[gepi-users] Re: problème de sécurité sur des dossiers appartenant à gepi.

[Stephane Boireau (Animateur Secteur Bernay/Pont-Audemer)]

Bonsoir,

Le Mardi 19 Septembre 2006 18:47, david_Pailler a écrit :
>  J'ai lu vos arguments,Benoit Castagnetto m'en a  opposé d'autres:
>
> Si le serveur est compromis via apache, le pirate aura les droits de
> www-data et donc ne pourra tout effacer si c'est root qui est
> propriétaire des fichiers. Donc il faut laisser les droits et la
> propriété à www-data sur les répertoires où apache a besoin d'écrire:
> secure ; backup; documents et images.
>
> Par contre sur le reste on peut mettre les droits root.

Ce n'est pas faux...
... il y a quand même un fichier dont les droits à 775 m'embêteraient, c'est:
/secure/connect.inc.php

Ceci étant dit si on laisse apache propriétaire de /secure/connect.inc.php 
avec des droits à 750, les autres fichiers/dossiers ne sont pas vraiment 
sensibles (sauf le dossier de backup si des sauvegardes s'y trouvent).

Une archive GEPI, c'est facile à remettre en place.
Par contre, si le pirate peut mettre la main sur les sauvegardes GEPI, il peut 
s'attaquer au crack des mots de passe utilisateur.
De la même façon, ce qui est vraiment sensible, c'est la base MySQL.
Il faut donc que le dossier de backup et ses sous-dossiers ne soient pas nono 
plus world-readable.

Du coup, je ne sais pas si c'est vraiment si intéressant...
... peut-être quand même pour éviter un défaçage du site qui est du plus 
mauvais effet...
... mais en conservant certains dossiers/fichiers non world-readable et du 
coup, forcément avec apache pour propriétaire ou pour groupe propriétaire.

Et des proprios à:
	root:www-data
Et des droits à 750 sauf pour quelques dossiers et fichiers à mettre à 770.
Ca ne serait pas mal, non?

Cordialement.
-- 
Stéphane Boireau
Animateur TICE sur le Secteur de Bernay/Pont-Audemer (27)