[gepi-users] "warning" après identification suite à MAJ 1.4.3->1.50

Lun 10 Sep 07:56:24 CEST 2007

Bonjour,

Le lundi 10 septembre 2007 03:16, Christophe Bersihand a écrit :
> > Ca dépend.
> > Tu as bien cette case, n'est-ce pas?
> >
> > En fait, avec l'accès FTP, il y a plusieurs situations.
> > Ce qui est nécessaire:
> > - l'utilisateur ou le groupe sous les droits duquel tourne le serveur web
> > (sous un linux, c'est apache ou www-data généralement) doit pouvoir
> > écrire dans ces dossiers.
> >
> > Or votre accès FTP ne se fait pas en tant qu'utilisateur apache/www-data
> > en général.
>
> Oui, c'est pour ça que je pose la question car il est bien précisé dans
> le "warning" que le répertoire "temp" ne doit être accessible que par le
> serveur.

Oui.
Pour des questions de sécurité/confidentialité, chaque utilisateur a son 
propre sous dossier dans temp.
Pour que cette confidentialité soit assurée, il faut que les droits unix ne 
soient pas plus ouverts que nécessaire.
Dans l'idéal, seul l'utilisateur (ou l'utilisateur ftp/webmestre et le groupe 
apache) devrai(en)t avoir les droits rwx.

Cependant, bien souvent, le compte webmestre créé pour les transferts FTP chez 
un prestataire n'a pas apache pour groupe principal, mais un groupe ftpusers 
ou ftponly ou quelque chose de ce genre (*).
Dans ce cas, on doit mettre des droits 777.
La seule confidentialité assurée est du côté de la complexité du nom du 
sous-dossier.

Si quelqu'un peut se promener dans l'arborescence du serveur en ftp autre 
chose, les droits 777 lui permettront d'accéder au dossier.
Il faut alors espérer que le serveur est correctement sécurisé pour éviter ce 
genre de choses.

> > A partir de là:
> > - soit votre utilisateur FTP a le groupe apache/www-data pour groupe
> > principal et il suffit de donner des droits 770 (c'est-à-dire rwx pour le
> > propriétaire du dossier (user FTP) et le groupe (apache/www-data))
>
> Comment puis-je savoir si l'utilisateur FTP a le groupe apache comme
> groupe principal ?

Transférez un fichier et mettez des droits 750
Tentez ensuite d'y accéder dans votre navigateur en modifiant le chemin en 
barre d'adresse.
Si cela passe, il se pourrait que votre groupe principal soit apache... ou 
qu'il y ait un dispositif côté serveur pour permettre l'accès au groupe 
apache (des acl par exemple pourraient réaliser cela).

Sinon, on doit pouvoir voir ça en ligne de commande avec un 
	ls -l

Ceci étant dit, il pourrait aussi y avoir un script associé au serveur ftp 
pour changer le groupe principal de ce qui est transféré.

> > - sinon, il faut mettre des droits 777 (tous les droits à tout le monde)
> > sur ces dossiers.
>
> Je crois aussi que si l'on modifie les droits à l'aide d'un petit script
> PHP, c'est en qualité "d'utilisateur serveur" que s'effectue l'opération.

Pour que l'utilisateur apache puisse changer les droits, il faut qu'il soit 
propriétaire des fichiers/dosssiers sur lesquels il veut agir (ou alors il 
lui faut des droits root).

Sinon, il y a des choses possibles avec suphp, mais je ne suis pas au point 
là-dessus.

Cordialement.
-- 
Stephane Boireau
Animateur TICE Bernay/Pont-Audemer

PS:
(*) J'ai jeté un oeil sur plusieurs serveurs FTP.
Chez Free, j'ai un utilisateur 'web' et un groupe 'site'.
Sur un serveur académique, j'ai un utilisateur 'ftp' et un groupe 'ftp'.
Sur un autre serveur académique, j'ai des uidNumber/gidNumber.