Problèmes de droits sur des fichiers

[buxbux]

Bonjour !

J'ai un petit soucis de droit sur des fichiers, je vous expose la situation:
Je développe a l'aide d'un framework php. Celui-ci est équipe de "ligne de commande" permettant de travailler avec les fichier de code.
La ou mon problème se pose: des fichiers tels que les logs et fichiers cache sont manipulé a la fois par www-data et par moi lorsque j'use des ligne de commande du framework (exemple: php app/console cache:clear). Or les fichiers une fois manipulé par www-data, je n'est plus les droits dessus.

Mon répertoire de travail (du projet):

Citation:

total 52
drwxr-xr-x 6 bux www-data 4096 2011-09-10 12:21 app
drwxr-xr-x 2 bux www-data 4096 2011-08-26 09:02 bin
-rw-r--r-- 1 bux www-data 1809 2011-09-09 14:05 deps
-rw-r--r-- 1 bux bux 1590 2011-09-08 11:46 deps~
-rw-r--r-- 1 bux www-data 830 2011-08-26 09:02 deps.lock
-rw-r--r-- 1 bux www-data 1065 2011-08-26 09:02 LICENSE
drwxr-xr-x 3 bux www-data 4096 2011-09-07 14:00 nbproject
-rw-r--r-- 1 bux www-data 6407 2011-08-26 09:02 README.md
-rw-r--r-- 1 bux www-data 33 2011-09-06 11:35 secret
drwxr-xr-x 4 bux www-data 4096 2011-09-07 16:26 src
drwxr-xr-x 14 bux www-data 4096 2011-09-09 14:06 vendor
drwxr-xr-x 3 bux www-data 4096 2011-09-10 12:21 web

Les fichier manipulé par www-data (c'est le répertoire cache):

Citation:

total 17368
drwxrwxrwx 2 www-data www-data 36864 2011-09-10 12:22 annotations
-rwxrwxrwx 1 www-data www-data 57700 2011-09-10 12:21 appDevDebugProjectContainerCompiler.log
-rwxrwxrwx 1 www-data www-data 158585 2011-09-10 12:21 appDevDebugProjectContainer.php
-rwxrwxrwx 1 www-data www-data 44100 2011-09-10 12:21 appDevDebugProjectContainer.php.meta
-rwxrwxrwx 1 www-data www-data 160353 2011-09-10 12:21 appDevDebugProjectContainer.xml
-rw-rw-rw- 1 www-data www-data 13642 2011-09-10 12:22 appdevUrlGenerator.php
-rw-rw-rw- 1 www-data www-data 3232 2011-09-10 12:22 appdevUrlGenerator.php.meta
-rw-rw-rw- 1 www-data www-data 14785 2011-09-10 12:22 appdevUrlMatcher.php
-rw-rw-rw- 1 www-data www-data 3232 2011-09-10 12:22 appdevUrlMatcher.php.meta
drwxrwxrwx 3 www-data www-data 4096 2011-09-09 14:08 assetic
-rwxrwxrwx 1 www-data www-data 5822 2011-09-10 12:21 classes.map
-rw-r--r-- 1 www-data www-data 233553 2011-09-10 12:22 classes.php
-rw-r--r-- 1 www-data www-data 16543 2011-09-10 12:22 classes.php.meta
drwxrwxrwx 3 www-data www-data 4096 2011-09-09 14:08 doctrine
-rwxrwxrwx 1 www-data www-data 16950272 2011-09-10 12:22 profiler.db
drwxrwxrwx 3 www-data www-data 4096 2011-09-09 14:08 security
drwxrwxrwx 39 www-data www-data 4096 2011-09-10 12:05 twig

On peut constater que la plupart sont en -rw-r--r-- (les autres en drwxrwxrwx car je fait des chmod 777 -R pour m'en sortir).

Je ne comprend pas trop comment je peux faire en sorte que moi (user bux) et www-data puissions avoir les droits sur les fichiers.

[ram-0000]

Citation:

Envoyé par buxbux

Je ne comprend pas trop comment je peux faire en sorte que moi (user bux) et www-data puissions avoir les droits sur les fichiers.

Mettre bux dans le group www-data ?

Et sinon, pour faire plus de chose que les droits Unix ne le permettent (c'est vrai que dans ce cas là, ils sont pauvres), il y a les ACL (qui étendent le système de droits standards Unix) mais je ne sais pas comment ils fonctionnent sous Unix.

[buxbux]

Salut, merci de ta réponse =)
Cela sera-il suffisant sachant que les fichiers créé sont de droit -rw-r--r-- ? Si je me souvient bien le "groupe" a uniquement le droit de lecture la non ?

[becket]

Pour faire cela proprement il faut utiliser des acl

[Marc3001]

Perso j'aurais tendance à laisser comme c'est. Séparer le compte de dev et celui de l'apache me paraît bon.

Pourquoi tu te connecte pas avec www-data pour copier tes fichiers de ton répertoire de travail vers ton répertoire cache ?

[buxbux]

Je jetterais un coup d'œil aux acl pour voir, je n'est jamais utilisé.

Citation:

Perso j'aurais tendance à laisser comme c'est. Séparer le compte de dev et celui de l'apache me paraît bon.

Pourquoi tu te connecte pas avec www-data pour copier tes fichiers de ton répertoire de travail vers ton répertoire cache ?

Le problème ne se situe pas vraiment là. Le problème c'est que les fichiers de mon projets sont manipulé par www-data (projet php) autant que par moi (bux) car le framework de développement nécessite l'utilisation de commandes, comme par exemple la génération automatique de la base de donnée a partir des entité que l'on a spécifié, nettoyage du cache.
Et comme certains de ces fichiers (généralement le cache et les logs) générés automatiquement ne comporte pas le droit d'écriture sur le groupe (-rw-r--r--) ca m'oblige a faire des chmod 777 de temps en temps.

Je pourrais effectivement passer tout les fichier en propriété de www-data et utiliser www-data pour travailler, mais bon c'est pas très propre ...

[cboudy]

Peut être que tu peux configurer ton framework pour que les fichiers soient crées en -rw-rw-r-- et non en -rw-r--r-- ?

[Sve@r]

Salut

Tu mets ton répertoire en drwxrwx--- www-data www-data
Tu mets tes fichiers en -rw-rw---- www-data www-data
Tu mets le user "bux" comme invité du groupe www-data (tu rajoutes "bux" en fin de ligne "www-data" dans le fichier /etc/group)

Citation:

Envoyé par buxbux

Le problème ne se situe pas vraiment là. Le problème c'est que les fichiers de mon projets sont manipulé par www-data (projet php) autant que par moi (bux) car le framework de développement nécessite l'utilisation de commandes, comme par exemple la génération automatique de la base de donnée a partir des entité que l'on a spécifié, nettoyage du cache.
Et comme certains de ces fichiers (généralement le cache et les logs) générés automatiquement ne comporte pas le droit d'écriture sur le groupe (-rw-r--r--) ca m'oblige a faire des chmod 777 de temps en temps.

Déjà le chmod 777 c'est la commande du fainéant qui a la flemme d'essayer de comprendre les droits Unix et qui se retrouve tout étonné quand on lui pirate son système. Tu as pensé à configurer le umask du user qui lance le framework ??? Faut le mettre en 007 ainsi tous les répertoires et fichiers exécutables nouvellement créés seront en 770 et tous les fichiers non exécutables seront en 660.

Citation:

Envoyé par buxbux

Je pourrais effectivement passer tout les fichier en propriété de www-data et utiliser www-data pour travailler, mais bon c'est pas très propre ...

Dès que tu es invité dans le groupe www-data, le système te considère implicitement comme faisant aussi partie de ce groupe (même si ce n'est pas ton groupe principal).

[buxbux]

Salut Sve@r,
Merci pour cette réponse complète. En effet, le tout configuré comme ça est déjà beaucoup plus propre. Cependant il reste un petit détail qui a son importance:
Lorsque je vais par exemple exécuter la commande de nettoyage du cache du framework:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

php app/console cache:clear

Les fichiers créés par cette commande son 'own' par mon utilisateur:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$ ls -l app/cache/
total 4
drwxrwx--- 7 bux bux 4096 2011-09-29 14:56 dev

Et il en va donc de même a chaque fois que la commande que j’exécute écrit un fichier. Ce qui bloque ensuite www-data lorsque il veut travailler sur ces fichiers/répertoires.

[Marc3001]

2 choix :
- Mets www-data en groupe principal de ton user bux (les fichiers créés auront comme groupe proprio www-data)
- Ajoute bux en groupe secondaire du user www-data

[buxbux]

Citation:

Envoyé par Marc3001

2 choix :
- Mets www-data en groupe principal de ton user bux (les fichiers créés auront comme groupe proprio www-data)
- Ajoute bux en groupe secondaire du user www-data

1: Hm, pas trop envie que tout mes fichier se crées en www-data comme own ^^
2: C'est différent de:

Citation:

Tu mets le user "bux" comme invité du groupe www-data (tu rajoutes "bux" en fin de ligne "www-data" dans le fichier /etc/group)

?

Edit: 2: -> a oui j'avais pas saisie arf ^^ Je tente

[buxbux]

Citation:

Envoyé par buxbux

Edit: 2: -> a oui j'avais pas saisie arf ^^ Je tente

Bon, www-data fait bien partie du groupe 'bux', les fichiers sont en 770. Mais le framework me dit qu'il n'arrive pas a écrire dans le dossier ...
Pff ..

[Marc3001]

Le dossier aussi est en 770?

[buxbux]

Citation:

Envoyé par Marc3001

Le dossier aussi est en 770?

Ouaip.

Regarde, truc que je pige pas (j'ai passé le repertoire cache en 777 pour continuer a bosser) le repertoire correspond a ça:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
$ ls -l app/
total 84
-rwxrwx--- 1 www-data www-data   141 2011-09-29 15:16 AppCache.php
-rwxrwx--- 1 www-data www-data  1901 2011-09-29 15:16 AppKernel.php
-rwxrwx--- 1 www-data www-data  2215 2011-09-29 15:16 autoload.php
-rwxrwx--- 1 www-data www-data 40144 2011-09-29 15:16 bootstrap.php.cache
drwxrwxrwx 3 www-data www-data  4096 2011-09-29 15:24 cache
-rwxrwx--- 1 www-data www-data  6030 2011-09-29 15:16 check.php
drwxrwx--- 2 www-data www-data  4096 2011-09-29 15:16 config
-rwxrwx--- 1 www-data www-data   495 2011-08-26 09:02 console
drwxrwx--- 2 www-data www-data  4096 2011-09-10 15:32 logs
-rwxrwx--- 1 www-data www-data  1327 2011-09-29 15:16 phpunit.xml.dist
drwxrwx--- 5 www-data www-data  4096 2011-09-10 15:14 Resources

Et si je fait un chmod:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$ chmod 770 app/cache
chmod: modification des permissions de «app/cache»: Opération non permise

Alors qu'il est en 777 et qu'en plus 'bux' est dans le groupe 'www-data'.

[Marc3001]

J'dis ptet une bêtise mais pour faire un chmod, avoir les droits d'écriture ne suffit pas, il faut être le propriétaire non?

[buxbux]

Je saurais pas dire, mais ca répondrais a la question précédente ^^

[Sve@r]

Citation:

Envoyé par buxbux

Je saurais pas dire, mais ca répondrais a la question précédente ^^

Seul le propriétaire d'un fichier peut modifier les droits du fichier (c'est d'ailleurs évident sinon cela ne servirait à rien de mettre des droits !!!)

Citation:

Envoyé par Marc3001

2 choix :
- Ajoute bux en groupe secondaire du user www-data

Ca ne servira pas dans ce cas. Etre invité dans un groupe secondaire permet d'utiliser les droits du groupe pour travailler sur un fichier appartenant à ce groupe. Mais si on crée un nouveau fichier, le système lui mettra le groupe principal de celui qui crée le fichier (ce qui se comprend car on peut être invité dans plusieurs groupes mais on n'a qu'un seul groupe principal)

Citation:

Envoyé par buxbux

Salut Sve@r,
Merci pour cette réponse complète. En effet, le tout configuré comme ça est déjà beaucoup plus propre. Cependant il reste un petit détail qui a son importance:
Lorsque je vais par exemple exécuter la commande de nettoyage du cache du framework:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

php app/console cache:clear

Les fichiers créés par cette commande son 'own' par mon utilisateur:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Et il en va donc de même a chaque fois que la commande que j’exécute écrit un fichier. Ce qui bloque ensuite www-data lorsque il veut travailler sur ces fichiers/répertoires.

Tu peux aussi mettre www-data invité du groupe bux comme ça les deux users auront plein accès chacun au groupe de l'autre mais c'est pas super propre.

Personnellement je mettrais un setgid sur le répertoire /app/cache. Ainsi, tous les fichiers créés dans ce répertoire auront automatiquement comme groupe le groupe du répertoire /app/cache (ici www-data)...