Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Proftpd : faire passer un utilisateur pour www-data

4 réponses
Avatar
Grégory Bulot
Bonjour,=20


je souhaiterais utiliser un compte d'un vrai utilisateur (pr=E9sent
dans /etc/passwd) pour www-data lorsqu'il transfert des fichiers sur le
serveur.

en lisant
http://proftpd.org/localsite/Userguide/linked/ref-directives.html
j'ai essay=E9 la combinaison suivante (qui me semble pertinente)

DefaultRoot ~
<Directory ~MonUserftp>
DirFakeUser on www-data
DirFakeGroup on www-data
UserOwner www-data
GroupOwner www-data
</Directory>

Mais=20
- Les fichiers cr=E9=E9s reste sous l'identit=E9 MonUserftp
- Les logs du serveur affiche ceci :
USER MonUserftp: Login successful.
chown(/fichier.test) as root failed: Op=E9ration non permise


J'ai vu qu'il fallait ajouter ceci :
<IfModule mod_cap.c>
# Allow root to use chown(2)
CapabilitiesSet -CAP_CHOWN
</IfModule>
Mais cela ne change rien (je red=E9marre le serveur ftp entre chaque
modifs)

Avez-vous des id=E9es ?




--
Cordialement=20
Gr=E9gory BULOT

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20111025162032.4705a938@bulot-fr.com

4 réponses

Avatar
Jean-Yves F. Barbier
On Tue, 25 Oct 2011 16:20:32 +0200
Grégory Bulot wrote:

je souhaiterais utiliser un compte d'un vrai utilisateur (présent
dans /etc/passwd) pour www-data lorsqu'il transfert des fichiers sur le
serveur.



Histoire de voir si j'ai bien compris je reformule:
ton svr http fonctionne en www-data:www-data
et tu veux lui uploader de nouveaux fichiers à servir avec MonUserFtp
fichiers qui doivent pouvoir être lûs par www-data?

Si c'est juste cela, il suffit de:

1- Changer les droits du DIR recevant les données:
chown www-data:www-data /dir (ça devrait déjà être le cas)
chmod u+r+w+x /dir
chmod g+r+w+x+s /dir
(soit: 42770)

2- Ajouter MonUserFtp à www-data:
adduser monuserftp www-data

3- Vérifier que tout va bien:
su - monuserftp
touch /dir/monfichierquecestuntest
ls -al /dir
-rw-r--r-- 1 monuserftp www-data 0 oct. 25 17:03 monfichierquec estuntest

--
A fail-safe circuit will destroy others.
-- Klipstein

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Grégory Bulot
Bonjour, Bonsoir,

Le Tue, 25 Oct 2011 17:15:18 +0200, Jean-Yves F. Barbier, vous avez
écrit :

On Tue, 25 Oct 2011 16:20:32 +0200
Grégory Bulot wrote:

> je souhaiterais utiliser un compte d'un vrai utilisateur (présent
> dans /etc/passwd) pour www-data lorsqu'il transfert des fichiers
> sur le serveur.

Histoire de voir si j'ai bien compris je reformule:
ton svr http fonctionne en www-data:www-data
et tu veux lui uploader de nouveaux fichiers à servir avec MonUserFtp
fichiers qui doivent pouvoir être lûs par www-data?



+ modifiés : je ne connais pas l'outil qui sera mis en place (boutique
en ligne), mais j'imagine bien ajoute d'images avec génération de
vignettes

1- Changer les droits du DIR recevant les données:
chown www-data:www-data /dir (ça devrait déjà être le cas)
chmod u+r+w+x /dir
chmod g+r+w+x+s /dir
(soit: 42770)



Effectivement je n'ai pas cherché du côte des droits spéciaux


2- Ajouter MonUserFtp à www-data:
adduser monuserftp www-data



bon, j'avais déjà fait ça, tout n'est pas perdu :-D


3- Vérifier que tout va bien:
su - monuserftp
touch /dir/monfichierquecestuntest
ls -al /dir
-rw-r--r-- 1 monuserftp www-data 0 oct. 25 17:03
monfichierquecestuntest



Je teste demain, merci pour cette piste alternative. [n'empêche ce truc
avec proftp ça me perturbe :-p ]



--
Cordialement
Grégory BULOT

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Jean-Yves F. Barbier
On Tue, 25 Oct 2011 19:58:44 +0200
Grégory Bulot wrote:

Bonjour, Bonsoir,



Bonjoir,

...
> Histoire de voir si j'ai bien compris je reformule:
> ton svr http fonctionne en www-data:www-data
> et tu veux lui uploader de nouveaux fichiers à servir avec MonUser Ftp
> fichiers qui doivent pouvoir être lûs par www-data?

+ modifiés : je ne connais pas l'outil qui sera mis en place (boutiq ue
en ligne), mais j'imagine bien ajoute d'images avec génératio n de
vignettes



ça ne pose aucun PB puisque le owner des fichiers reste le user ftp et que
les fichiers héritent du umask standard (622), seul le group change ve rs
www-data.

On a donc la combinaison (en soi:) recherchée:
user ftp peut R/W les fichiers,
www-data peut juste les lire.

Ca a aussi un effet de bord inattendu et pratique, à savoir que mà ªme si le
svr http est compromis, le malfaisant ne peut pas toucher aux fichiers
sans obtenir les droits du user ftp, ce qui est quasiment impossible à
moins d'avoir simultanément une faille dans le svr et une autre dans le
kernel ou le pgm de login.

...
Je teste demain, merci pour cette piste alternative. [n'empêche ce t ruc
avec proftp ça me perturbe :-p ]



ça ne devrait pas, il faut être feignant et faire le plus simple possible;
et si utiliser cette solution fonctionne bien, il n'y a aucune raison
d'aller rechercher une solution plus alambiquée qui risque de poser
d'autres PBs.

Par contre, si ça ne marche pas du 1er coup ça voudra dire que le s options
ajoutées dans apache collisionnent avec les nouveaux droits du DIR et qu'il
faudra les virer de la conf (de toute façon, il faudra les virer puisq u'elles
ne servent plus à rien).

--
A clever prophet makes sure of the event first.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Grégory Bulot
Bonjour, Bonsoir,

Le Tue, 25 Oct 2011 17:15:18 +0200, Jean-Yves F. Barbier, vous avez
écrit :

Histoire de voir si j'ai bien compris je reformule:
ton svr http fonctionne en www-data:www-data
et tu veux lui uploader de nouveaux fichiers à servir avec MonUserFtp
fichiers qui doivent pouvoir être lûs par www-data?

Si c'est juste cela, il suffit de:

1- Changer les droits du DIR recevant les données:
2- Ajouter MonUserFtp à www-data:
3- Vérifier que tout va bien:



ça roule



--
Cordialement
Grégory BULOT

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/