions du système et celles d'Apache.
Tu parles de VHOST, s'il y as un VHOST par utilisateur, alors il est
possible de définir des User/Group au niveau de chaque virtual host.
Dominique
--
Je suis curieux d'en savoir plus à ce sujet, si tu pouvais détailler un
peu merci ! C'est dans la config d'apache donc?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Le dimanche 25 octobre 2009 à 16:47 +0100, Dominique Asselineau a écrit :
Merwin wrote on Sun, Oct 25, 2009 at 10:32:04AM +0100 > Le dimanche 25 octobre 2009 à 09:59 +0100, Dominique Asselineau a > écrit : > > David Prévot wrote on Sat, Oct 24, 2009 at 02:30:11PM -0400 > > > -----BEGIN PGP SIGNED MESSAGE----- > > > Hash: SHA1 > > > > > > Dominique Asselineau a écrit : > > > >> Merwin a écrit : > > > >>> Question: Comment un utilisateur peut être sur qu'un fichier puisse être > > > >>> lu par apache, et par PERSONNE D'AUTRE? > > > > > > >> Ajouter le groupe de tes utilisateurs à l'utilisateur www-data : seul > > > >> g+r suffit. > > > > > > > > Via Apache, les autres utilisateurs pourraient lire le fichier. > > > > > > Je ne comprends pas, tu peux développer s'il te plaît (seul root peut > > > lancer apache2 et les processus fils appartiennent à www-data) ? > > > > Si tous les services sont sous le contrôle de l'admin., la solution > > que tu préconises ainsi que celle des ACL citée par ailleurs, sont > > bonnes. > > > > Maintenant si le serveur exécute du PHP (ou autres) inséré dans des > > pages de différents utilisateurs, du fait que tous ces scripts > > tournent sous le même uid www-data, ils ont de facto les permissions > > de cet uid et en particulier la permission de lire ce que www-data > > peut lire. > > > > Cordialement. > > > > Dominique > > > > -- > > > > Je pense qu'on peut coupler les ACL avec la propriété open_basedir de > PHP définie différement pour chaque VHost non?
Possible, je ne suis pas vraiment adepte de PHP, et puis ça ne résoudrait pas le problème pour les autres méthodes de scripting (Python, Perl...). Je préférerais résoudre ce cas en faisant intervenir uniquement les permissions du système et celles d'Apache. Tu parles de VHOST, s'il y as un VHOST par utilisateur, alors il est possible de définir des User/Group au niveau de chaque virtual host.
Dominique --
Je suis curieux d'en savoir plus à ce sujet, si tu pouvais détailler un peu merci ! C'est dans la config d'apache donc?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
