[gepi-users] problème de sécurité sur des dossiers appartenant à gepi.
bdesroches at free.fr
bdesroches at free.fr
Lun 18 Sep 16:55:46 CEST 2006
Oh oui !
toutes mes excuses pour le 7 de trop... 777 jamais ça en effet!!!
Bruno Desroches
Selon "Stephane Boireau (Animateur Secteur Bernay/Pont-Audemer)"
<stephane.boireau at ac-rouen.fr>:
> Bonsoir,
>
> Le Dimanche 17 Septembre 2006 21:18, bdesroches at free.fr a écrit :
> > Mais en root, les fichiers ne doivent même pas s'afficher, non ?
>
> Que veux-tu dire?
> root peut tout faire.
> Même si tu fais un
> chmod 000 fichier.txt
> root parviendra à y accéder.
>
> Je crée un fichier en tant que root:
> =====================
> se3vmw:~# echo blabla > trux.txt
> se3vmw:~#
> =====================
>
> Voilà le fichier parmi d'autres:
> =====================
> se3vmw:~# ls
> init_quota.log modif.ldif sauvegarde2.ldif trux.txt
> se3vmw:~#
> =====================
>
> Je ne donne aucun droit:
> =====================
> se3vmw:~# chmod 000 trux.txt
> se3vmw:~#
> =====================
>
> Voilà le fichier avec ses nouveaux droits:
> =====================
> se3vmw:~# ls -l
> total 108
> -rw-r--r-- 1 root root 57 2006-06-07 23:12 init_quota.log
> -rw-r--r-- 1 root root 153 2006-09-17 21:13 modif.ldif
> -rw-r--r-- 1 root root 92533 2006-09-17 21:12 sauvegarde2.ldif
> ---------- 1 root root 5 2006-09-17 21:55 trux.txt
> se3vmw:~#
> =====================
>
> Bien qu'il n'y ait aucun droit, je peux quand même en tant que root en
> afficher le contenu:
> =====================
> se3vmw:~# cat trux.txt
> trux
> se3vmw:~#
> =====================
>
> Un autre utilisateur que root ne pourrait pas:
> =====================
> $ echo coucou > coucou.txt
> $ chmod 000 coucou.txt
> $ ls -l coucou.txt
> ---------- 1 steph steph 7 2006-09-17 22:03 coucou.txt
> $ cat coucou.txt
> cat: coucou.txt: Permission non accordée
> $
> =====================
> Par contre, comme je suis propriétaire du fichier, je peux en changer les
> droits et en afficher ensuite le contenu.
>
>
>
> Sinon, si tu veux cacher des fichiers, tu peux effectivement mettre:
> chown root fichier.txt
> chmod 700 fichier.txt
> mais dans ce cas, même www-data ne pourra pas y accéder et aucun visiteur via
> son navigateur non plus.
> A partir du moment où un visiteur depuis son navigateur effectue une requête
> pour visiter telle ou telle page, la requête est envoyée au serveur web, qui
> parcourt l'arborescence du serveur web en tant que www-data et ne peut pas
> donner l'accès à autre chose que ce que www-data peut atteindre.
>
>
> > Le mieux c'est de mettre tout le réperoire :
> > chown -R www-data.www-data *
> > puis d'aller mettre en 777 le répertoire Documents
>
> 770 suffit.
> Les documents seront déposés via l'interface web donc en tant que www-data.
>
> Mettre des droits à 777 sur quelque chose n'est pas raisonnable.
> Cela permet à n'importe qui quel que soit son moyen d'accès de faire des
> dégats...
> Là avec 770, on limite les moyens d'accès à un accès vers le serveur apache
> (port 443).
>
> Cordialement.
> --
> Stéphane Boireau
> Animateur TICE sur le Secteur de Bernay/Pont-Audemer (27)
>
> _______________________________________________
> gepi-users mailing list
> gepi-users at lists.adullact.net
> https://lists.adullact.net/mailman/listinfo/gepi-users
>
Plus d'informations sur la liste de diffusion gepi-users