[gepi-users] problème de sécurité sur des dossiers appartenant à gepi.
Stephane Boireau (Animateur Secteur Bernay/Pont-Audemer)
stephane.boireau at ac-rouen.fr
Dim 17 Sep 22:07:48 CEST 2006
Bonsoir,
Le Dimanche 17 Septembre 2006 21:18, bdesroches at free.fr a écrit :
> Mais en root, les fichiers ne doivent même pas s'afficher, non ?
Que veux-tu dire?
root peut tout faire.
Même si tu fais un
chmod 000 fichier.txt
root parviendra à y accéder.
Je crée un fichier en tant que root:
=====================
se3vmw:~# echo blabla > trux.txt
se3vmw:~#
=====================
Voilà le fichier parmi d'autres:
=====================
se3vmw:~# ls
init_quota.log modif.ldif sauvegarde2.ldif trux.txt
se3vmw:~#
=====================
Je ne donne aucun droit:
=====================
se3vmw:~# chmod 000 trux.txt
se3vmw:~#
=====================
Voilà le fichier avec ses nouveaux droits:
=====================
se3vmw:~# ls -l
total 108
-rw-r--r-- 1 root root 57 2006-06-07 23:12 init_quota.log
-rw-r--r-- 1 root root 153 2006-09-17 21:13 modif.ldif
-rw-r--r-- 1 root root 92533 2006-09-17 21:12 sauvegarde2.ldif
---------- 1 root root 5 2006-09-17 21:55 trux.txt
se3vmw:~#
=====================
Bien qu'il n'y ait aucun droit, je peux quand même en tant que root en
afficher le contenu:
=====================
se3vmw:~# cat trux.txt
trux
se3vmw:~#
=====================
Un autre utilisateur que root ne pourrait pas:
=====================
$ echo coucou > coucou.txt
$ chmod 000 coucou.txt
$ ls -l coucou.txt
---------- 1 steph steph 7 2006-09-17 22:03 coucou.txt
$ cat coucou.txt
cat: coucou.txt: Permission non accordée
$
=====================
Par contre, comme je suis propriétaire du fichier, je peux en changer les
droits et en afficher ensuite le contenu.
Sinon, si tu veux cacher des fichiers, tu peux effectivement mettre:
chown root fichier.txt
chmod 700 fichier.txt
mais dans ce cas, même www-data ne pourra pas y accéder et aucun visiteur via
son navigateur non plus.
A partir du moment où un visiteur depuis son navigateur effectue une requête
pour visiter telle ou telle page, la requête est envoyée au serveur web, qui
parcourt l'arborescence du serveur web en tant que www-data et ne peut pas
donner l'accès à autre chose que ce que www-data peut atteindre.
> Le mieux c'est de mettre tout le réperoire :
> chown -R www-data.www-data *
> puis d'aller mettre en 777 le répertoire Documents
770 suffit.
Les documents seront déposés via l'interface web donc en tant que www-data.
Mettre des droits à 777 sur quelque chose n'est pas raisonnable.
Cela permet à n'importe qui quel que soit son moyen d'accès de faire des
dégats...
Là avec 770, on limite les moyens d'accès à un accès vers le serveur apache
(port 443).
Cordialement.
--
Stéphane Boireau
Animateur TICE sur le Secteur de Bernay/Pont-Audemer (27)
Plus d'informations sur la liste de diffusion gepi-users