En finir avec les droits UNIX ?

[renaud26]

Bonjour à tous,

J'ai un dédié Centos 5 avec PLesk 10.
Sur ce serveur, des domaines que je suis seul à gérer, que ce soit le FTP, le Shell ou l'interface Plesk.
Les utilisateurs n'ont qu'un accès Web via des interfaces privées.

Les sites installés utilisent pas mal de fonctions qui manipulent les fichiers...

Alors ma question est : comment configurer le serveur pour éviter, à chaque fois que j'installe un site, de se taper des CHMODS dans tous les sens, et évidemment éviter les "Permission denied" au moindre fopen() ou move_uploaded_file() ?

J'ai fait pas mal de recherches sur Google mais rien vu de clair : des users, des groups...
Auriez-vous des conseils, des pistes, des tutos pour en finir un bonne fois pour toutes avec ce truc ?
Merci beaucoup d'avance.

[frp31]

mode connerie activé :
dégages du monde unix et va sous windows.
mode connerie fin

[Loceka]

Tu peux modifier le umask dans /etc/profile et dans ton ~/.bashrc (ou ~/.bash_profile, je sais plus) et le mettre à 0000. Ca créera tes fichiers en 666 et tes répertoires en 777.

Il faudra quand même rendre exécutable les fichiers exécutables par contre.

[renaud26]

Mode correcteur activé
Les verbes du 1er groupe, à l'impératif, ne prennent pas de s
Mode correcteur fin

Et à part ça ? une idée sur la question qui puisse m'aider ?

[renaud26]

A Loceka : bonjour et merci de ta réponse.

Je vais regarder de ce côté là.
J'ai depuis hier fait de nouvelles recherches et il semblerait que ce soit bien un problème de groupe et d'utilisateurs.
Une fois qu'un fichier a été modifié (ou crée) par PHP, son propriétaire devient Apache au lieu de "ftp-user" et plus moyen de rien faire dessus, même pas l'écraser via FTP.

C'est vraiment ce mécanisme que je voudrais modifier.

EDIT :
J'ai regardé le fichier etc/bashrc et voici la portion qui semble traiter umask :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
if [ $UID -gt 99 ] && [ "`id -gn`" = "`id -un`" ]; then
	umask 002
else
	umask 022
fi

Faut-il que je remplace 002 par 000 ?

[Loceka]

Ben si c'est un problème de "owner" ça va pas résoudre ton souci.
Par contre si le fait de mettre tous les droits en lecture et écriture sur les fichiers résoud le problème alors oui, il suffit de passer les umask à 000 (ou 0000).

Donc fais le test avant en mettant à la main un chmod 666 sur tes fichiers pour voir si ça change quelque chose à ton problème.

Après, si tu ajoutes des fichiers par FTP/SFTP/... il est possible qu'il n'utilise pas les fichiers de configuration /etc/profile, /etc/bashrc, ~/... pour l'outil.
Auquel cas il te faudra voir si c'est faisable dans l'outil en question (par exemple pour FTP je suis pas sûr...).

[renaud26]

Oui, si je mets le fichier en 666, ça fonctionne.
Ce que je voulais éviter, c'est justement de devoir modifier les CHMOD des dossiers et fichiers qui peuvent être concernés par les droits.

Par contre, après de nouvelles recherches, je vois que le fichier etc/proftpd.conf est aussi concerné par le umask :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask				022

Du coup, je ne sais plus trop lequel modifier...

[Loceka]

Si tes fichiers sont créés par FTP, modifie juste le fichier de conf de FTP.

Si tu les crées via un shell (ssh, compte unix, ...) c'est dans /etc et ton home.

Si c'est via d'autres logiciels, je sais pas.

[renaud26]

Euh... mes dossiers et fichiers sont chargés par FTP et ensuite ils sont modifiés / crées via les scripts PHP
Je n'utilise pas shell pour cela.
Mais je voudrais bien que cette modif soit valable pour tout le serveur et pas par site...

[Marc3001]

Et pourquoi ne pas avoir pour chaque site un compte sur la machine qui sera utilisé par ftp et pour lancer les process apache de ce site?

[renaud26]

Citation:

Et pourquoi ne pas avoir pour chaque site un compte sur la machine qui sera utilisé par ftp et pour lancer les process apache de ce site?

Bonjour,

Je ne comprends pas trop bien la question...
Pour chaque site, dans Plesk, le domaine (le site) est crée, et oui, ils ont chacun un compte et accès FTP distinct (bien que les utilisateurs finaux ne connaissent pas ces identifiants et n'aient pas accès au FTP).
Donc pour le site A, si le user FTP est "toto", le propriétaire de ce qui est transféré est bien "toto".
Mais aussitôt que PHP intervient sur un fichier, le propriétaire devient Apache.
Et je ne sais pas comment, au niveau de PHP, faire en sorte que, pour un fopen() ou un move_uploaded_file(), par exemple, le proprio reste "toto" et pas Apache.

[Marc3001]

Je ne connais pas Plesk....

Dans l'idée, j'dirais pour chaque site :
- tu crées un compte spécifique
- tu fournis ce compte pour l'accès ftp
- tu lances les process apache de ce site avec ce compte

[jouana]

Bonjour,
Pour la gestion des droits tu peux regarder du coté des ACL.

Ensuite quand tu add un site web tu peux lui créer un groupe userweb et mettre les répertoires utilisés dans ton groupe.

Ensuite ton site web, user ou autres entre dans ce groupe, je ne sais pas comment c'est gérer en arrière plan.

Ensuite pour modifier les droits tu peux faire un script shell pour modifier les droits de tes fichiers, répertoires, exécutables.

[renaud26]

Plesk...bah, c'est comme cPannel ou autres...
Ce que je ne capte pas :

Citation:

tu lances les process apache de ce site avec ce compte

Qu'est ce que ça veut dire ? Quand l'utilisateur final va se connecter à son site et entrer dans son admin privée, il pourra charger des images, créer des fichiers etc, etc...via des formulaires (blindés). C'est là que les droits m'emm...bêtent !
Si il y a 100 sites, pas envie, à chaque fois, de devoir faire un 777 sur le dossier "images"...