J'ai crée un virtual host pour ma soeur, pour qu'elle puisse héberger
queqlques fichiers, mais elle voulait pouvoir eventuellement modifier
ces fichiers.
J'ai donc décidé de lui associer, son repertoire où je stockais ses
fichiers (/var/www/virtual_host) avec un compte ftp.
Comme j'utilise proftpd, et que dans mon fichier d'authentification
ftpd.passwd, j'utilise toujours /var/ftp comme répertoire racine, j'ai
donc fait en sorte que /var/www/virtual_host soit bindé sur son compte
donc avec /var/ftp/compte.
Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce
répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas
grave si on a un repertoire dans /var/www qui n'appartient plus à
www-data:www-data?
C'est le seul VH dans ce cas, car pour les autres, je n'ai encore jamais
eu besoin d'autoriser les modifications par ftp.
Merci :-)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit :
Bonjour,
[...]
Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas grave si on a un repertoire dans /var/www qui n'appartient plus à www-data:www-data?
Pour moi, c'est plutôt anormal qu'un répertoire d'application web puiss e être modifié par le compte du process serveur Web ! Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut facilement mettre à jour ton site et donc lui mettre des virus, vers ou backdors... Ou s'en servir pour hébergé des fichiers illicites...
Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions, uplo ad d'images...) le propriétaire c'est root.
--nextPart5085323.Ly3bZi2nlp Content-Type: application/pgp-signature; name=signature.asc Content-Description: This is a digitally signed message part.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit :
Bonjour,
[...]
Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce
répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas
grave si on a un repertoire dans /var/www qui n'appartient plus à
www-data:www-data?
Pour moi, c'est plutôt anormal qu'un répertoire d'application web puiss e être
modifié par le compte du process serveur Web !
Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut
facilement mettre à jour ton site et donc lui mettre des virus, vers ou
backdors... Ou s'en servir pour hébergé des fichiers illicites...
Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions, uplo ad
d'images...) le propriétaire c'est root.
--nextPart5085323.Ly3bZi2nlp
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit :
Bonjour,
[...]
Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas grave si on a un repertoire dans /var/www qui n'appartient plus à www-data:www-data?
Pour moi, c'est plutôt anormal qu'un répertoire d'application web puiss e être modifié par le compte du process serveur Web ! Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut facilement mettre à jour ton site et donc lui mettre des virus, vers ou backdors... Ou s'en servir pour hébergé des fichiers illicites...
Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions, uplo ad d'images...) le propriétaire c'est root.
--nextPart5085323.Ly3bZi2nlp Content-Type: application/pgp-signature; name=signature.asc Content-Description: This is a digitally signed message part.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit :
Bonjour,
[...]
Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas grave si on a un repertoire dans /var/www qui n'appartient plus à www-data:www-data?
Pour moi, c'est plutôt anormal qu'un répertoire d'application web puisse être modifié par le compte du process serveur Web ! Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut facilement mettre à jour ton site et donc lui mettre des virus, vers ou backdors... Ou s'en servir pour hébergé des fichiers illicites...
Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions, upload d'images...) le propriétaire c'est root.
ha ok,
la consultation des pages par le web ne joue en rien si tout appartient à root donc? (du moment que "other" peut lire) C'est juste au niveau des scripts executables que ca joue?
Merci :-)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Gilles Mocellin a écrit :
Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit :
Bonjour,
[...]
Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce
répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas
grave si on a un repertoire dans /var/www qui n'appartient plus à
www-data:www-data?
Pour moi, c'est plutôt anormal qu'un répertoire d'application web puisse être
modifié par le compte du process serveur Web !
Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut
facilement mettre à jour ton site et donc lui mettre des virus, vers ou
backdors... Ou s'en servir pour hébergé des fichiers illicites...
Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions, upload
d'images...) le propriétaire c'est root.
ha ok,
la consultation des pages par le web ne joue en rien si tout appartient
à root donc? (du moment que "other" peut lire)
C'est juste au niveau des scripts executables que ca joue?
Merci :-)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit :
Bonjour,
[...]
Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas grave si on a un repertoire dans /var/www qui n'appartient plus à www-data:www-data?
Pour moi, c'est plutôt anormal qu'un répertoire d'application web puisse être modifié par le compte du process serveur Web ! Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut facilement mettre à jour ton site et donc lui mettre des virus, vers ou backdors... Ou s'en servir pour hébergé des fichiers illicites...
Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions, upload d'images...) le propriétaire c'est root.
ha ok,
la consultation des pages par le web ne joue en rien si tout appartient à root donc? (du moment que "other" peut lire) C'est juste au niveau des scripts executables que ca joue?
Merci :-)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Thierry B
François TOURDE a écrit :
Le 13661ième jour après Epoch, Thierry B. écrivait:
Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas grave si on a un repertoire dans /var/www qui n'appartient plus à www-data:www-data?
Tant que ces données sont lisibles par le www-data en question, ça ne devrait pas poser de soucis.
Perso, pour les sites que j'héberge de ce type, soit je fais un lien du genre /var/www/lesite -> /home/lesite/WWW soit je mets /var/www/lesite en HOME de l'utilissateur. Dans les deux cas le propriétaire des fichiers n'est pas www-data, mais le groupe l'est.
oki,
mais à quoi sert spécialement ce www-data concrètement?
Pkoi c comme ca par defaut?
Merci :-)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François TOURDE a écrit :
Le 13661ième jour après Epoch,
Thierry B. écrivait:
Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce
répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas
grave si on a un repertoire dans /var/www qui n'appartient plus à
www-data:www-data?
Tant que ces données sont lisibles par le www-data en question, ça ne
devrait pas poser de soucis.
Perso, pour les sites que j'héberge de ce type, soit je fais un lien
du genre /var/www/lesite -> /home/lesite/WWW soit je mets
/var/www/lesite en HOME de l'utilissateur. Dans les deux cas le
propriétaire des fichiers n'est pas www-data, mais le groupe l'est.
oki,
mais à quoi sert spécialement ce www-data concrètement?
Pkoi c comme ca par defaut?
Merci :-)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le 13661ième jour après Epoch, Thierry B. écrivait:
Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas grave si on a un repertoire dans /var/www qui n'appartient plus à www-data:www-data?
Tant que ces données sont lisibles par le www-data en question, ça ne devrait pas poser de soucis.
Perso, pour les sites que j'héberge de ce type, soit je fais un lien du genre /var/www/lesite -> /home/lesite/WWW soit je mets /var/www/lesite en HOME de l'utilissateur. Dans les deux cas le propriétaire des fichiers n'est pas www-data, mais le groupe l'est.
oki,
mais à quoi sert spécialement ce www-data concrètement?
Pkoi c comme ca par defaut?
Merci :-)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Tuesday 29 May 2007 23:24:04 Thierry B, vous avez écrit :
Gilles Mocellin a écrit : > Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit : >> Bonjour, > > [...] > >> Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce >> répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas >> grave si on a un repertoire dans /var/www qui n'appartient plus à >> www-data:www-data? > > Pour moi, c'est plutôt anormal qu'un répertoire d'application web p uisse > être modifié par le compte du process serveur Web ! > Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut > facilement mettre à jour ton site et donc lui mettre des virus, vers ou > backdors... Ou s'en servir pour hébergé des fichiers illicites... > > Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions, > upload d'images...) le propriétaire c'est root.
ha ok,
la consultation des pages par le web ne joue en rien si tout appartient à root donc? (du moment que "other" peut lire) C'est juste au niveau des scripts executables que ca joue?
Même pas. Si les scripts exécutables sont accessibles en lecture par apache, il les executera, en tout cas pour le PHP. Pour le perl, et tout ce qui est CGI, il faut aussi les droits d'exécutio n.
--nextPart2592462.xL5euWorKl Content-Type: application/pgp-signature; name=signature.asc Content-Description: This is a digitally signed message part.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Tuesday 29 May 2007 23:24:04 Thierry B, vous avez écrit :
Gilles Mocellin a écrit :
> Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit :
>> Bonjour,
>
> [...]
>
>> Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce
>> répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas
>> grave si on a un repertoire dans /var/www qui n'appartient plus à
>> www-data:www-data?
>
> Pour moi, c'est plutôt anormal qu'un répertoire d'application web p uisse
> être modifié par le compte du process serveur Web !
> Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut
> facilement mettre à jour ton site et donc lui mettre des virus, vers ou
> backdors... Ou s'en servir pour hébergé des fichiers illicites...
>
> Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions,
> upload d'images...) le propriétaire c'est root.
ha ok,
la consultation des pages par le web ne joue en rien si tout appartient
à root donc? (du moment que "other" peut lire)
C'est juste au niveau des scripts executables que ca joue?
Même pas.
Si les scripts exécutables sont accessibles en lecture par apache, il les
executera, en tout cas pour le PHP.
Pour le perl, et tout ce qui est CGI, il faut aussi les droits d'exécutio n.
--nextPart2592462.xL5euWorKl
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Tuesday 29 May 2007 23:24:04 Thierry B, vous avez écrit :
Gilles Mocellin a écrit : > Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit : >> Bonjour, > > [...] > >> Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce >> répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas >> grave si on a un repertoire dans /var/www qui n'appartient plus à >> www-data:www-data? > > Pour moi, c'est plutôt anormal qu'un répertoire d'application web p uisse > être modifié par le compte du process serveur Web ! > Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut > facilement mettre à jour ton site et donc lui mettre des virus, vers ou > backdors... Ou s'en servir pour hébergé des fichiers illicites... > > Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions, > upload d'images...) le propriétaire c'est root.
ha ok,
la consultation des pages par le web ne joue en rien si tout appartient à root donc? (du moment que "other" peut lire) C'est juste au niveau des scripts executables que ca joue?
Même pas. Si les scripts exécutables sont accessibles en lecture par apache, il les executera, en tout cas pour le PHP. Pour le perl, et tout ce qui est CGI, il faut aussi les droits d'exécutio n.
--nextPart2592462.xL5euWorKl Content-Type: application/pgp-signature; name=signature.asc Content-Description: This is a digitally signed message part.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
mouss
Gilles Mocellin wrote:
Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit :
Bonjour,
[...]
Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas grave si on a un repertoire dans /var/www qui n'appartient plus à www-data:www-data?
Pour moi, c'est plutôt anormal qu'un répertoire d'application web puisse être modifié par le compte du process serveur Web ! Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut facilement mettre à jour ton site et donc lui mettre des virus, vers ou backdors... Ou s'en servir pour hébergé des fichiers illicites...
en principe, je suis d'accord. mais la, si un attaquant pirate proftpd, ça sera pareil... de toute façon, le problème existera toujours si on veut éditer des fichiers à distance (sans passer par ssh + editeur).
du coup, j'aimerais bien avoir l'opinion sur une comparaison (principalement en terme de securité, mais aussi en utilisabilité pour ne pas faire fuir les windowsiens...) entre: - ftp comme fait Thierry - scp (avec winscp pour les windosiens) - mod_dav [avec auth+ssl]. (la, pour les clients windobs, c'est ce qu'il y a de plus simple, non?)
Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions, upload d'images...) le propriétaire c'est root.
Je suis d'accord.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Gilles Mocellin wrote:
Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit :
Bonjour,
[...]
Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce
répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas
grave si on a un repertoire dans /var/www qui n'appartient plus à
www-data:www-data?
Pour moi, c'est plutôt anormal qu'un répertoire d'application web puisse être
modifié par le compte du process serveur Web !
Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut
facilement mettre à jour ton site et donc lui mettre des virus, vers ou
backdors... Ou s'en servir pour hébergé des fichiers illicites...
en principe, je suis d'accord. mais la, si un attaquant pirate proftpd,
ça sera pareil... de toute façon, le problème existera toujours si on
veut éditer des fichiers à distance (sans passer par ssh + editeur).
du coup, j'aimerais bien avoir l'opinion sur une comparaison
(principalement en terme de securité, mais aussi en utilisabilité pour
ne pas faire fuir les windowsiens...) entre:
- ftp comme fait Thierry
- scp (avec winscp pour les windosiens)
- mod_dav [avec auth+ssl]. (la, pour les clients windobs, c'est ce qu'il
y a de plus simple, non?)
Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions, upload
d'images...) le propriétaire c'est root.
Je suis d'accord.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Monday 28 May 2007 08:31:38 Thierry B, vous avez écrit :
Bonjour,
[...]
Pour qu'elle puisse écrire dessus, j'ai du fixer donc les droits de ce répertoire à ftpusers:ftpusers, je voulais donc savoir si ce n'est pas grave si on a un repertoire dans /var/www qui n'appartient plus à www-data:www-data?
Pour moi, c'est plutôt anormal qu'un répertoire d'application web puisse être modifié par le compte du process serveur Web ! Ça veut dire qu'en cas de faille sur ton servur Web, l'ataquant peut facilement mettre à jour ton site et donc lui mettre des virus, vers ou backdors... Ou s'en servir pour hébergé des fichiers illicites...
en principe, je suis d'accord. mais la, si un attaquant pirate proftpd, ça sera pareil... de toute façon, le problème existera toujours si on veut éditer des fichiers à distance (sans passer par ssh + editeur).
du coup, j'aimerais bien avoir l'opinion sur une comparaison (principalement en terme de securité, mais aussi en utilisabilité pour ne pas faire fuir les windowsiens...) entre: - ftp comme fait Thierry - scp (avec winscp pour les windosiens) - mod_dav [avec auth+ssl]. (la, pour les clients windobs, c'est ce qu'il y a de plus simple, non?)
Bref, chez moi, sauf répertoires particuliers (caches PHP, sessions, upload d'images...) le propriétaire c'est root.
Je suis d'accord.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
