Proftpd : faire passer un utilisateur pour www-data
Le
Grégory Bulot
Bonjour,
je souhaiterais utiliser un compte d'un vrai utilisateur (présent
dans /etc/passwd) pour www-data lorsqu'il transfert des fichiers sur le
serveur.
en lisant
http://proftpd.org/localsite/Userguide/linked/ref-directives.html
j'ai essayé la combinaison suivante (qui me semble pertinente)
DefaultRoot ~
<Directory ~MonUserftp>
DirFakeUser on www-data
DirFakeGroup on www-data
UserOwner www-data
GroupOwner www-data
</Directory>
Mais
- Les fichiers créés reste sous l'identité MonUserftp
- Les logs du serveur affiche ceci :
USER MonUserftp: Login successful.
chown(/fichier.test) as root failed: Opération non permise
J'ai vu qu'il fallait ajouter ceci :
<IfModule mod_cap.c>
# Allow root to use chown(2)
CapabilitiesSet -CAP_CHOWN
</IfModule>
Mais cela ne change rien (je redémarre le serveur ftp entre chaque
modifs)
Avez-vous des idées ?
--
Cordialement
Grégory BULOT
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20111025162032.4705a938@bulot-fr.com
je souhaiterais utiliser un compte d'un vrai utilisateur (présent
dans /etc/passwd) pour www-data lorsqu'il transfert des fichiers sur le
serveur.
en lisant
http://proftpd.org/localsite/Userguide/linked/ref-directives.html
j'ai essayé la combinaison suivante (qui me semble pertinente)
DefaultRoot ~
<Directory ~MonUserftp>
DirFakeUser on www-data
DirFakeGroup on www-data
UserOwner www-data
GroupOwner www-data
</Directory>
Mais
- Les fichiers créés reste sous l'identité MonUserftp
- Les logs du serveur affiche ceci :
USER MonUserftp: Login successful.
chown(/fichier.test) as root failed: Opération non permise
J'ai vu qu'il fallait ajouter ceci :
<IfModule mod_cap.c>
# Allow root to use chown(2)
CapabilitiesSet -CAP_CHOWN
</IfModule>
Mais cela ne change rien (je redémarre le serveur ftp entre chaque
modifs)
Avez-vous des idées ?
--
Cordialement
Grégory BULOT
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20111025162032.4705a938@bulot-fr.com
Grégory Bulot
Histoire de voir si j'ai bien compris je reformule:
ton svr http fonctionne en www-data:www-data
et tu veux lui uploader de nouveaux fichiers à servir avec MonUserFtp
fichiers qui doivent pouvoir être lûs par www-data?
Si c'est juste cela, il suffit de:
1- Changer les droits du DIR recevant les données:
chown www-data:www-data /dir (ça devrait déjà être le cas)
chmod u+r+w+x /dir
chmod g+r+w+x+s /dir
(soit: 42770)
2- Ajouter MonUserFtp à www-data:
adduser monuserftp www-data
3- Vérifier que tout va bien:
su - monuserftp
touch /dir/monfichierquecestuntest
ls -al /dir
-rw-r--r-- 1 monuserftp www-data 0 oct. 25 17:03 monfichierquec estuntest
--
A fail-safe circuit will destroy others.
-- Klipstein
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Le Tue, 25 Oct 2011 17:15:18 +0200, Jean-Yves F. Barbier, vous avez
écrit :
+ modifiés : je ne connais pas l'outil qui sera mis en place (boutique
en ligne), mais j'imagine bien ajoute d'images avec génération de
vignettes
Effectivement je n'ai pas cherché du côte des droits spéciaux
bon, j'avais déjà fait ça, tout n'est pas perdu :-D
Je teste demain, merci pour cette piste alternative. [n'empêche ce truc
avec proftp ça me perturbe :-p ]
--
Cordialement
Grégory BULOT
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Grégory Bulot
Bonjoir,
...
ça ne pose aucun PB puisque le owner des fichiers reste le user ftp et que
les fichiers héritent du umask standard (622), seul le group change ve rs
www-data.
On a donc la combinaison (en soi:) recherchée:
user ftp peut R/W les fichiers,
www-data peut juste les lire.
Ca a aussi un effet de bord inattendu et pratique, à savoir que mà ªme si le
svr http est compromis, le malfaisant ne peut pas toucher aux fichiers
sans obtenir les droits du user ftp, ce qui est quasiment impossible Ã
moins d'avoir simultanément une faille dans le svr et une autre dans le
kernel ou le pgm de login.
...
ça ne devrait pas, il faut être feignant et faire le plus simple possible;
et si utiliser cette solution fonctionne bien, il n'y a aucune raison
d'aller rechercher une solution plus alambiquée qui risque de poser
d'autres PBs.
Par contre, si ça ne marche pas du 1er coup ça voudra dire que le s options
ajoutées dans apache collisionnent avec les nouveaux droits du DIR et qu'il
faudra les virer de la conf (de toute façon, il faudra les virer puisq u'elles
ne servent plus à rien).
--
A clever prophet makes sure of the event first.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Le Tue, 25 Oct 2011 17:15:18 +0200, Jean-Yves F. Barbier, vous avez
écrit :
ça roule
--
Cordialement
Grégory BULOT
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/