Bonjour à tous,
Est-ce normal que lorsqu'on installe apache2, /var/www appartient à
root et pas à www-data ?
Merci d'avance.
--
Benoit
Bonjour à tous,
Est-ce normal que lorsqu'on installe apache2, /var/www appartient à
root et pas à www-data ?
Merci d'avance.
--
Benoit
Bonjour à tous,
Est-ce normal que lorsqu'on installe apache2, /var/www appartient à
root et pas à www-data ?
Merci d'avance.
--
Benoit
Est-ce normal que lorsqu'on installe apache2, /var/www appartient à
root et pas à www-data ?
Est-ce normal que lorsqu'on installe apache2, /var/www appartient à
root et pas à www-data ?
Est-ce normal que lorsqu'on installe apache2, /var/www appartient à
root et pas à www-data ?
Le 9 mars 2016 à 12:29, Benoit B a écrit :
> Est-ce normal que lorsqu'on installe apache2, /var/www appartient à
> root et pas à www-data ?
> Benoit
Le 9 mars 2016 à 12:29, Benoit B <benoitlst@gmail.com> a écrit :
> Est-ce normal que lorsqu'on installe apache2, /var/www appartient à
> root et pas à www-data ?
> Benoit
Le 9 mars 2016 à 12:29, Benoit B a écrit :
> Est-ce normal que lorsqu'on installe apache2, /var/www appartient à
> root et pas à www-data ?
> Benoit
Sinon ça peut poser problèmes pour éditer des fichiers en ligne.
Sinon ça peut poser problèmes pour éditer des fichiers en ligne.
Sinon ça peut poser problèmes pour éditer des fichiers en ligne.
Le 9 mars 2016 à 13:38, a écrit :
> Sinon ça peut poser problèmes pour éditer des fichiers e n ligne.
Et l'idée est, justement que par défaut ce n'est pas le besoin, donc
ça paraît rationnel de restreindre les droits par défaut p our éviter
de se rendre vulnérable sans le savoir.
Ãric Dégenètais
Le 9 mars 2016 à 13:38, <andre_debian@numericable.fr> a écrit :
> Sinon ça peut poser problèmes pour éditer des fichiers e n ligne.
Et l'idée est, justement que par défaut ce n'est pas le besoin, donc
ça paraît rationnel de restreindre les droits par défaut p our éviter
de se rendre vulnérable sans le savoir.
Ãric Dégenètais
Le 9 mars 2016 à 13:38, a écrit :
> Sinon ça peut poser problèmes pour éditer des fichiers e n ligne.
Et l'idée est, justement que par défaut ce n'est pas le besoin, donc
ça paraît rationnel de restreindre les droits par défaut p our éviter
de se rendre vulnérable sans le savoir.
Ãric Dégenètais
u veux dire que par défaut il faut que le répertoire d'accueil,
ici /var/www/, des pages Web soit user:group à www-data ou à ro ot ?
u veux dire que par défaut il faut que le répertoire d'accueil,
ici /var/www/, des pages Web soit user:group à www-data ou à ro ot ?
u veux dire que par défaut il faut que le répertoire d'accueil,
ici /var/www/, des pages Web soit user:group à www-data ou à ro ot ?
Le 9 mars 2016 à 13:38, a écrit :
On Wednesday 09 March 2016 12:52:38 Ph. Gras wrote:Le 9 mars 2016 à 12:29, Benoit B a écri t :Est-ce normal que lorsqu'on installe apache2, /var/www appartient Ã
root et pas à www-data ?
Benoit
Le user et group doivent être : www-data:www-data
# chown -Rf www-data:www-data /var/www/*
Sinon ça peut poser problèmes pour éditer des fichiers en ligne.
Sans doute par défaut, Apache met les droits à root.
Le 9 mars 2016 à 13:38, andre_debian@numericable.fr a écrit :
On Wednesday 09 March 2016 12:52:38 Ph. Gras wrote:
Le 9 mars 2016 à 12:29, Benoit B <benoitlst@gmail.com> a écri t :
Est-ce normal que lorsqu'on installe apache2, /var/www appartient Ã
root et pas à www-data ?
Benoit
Le user et group doivent être : www-data:www-data
# chown -Rf www-data:www-data /var/www/*
Sinon ça peut poser problèmes pour éditer des fichiers en ligne.
Sans doute par défaut, Apache met les droits à root.
Le 9 mars 2016 à 13:38, a écrit :
On Wednesday 09 March 2016 12:52:38 Ph. Gras wrote:Le 9 mars 2016 à 12:29, Benoit B a écri t :Est-ce normal que lorsqu'on installe apache2, /var/www appartient Ã
root et pas à www-data ?
Benoit
Le user et group doivent être : www-data:www-data
# chown -Rf www-data:www-data /var/www/*
Sinon ça peut poser problèmes pour éditer des fichiers en ligne.
Sans doute par défaut, Apache met les droits à root.
Le 9 mars 2016 à 13:38, a écrit :
On Wednesday 09 March 2016 12:52:38 Ph. Gras wrote:Le 9 mars 2016 à 12:29, Benoit B a écr it :Est-ce normal que lorsqu'on installe apache2, /var/www appartient Ã
root et pas à www-data ?
Benoit
Le user et group doivent être : www-data:www-data
# chown -Rf www-data:www-data /var/www/*
Sinon ça peut poser problèmes pour éditer des fichiers en ligne.
Sans doute par défaut, Apache met les droits à root.
Je ne pense pas que laisser à www-data la propriété de tout ce qui est accessible via HTTP soit véritablement une « bonne idée » et il me semble normal que, par défaut, ce ne soit pas le cas.
En effet, comme beaucoup de failles de sécurité viennent par là (PHP, CGI foireux, â¦) est-il pertinent de laisser le pirate la facilité dâexploiter ces failles pour déposer et modifier ce quâils veulent sur les dépôts Apache (ou autre) ?
Enfin, à quoi cela sert-il de laisser « www-data » avoir accès à un .html ou même un .php lorsquâil sâagit dâafficher le contenu dâun fichier HTML ou dâexécuter un PHP ?
Il est bien plus prudent de ne laisser un accès en écriture à www-data uniquement sur les répertoires sur lesquels il DOIT avoir accès (dépôt de document par le ouaibe par exemple). Même si câest bien pratique dâinstaller un bidule par une connexion HTTP, il y a bien trop de danger à laisser un tel accès à demeure.
Cordialement
--
Pierre Malard
« Si l'on veut croire en l'humanité,
il faut voir et comprendre l'inhumanité »
| _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. , ( `'-'
'---''(_/--' `-'_) Ïr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_): 24Ïr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message nâengage que son auteur <--
Le 9 mars 2016 à 13:38, andre_debian@numericable.fr a écrit :
On Wednesday 09 March 2016 12:52:38 Ph. Gras wrote:
Le 9 mars 2016 à 12:29, Benoit B <benoitlst@gmail.com> a écr it :
Est-ce normal que lorsqu'on installe apache2, /var/www appartient Ã
root et pas à www-data ?
Benoit
Le user et group doivent être : www-data:www-data
# chown -Rf www-data:www-data /var/www/*
Sinon ça peut poser problèmes pour éditer des fichiers en ligne.
Sans doute par défaut, Apache met les droits à root.
Je ne pense pas que laisser à www-data la propriété de tout ce qui est accessible via HTTP soit véritablement une « bonne idée » et il me semble normal que, par défaut, ce ne soit pas le cas.
En effet, comme beaucoup de failles de sécurité viennent par là (PHP, CGI foireux, â¦) est-il pertinent de laisser le pirate la facilité dâexploiter ces failles pour déposer et modifier ce quâils veulent sur les dépôts Apache (ou autre) ?
Enfin, à quoi cela sert-il de laisser « www-data » avoir accès à un .html ou même un .php lorsquâil sâagit dâafficher le contenu dâun fichier HTML ou dâexécuter un PHP ?
Il est bien plus prudent de ne laisser un accès en écriture à www-data uniquement sur les répertoires sur lesquels il DOIT avoir accès (dépôt de document par le ouaibe par exemple). Même si câest bien pratique dâinstaller un bidule par une connexion HTTP, il y a bien trop de danger à laisser un tel accès à demeure.
Cordialement
--
Pierre Malard
« Si l'on veut croire en l'humanité,
il faut voir et comprendre l'inhumanité »
| _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. , ( `'-'
'---''(_/--' `-'_) Ïr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_): 24Ïr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message nâengage que son auteur <--
Le 9 mars 2016 à 13:38, a écrit :
On Wednesday 09 March 2016 12:52:38 Ph. Gras wrote:Le 9 mars 2016 à 12:29, Benoit B a écr it :Est-ce normal que lorsqu'on installe apache2, /var/www appartient Ã
root et pas à www-data ?
Benoit
Le user et group doivent être : www-data:www-data
# chown -Rf www-data:www-data /var/www/*
Sinon ça peut poser problèmes pour éditer des fichiers en ligne.
Sans doute par défaut, Apache met les droits à root.
Je ne pense pas que laisser à www-data la propriété de tout ce qui est accessible via HTTP soit véritablement une « bonne idée » et il me semble normal que, par défaut, ce ne soit pas le cas.
En effet, comme beaucoup de failles de sécurité viennent par là (PHP, CGI foireux, â¦) est-il pertinent de laisser le pirate la facilité dâexploiter ces failles pour déposer et modifier ce quâils veulent sur les dépôts Apache (ou autre) ?
Enfin, à quoi cela sert-il de laisser « www-data » avoir accès à un .html ou même un .php lorsquâil sâagit dâafficher le contenu dâun fichier HTML ou dâexécuter un PHP ?
Il est bien plus prudent de ne laisser un accès en écriture à www-data uniquement sur les répertoires sur lesquels il DOIT avoir accès (dépôt de document par le ouaibe par exemple). Même si câest bien pratique dâinstaller un bidule par une connexion HTTP, il y a bien trop de danger à laisser un tel accès à demeure.
Cordialement
--
Pierre Malard
« Si l'on veut croire en l'humanité,
il faut voir et comprendre l'inhumanité »
| _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. , ( `'-'
'---''(_/--' `-'_) Ïr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_): 24Ïr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message nâengage que son auteur <--
Le 9 mars 2016 à 19:39, Ph. Gras a écrit :
Le 9 mars 2016 à 18:59, Pierre Malard a écrit :Le 9 mars 2016 à 13:38, a écrit :
On Wednesday 09 March 2016 12:52:38 Ph. Gras wrote:Le 9 mars 2016 à 12:29, Benoit B a écrit :Est-ce normal que lorsqu'on installe apache2, /var/www appartient Ã
root et pas à www-data ?
Benoit
Le user et group doivent être : www-data:www-data
# chown -Rf www-data:www-data /var/www/*
Sinon ça peut poser problèmes pour éditer des fichiers en ligne.
Sans doute par défaut, Apache met les droits à root.
Je ne pense pas que laisser à www-data la propriété de tout ce qui est accessible via HTTP soit véritablement une « bonne idée » et il me semble normal que, par défaut, ce ne soit pas le cas.
En effet, comme beaucoup de failles de sécurité viennent par là (PHP, CGI foireux, â¦) est-il pertinent de laisser le pirate la facilité dâexploiter ces failles pour déposer et modifier ce quâils veulent sur les dépôts Apache (ou autre) ?
Enfin, à quoi cela sert-il de laisser « www-data » avoir accès à un .html ou même un .php lorsquâil sâagit dâafficher le contenu dâun fichier HTML ou dâexécuter un PHP ?
Il est bien plus prudent de ne laisser un accès en écriture à www-data uniquement sur les répertoires sur lesquels il DOIT avoir accès (dépôt de document par le ouaibe par exemple). Même si câest bien pratique dâinstaller un bidule par une connexion HTTP, il y a bien trop de danger à laisser un tel accès à demeure.
Cordialement
--
Pierre Malard
à ce moment-là , je vais vous faire partager le fruit de mon expérience qui m'a mené à prendre des décisions différentes,
mais que j'applique avec la pleine conscience de ce que je fais est mal.
Quand je fais tourner le bazar avec des droits en 755 pour les répertoires et 644 pour les fichiers, avec root:www-data en
user, j'ai des problèmes pour utiliser le FTP. Chaque site est rangé dans une home et il faut que je donne user:www-data
en droits, et 775 pour les répertoires et 644 pour les fichiers PHP. Sinon, ça ne fonctionne pas.
J'ai lu qu'il était possible de faire une manip avec les UID et GID, mais je ne l'ai pas bien comprise, alors j'ai laissé choir :
http://www.yann.com/fr/hebergement-web-sous-gnulinux-quels-permissions-pou r-les-fichiers-09/05/2011.html
Mais je suis prêt à m'amender ;-)
Le 9 mars 2016 à 19:39, Ph. Gras <ph.gras@worldonline.fr> a écrit :
Le 9 mars 2016 à 18:59, Pierre Malard <plm@teledetection.fr> a écrit :
Le 9 mars 2016 à 13:38, andre_debian@numericable.fr a écrit :
On Wednesday 09 March 2016 12:52:38 Ph. Gras wrote:
Le 9 mars 2016 à 12:29, Benoit B <benoitlst@gmail.com> a écrit :
Est-ce normal que lorsqu'on installe apache2, /var/www appartient Ã
root et pas à www-data ?
Benoit
Le user et group doivent être : www-data:www-data
# chown -Rf www-data:www-data /var/www/*
Sinon ça peut poser problèmes pour éditer des fichiers en ligne.
Sans doute par défaut, Apache met les droits à root.
Je ne pense pas que laisser à www-data la propriété de tout ce qui est accessible via HTTP soit véritablement une « bonne idée » et il me semble normal que, par défaut, ce ne soit pas le cas.
En effet, comme beaucoup de failles de sécurité viennent par là (PHP, CGI foireux, â¦) est-il pertinent de laisser le pirate la facilité dâexploiter ces failles pour déposer et modifier ce quâils veulent sur les dépôts Apache (ou autre) ?
Enfin, à quoi cela sert-il de laisser « www-data » avoir accès à un .html ou même un .php lorsquâil sâagit dâafficher le contenu dâun fichier HTML ou dâexécuter un PHP ?
Il est bien plus prudent de ne laisser un accès en écriture à www-data uniquement sur les répertoires sur lesquels il DOIT avoir accès (dépôt de document par le ouaibe par exemple). Même si câest bien pratique dâinstaller un bidule par une connexion HTTP, il y a bien trop de danger à laisser un tel accès à demeure.
Cordialement
--
Pierre Malard
à ce moment-là , je vais vous faire partager le fruit de mon expérience qui m'a mené à prendre des décisions différentes,
mais que j'applique avec la pleine conscience de ce que je fais est mal.
Quand je fais tourner le bazar avec des droits en 755 pour les répertoires et 644 pour les fichiers, avec root:www-data en
user, j'ai des problèmes pour utiliser le FTP. Chaque site est rangé dans une home et il faut que je donne user:www-data
en droits, et 775 pour les répertoires et 644 pour les fichiers PHP. Sinon, ça ne fonctionne pas.
J'ai lu qu'il était possible de faire une manip avec les UID et GID, mais je ne l'ai pas bien comprise, alors j'ai laissé choir :
http://www.yann.com/fr/hebergement-web-sous-gnulinux-quels-permissions-pou r-les-fichiers-09/05/2011.html
Mais je suis prêt à m'amender ;-)
Le 9 mars 2016 à 19:39, Ph. Gras a écrit :
Le 9 mars 2016 à 18:59, Pierre Malard a écrit :Le 9 mars 2016 à 13:38, a écrit :
On Wednesday 09 March 2016 12:52:38 Ph. Gras wrote:Le 9 mars 2016 à 12:29, Benoit B a écrit :Est-ce normal que lorsqu'on installe apache2, /var/www appartient Ã
root et pas à www-data ?
Benoit
Le user et group doivent être : www-data:www-data
# chown -Rf www-data:www-data /var/www/*
Sinon ça peut poser problèmes pour éditer des fichiers en ligne.
Sans doute par défaut, Apache met les droits à root.
Je ne pense pas que laisser à www-data la propriété de tout ce qui est accessible via HTTP soit véritablement une « bonne idée » et il me semble normal que, par défaut, ce ne soit pas le cas.
En effet, comme beaucoup de failles de sécurité viennent par là (PHP, CGI foireux, â¦) est-il pertinent de laisser le pirate la facilité dâexploiter ces failles pour déposer et modifier ce quâils veulent sur les dépôts Apache (ou autre) ?
Enfin, à quoi cela sert-il de laisser « www-data » avoir accès à un .html ou même un .php lorsquâil sâagit dâafficher le contenu dâun fichier HTML ou dâexécuter un PHP ?
Il est bien plus prudent de ne laisser un accès en écriture à www-data uniquement sur les répertoires sur lesquels il DOIT avoir accès (dépôt de document par le ouaibe par exemple). Même si câest bien pratique dâinstaller un bidule par une connexion HTTP, il y a bien trop de danger à laisser un tel accès à demeure.
Cordialement
--
Pierre Malard
à ce moment-là , je vais vous faire partager le fruit de mon expérience qui m'a mené à prendre des décisions différentes,
mais que j'applique avec la pleine conscience de ce que je fais est mal.
Quand je fais tourner le bazar avec des droits en 755 pour les répertoires et 644 pour les fichiers, avec root:www-data en
user, j'ai des problèmes pour utiliser le FTP. Chaque site est rangé dans une home et il faut que je donne user:www-data
en droits, et 775 pour les répertoires et 644 pour les fichiers PHP. Sinon, ça ne fonctionne pas.
J'ai lu qu'il était possible de faire une manip avec les UID et GID, mais je ne l'ai pas bien comprise, alors j'ai laissé choir :
http://www.yann.com/fr/hebergement-web-sous-gnulinux-quels-permissions-pou r-les-fichiers-09/05/2011.html
Mais je suis prêt à m'amender ;-)
Si câest pour déposer les fichiers avec un FTP, il est certain quâune autorisation root:www-data, quelque soit les autorisations, est problématique. Par contre, une autorisation ftpuser:www-data est tout à fait envisageable si on configure son serveur FTP avec une authentification « virtuelle » non Unix. Pure-FTP et ProFTP savent très bien faire ça. Dans ce cas, les utilisateurs authentifiés nâutilisent quâun seul UID FTP (« ftpuser ») dont on peut aisément gérer les droits pour que www-data nâait que des droits de lecture et lâutilisateur ftpuser les droits dâécriture. Lâutilisateur FTP doit alors appartenir au groupe www-data et un masque du type 027 pour que ça marche lors des dépôts FTP. Chaque utilisateur FTP doit avoir un accès sur son (ou ses) dépôt(s) HTTP dans son pseudo-répertoire dâaccueil.
Du coup, lâappartenance de lâarborescence des dépà ´ts HTTP est ftpuser:www-data et les droits 750 (répertoires) et 640 (fichiers). Il nây a pas besoin que les autres utilisateurs Unix aient ne serait-ce quâun accès en lecture sur ces dépôts.
--
Pierre Malard
« La vérité ne triomphe jamais, mais ses ennemis finissent
toujours par mourir... »
Max Placnk (1858-1947)
| _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. , ( `'-'
'---''(_/--' `-'_) Ïr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_): 24Ïr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message nâengage que son auteur <--
Si câest pour déposer les fichiers avec un FTP, il est certain quâune autorisation root:www-data, quelque soit les autorisations, est problématique. Par contre, une autorisation ftpuser:www-data est tout à fait envisageable si on configure son serveur FTP avec une authentification « virtuelle » non Unix. Pure-FTP et ProFTP savent très bien faire ça. Dans ce cas, les utilisateurs authentifiés nâutilisent quâun seul UID FTP (« ftpuser ») dont on peut aisément gérer les droits pour que www-data nâait que des droits de lecture et lâutilisateur ftpuser les droits dâécriture. Lâutilisateur FTP doit alors appartenir au groupe www-data et un masque du type 027 pour que ça marche lors des dépôts FTP. Chaque utilisateur FTP doit avoir un accès sur son (ou ses) dépôt(s) HTTP dans son pseudo-répertoire dâaccueil.
Du coup, lâappartenance de lâarborescence des dépà ´ts HTTP est ftpuser:www-data et les droits 750 (répertoires) et 640 (fichiers). Il nây a pas besoin que les autres utilisateurs Unix aient ne serait-ce quâun accès en lecture sur ces dépôts.
--
Pierre Malard
« La vérité ne triomphe jamais, mais ses ennemis finissent
toujours par mourir... »
Max Placnk (1858-1947)
| _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. , ( `'-'
'---''(_/--' `-'_) Ïr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_): 24Ïr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message nâengage que son auteur <--
Si câest pour déposer les fichiers avec un FTP, il est certain quâune autorisation root:www-data, quelque soit les autorisations, est problématique. Par contre, une autorisation ftpuser:www-data est tout à fait envisageable si on configure son serveur FTP avec une authentification « virtuelle » non Unix. Pure-FTP et ProFTP savent très bien faire ça. Dans ce cas, les utilisateurs authentifiés nâutilisent quâun seul UID FTP (« ftpuser ») dont on peut aisément gérer les droits pour que www-data nâait que des droits de lecture et lâutilisateur ftpuser les droits dâécriture. Lâutilisateur FTP doit alors appartenir au groupe www-data et un masque du type 027 pour que ça marche lors des dépôts FTP. Chaque utilisateur FTP doit avoir un accès sur son (ou ses) dépôt(s) HTTP dans son pseudo-répertoire dâaccueil.
Du coup, lâappartenance de lâarborescence des dépà ´ts HTTP est ftpuser:www-data et les droits 750 (répertoires) et 640 (fichiers). Il nây a pas besoin que les autres utilisateurs Unix aient ne serait-ce quâun accès en lecture sur ces dépôts.
--
Pierre Malard
« La vérité ne triomphe jamais, mais ses ennemis finissent
toujours par mourir... »
Max Placnk (1858-1947)
| _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. , ( `'-'
'---''(_/--' `-'_) Ïr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_): 24Ïr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message nâengage que son auteur <--