utilisation de proftpd avec apache

Le
Thierry B
Bonjour,

J'ai crée un virtual host pour ma soeur, pour qu'elle puisse héberger
queqlques fichiers, mais elle voulait pouvoir eventuellement modifier
ces fichiers.

J'ai donc décidé de lui associer, son repertoire où je stockais ses
fichiers (/var/www/virtual_host) avec un compte ftp.

Comme j'utilise proftpd, et que dans mon fichier d'authentification
ftpd.passwd, j'utilise toujours /var/ftp comme répertoire racine, j'ai
donc fait en sorte que /var/www/virtual_host soit bindé sur son compte
donc avec /var/ftp/compte.

Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce
répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas
grave si on a un repertoire dans /var/www qui n'appartient plus à
www-data:www-data?

C'est le seul VH dans ce cas, car pour les autres, je n'ai encore jamais
eu besoin d'autoriser les modifications par ftp.

Merci :-)


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Gilles Mocellin
Le #9552201
--nextPart5085323.Ly3bZi2nlp
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit :
Bonjour,


[...]
Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce
répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas
grave si on a un repertoire dans /var/www qui n'appartient plus à
www-data:www-data?



Pour moi, c'est plutôt anormal qu'un répertoire d'application web puiss e être
modifié par le compte du process serveur Web !
Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut
facilement mettre à jour ton site et donc lui mettre des virus, vers ou
backdors... Ou s'en servir pour hébergé des fichiers illicites...

Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions, uplo ad
d'images...) le propriétaire c'est root.

--nextPart5085323.Ly3bZi2nlp
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQBGWtIRDltnDmLJYdARAtLzAJ0QJBU4pLE9nghQtdGUNXolanv8VQCgnwcd
zPfPuJi+yihfaN3mz/1CTzo æGY
-----END PGP SIGNATURE-----

--nextPart5085323.Ly3bZi2nlp--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
fra-duf-no-spam
Le #9552151
Le 13661ième jour après Epoch,
Thierry B. écrivait:

Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce
répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n' est pas
grave si on a un repertoire dans /var/www qui n'appartient plus à
www-data:www-data?



Tant que ces données sont lisibles par le www-data en question, ç a ne
devrait pas poser de soucis.

Perso, pour les sites que j'héberge de ce type, soit je fais un lien
du genre /var/www/lesite -> /home/lesite/WWW soit je mets
/var/www/lesite en HOME de l'utilissateur. Dans les deux cas le
propriétaire des fichiers n'est pas www-data, mais le groupe l'est.
Thierry B
Le #9551751
Gilles Mocellin a écrit :
Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit :
Bonjour,


[...]
Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce
répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas
grave si on a un repertoire dans /var/www qui n'appartient plus à
www-data:www-data?



Pour moi, c'est plutôt anormal qu'un répertoire d'application web puisse être
modifié par le compte du process serveur Web !
Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut
facilement mettre à jour ton site et donc lui mettre des virus, vers ou
backdors... Ou s'en servir pour hébergé des fichiers illicites...

Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions, upload
d'images...) le propriétaire c'est root.




ha ok,

la consultation des pages par le web ne joue en rien si tout appartient
à root donc? (du moment que "other" peut lire)
C'est juste au niveau des scripts executables que ca joue?

Merci :-)


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Thierry B
Le #9551761
François TOURDE a écrit :
Le 13661ième jour après Epoch,
Thierry B. écrivait:

Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce
répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas
grave si on a un repertoire dans /var/www qui n'appartient plus à
www-data:www-data?



Tant que ces données sont lisibles par le www-data en question, ça ne
devrait pas poser de soucis.

Perso, pour les sites que j'héberge de ce type, soit je fais un lien
du genre /var/www/lesite -> /home/lesite/WWW soit je mets
/var/www/lesite en HOME de l'utilissateur. Dans les deux cas le
propriétaire des fichiers n'est pas www-data, mais le groupe l'est.




oki,

mais à quoi sert spécialement ce www-data concrètement?

Pkoi c comme ca par defaut?

Merci :-)


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
fra-duf-no-spam
Le #9551721
Le 13662ième jour après Epoch,
Thierry B. écrivait:

mais à quoi sert spécialement ce www-data concrètement?



A plein de choses. Par exemple à séparer les privilèges entr e le
serveur apache et les autres utilisateurs de la machines.

Pourquoi pas à regrouper sous un même groupe les développeur s Web
d'une machine.

Et à plein d'autres choses encore à mon avis.

Pkoi c comme ca par defaut?



Ça, il faut le demander aux mainteneurs du paquet en question.

Demande toi aussi pourquoi les users suivants existent:

daemon, bin, sys, sync, games, man, lp, mail, news, uucp, proxy,
www-data, backup, list, irc, nobody, Debian-exim, postgres, identd,
sshd, saned, gdm, mysql, fetchmail, telnetd, gpsd, statd, snmp

;)
Gilles Mocellin
Le #9551691
--nextPart2592462.xL5euWorKl
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Tuesday 29 May 2007 23:24:04 Thierry B, vous avez écrit :
Gilles Mocellin a écrit :
> Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit :
>> Bonjour,
>
> [...]
>
>> Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce
>> répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas
>> grave si on a un repertoire dans /var/www qui n'appartient plus à
>> www-data:www-data?
>
> Pour moi, c'est plutôt anormal qu'un répertoire d'application web p uisse
> être modifié par le compte du process serveur Web !
> Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut
> facilement mettre à jour ton site et donc lui mettre des virus, vers ou
> backdors... Ou s'en servir pour hébergé des fichiers illicites...
>
> Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions,
> upload d'images...) le propriétaire c'est root.

ha ok,

la consultation des pages par le web ne joue en rien si tout appartient
à root donc? (du moment que "other" peut lire)
C'est juste au niveau des scripts executables que ca joue?



Même pas.
Si les scripts exécutables sont accessibles en lecture par apache, il les
executera, en tout cas pour le PHP.
Pour le perl, et tout ce qui est CGI, il faut aussi les droits d'exécutio n.

--nextPart2592462.xL5euWorKl
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQBGXKyRDltnDmLJYdARAqx1AKDMfeeXHrlzNm6LdpmXxJbIv0jF9QCfb+en
i4O83jeYOVM2wOX00QPS/44 =xBu3
-----END PGP SIGNATURE-----

--nextPart2592462.xL5euWorKl--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Gilles Mocellin
Le #9551701
--nextPart1286823.mtxBCOBXZG
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Tuesday 29 May 2007 23:24:50 Thierry B, vous avez écrit :
François TOURDE a écrit :
> Le 13661ième jour après Epoch,
>
> Thierry B. écrivait:
>> Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce
>> répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas
>> grave si on a un repertoire dans /var/www qui n'appartient plus à
>> www-data:www-data?
>
> Tant que ces données sont lisibles par le www-data en question, ça ne
> devrait pas poser de soucis.
>
> Perso, pour les sites que j'héberge de ce type, soit je fais un li en
> du genre /var/www/lesite -> /home/lesite/WWW soit je mets
> /var/www/lesite en HOME de l'utilissateur. Dans les deux cas le
> propriétaire des fichiers n'est pas www-data, mais le groupe l'est.

oki,

mais à quoi sert spécialement ce www-data concrètement?

Pkoi c comme ca par defaut?



Où est-ce-que c'est comme ça par défaut ?

Exemple, phpmyadmin :

:~$ ll /var/www/phpmyadmin/ | head -10
total 1012
-rw-r--r-- 1 root root 10998 2007-04-24 06:06 browse_foreigners.php
-rw-r--r-- 1 root root 711 2007-04-24 06:06 calendar.php
-rw-r--r-- 1 root root 3434 2007-05-05 17:30 changelog.php
-rw-r--r-- 1 root root 437 2007-04-24 06:06 chk_rel.php
-rw-r--r-- 1 root root 181 2007-04-21 11:19 config.footer.inc.php
-rw-r--r-- 1 root root 181 2007-04-21 11:19 config.header.inc.php
-rw-r--r-- 1 root root 1263 2007-04-21 14:31 config.inc.php
-rw-r--r-- 1 root root 1794 2007-04-24 06:06 config.sample.inc.php
drwxr-xr-x 2 root root 4096 2007-05-13 20:01 css
...

--nextPart1286823.mtxBCOBXZG
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQBGXK0BDltnDmLJYdARAu3DAKDI9SBUMB/gv33WFS+O+iuVmKiFoACgoJa5
opbCpGxM6XKiY8b0rqENrkU =lDCK
-----END PGP SIGNATURE-----

--nextPart1286823.mtxBCOBXZG--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
mouss
Le #9551521
Gilles Mocellin wrote:
Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit :

Bonjour,



[...]

Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce
répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas
grave si on a un repertoire dans /var/www qui n'appartient plus à
www-data:www-data?




Pour moi, c'est plutôt anormal qu'un répertoire d'application web puisse être
modifié par le compte du process serveur Web !
Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut
facilement mettre à jour ton site et donc lui mettre des virus, vers ou
backdors... Ou s'en servir pour hébergé des fichiers illicites...





en principe, je suis d'accord. mais la, si un attaquant pirate proftpd,
ça sera pareil... de toute façon, le problème existera toujours si on
veut éditer des fichiers à distance (sans passer par ssh + editeur).

du coup, j'aimerais bien avoir l'opinion sur une comparaison
(principalement en terme de securité, mais aussi en utilisabilité pour
ne pas faire fuir les windowsiens...) entre:
- ftp comme fait Thierry
- scp (avec winscp pour les windosiens)
- mod_dav [avec auth+ssl]. (la, pour les clients windobs, c'est ce qu'il
y a de plus simple, non?)


Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions, upload
d'images...) le propriétaire c'est root.




Je suis d'accord.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme