Question de sécurité (droits 777)

gazelle · 16/04/2008, 16h03

Bonjour,

Imaginons un serveur web sur lequel serait hébergé un site.
Ensuite, des utilisateurs s'enregistre sur le site et acquièrent par la même occasion un compte utilisateur sur la machine.
Je précise qu'ils n'auront pas le mot de passe de leur compte utilisateur. (donc pas de SSH et ni de SFTP)

Dans leur /home/user, ils auront un dossier public_html car ils auront une page perso.

La seule chose qu'il pourront faire c'est envoyer des données via le site web dans leur /home/user/public_html.
Mais pour l'upload de ces données, j'ai du mettre les droits à 777 à user et au dossier public_html.

Cela n'est-il pas un trou de sécurité pour un pirate?

Sachant qu'aucun n'aura le mot de passe de son compte utilisateur... (car les droits suffisent à uploader dans ces répertoires)

Merci d'avance pour vos réponses

frp31 · 16/04/2008, 16h06

quel est l'interet des droits > a 755 si chaque utilisateur a son propre site ?

le droits en ecriture n'est pas necessaire pour que les autres puissent y entrer et consulter les pages.

gazelle · 16/04/2008, 16h13

quel est l'interet des droits > a 755 si chaque utilisateur a son propre site ?

Ici, il ne s'agit pas de ça.
Il s'agit d'uploader des données à partir du site web dans le répertoire des utilisateurs dans leur public_html. Pour les uploader, je suis obligé de mettre les droits à 777 pour le dossie /home/user et public_html.

le droits en ecriture n'est pas necessaire pour que les autres puissent y entrer et consulter les pages.

Oui je sais.

(de toute façon le répertoire public_html sera protégé pour tout le monde avec un .htaccess pour que les autres utilisateurs ne puissent pas y avoir accès)

Ce sera un accès privé pour chaque utilisateur.

gazelle · 16/04/2008, 16h38

Sinon, est-ce possible de rajouter tout mes comptes utilisateur au groupe secondaire apache pour faire cette upload?

SnakemaN · 16/04/2008, 16h39

Pourquoi le pas faire les transfert par FTP ? C'est très simple à faire sur une page web !

Avec vsFTPd tu peux faire des droits et une sécurité aux petits oignons

Citation:

Envoyé par gazelle

Sinon, est-ce possible de rajouter tout mes comptes utilisateur
au groupe secondaire apache pour faire cette upload?

Oui mais ca sert absolument a rien, c'est pas le serveur qui va faire l'upload, c'est le client, a moins que tu ais fait autrement, mais la c'est un trou de sécu.

gazelle · 16/04/2008, 16h54

J'ai du mal à te suivre là...

C'est les utilisateurs qui devront envoyer leurs données eux même. Si je leur donne accès au FTP et donc à leur mot de passe, j'ai bien peur que ce ne soit sécurisé...

a moins que tu ais fait autrement, mais la c'est un trou de sécu

Pour l'instant, j'ai juste mis tous les droits en 777 pour uploader facilement. Après, les utilisateurs n'ont pas les mots de passe de leur compte sur la machine...

C'est un trou de sécu ce que j'ai fais?

Sachant que les autres utilisateurs de la machine seront les administrateurs du site, donc aucun problème.

SnakemaN · 16/04/2008, 17h00

Tu n'es pas obligé de leur donner LE mot de passe pour le ftp, simplement créer un utilisateur virtuel pour chaque utilisateur avec chacun ses restrictions, dans ton cas, impossibilité de naviguer ailleurs que dans le dossier défini, upload autorisé etc.....

Je pense pas que tu trouve plus sécurisé que vsFTPd

http://doc.ubuntu-fr.org/vsftpd
http://www.andesi.org/reseau:vsftpd-...rise-et-simple

gazelle · 16/04/2008, 17h15

Et bien je te remercie de ta réponse, je crois qu'elle va m'être d'une aide très précieuse !!

Car dans mon cas, j'avais déjà demandé à quelqu'un qui m'avait parlé de PAM et de Mysql, je viens là de découvrir le lien entre l'upload des données et ce PAM dont il m'avait parlé:

=> vsFTPd

Et j'ai trouvé cette documentation ici :

http://doc.fedora-fr.org/wiki/Vsftpd...n#Introduction

(je suis sous fedora)

Encore merci, je n'ai plus qu'à continuer quelques recherches pour mettre en place ceci...

gazelle · 17/04/2008, 10h35

J'ai une autre question, après avoir configuré, vsFTPd et PAM avec MySQL, comment fait-on dans ces pages php, est-ce simplement comme d'habitude c'est-à-dire avec un move_upload_file?

Je n'ai trouvé aucune documentation la dessus...

Merci d'avance...

gazelle · 17/04/2008, 11h31

Citation:

Envoyé par gazelle

J'ai une autre question, après avoir configuré, vsFTPd et PAM avec MySQL, comment fait-on dans ces pages php, est-ce simplement comme d'habitude c'est-à-dire avec un move_upload_file?

Je n'ai trouvé aucune documentation la dessus...

Merci d'avance...

Euh, je crois que je me suis mal fait comprendre... Ok c'est un serveur ftp, donc connexion grâce à un client ftp...
mais à l'origine je vérifiais les extension des fichiers à uploader. En effet, mon serveur web est un serveur d'application, les utilisateurs ne sont pas censés mettre des documents dans son /home... et, en l'occurrence, n'importe quels fichiers...

Puis-je garder ma stratégie de départ avec le chmod 777? Y a-t-il un trou de sécurité dans ce que j'avais fait au tout début?

SnakemaN · 17/04/2008, 11h38

Bé tu peux au moins mettre 765 pour éviter l'exécution de code malveillant, apres pour l'upload, faut voir dans le forum php pour la question de l'upload par ftp en php

t'as les fonctions comme ftp_connect(), ftp_login(), ftp_put(), ftp_site() et ftp_quit()
Par ex :

Code :

$ftpc = ftp_connect("ftp.tonftp");
$toto = ftp_login($ftpc, "mon login", "mon pass");
$toto = ftp_put($ftpc,"PATH-FTP/file_name",$file,FTP_BINARY);
$toto = ftp_site($ftpc,"CHMOD 765 PATH-FTP/$file_name");
$toto = ftp_quit($ftpc);

gazelle · 17/04/2008, 14h53

Merci, c'est ce que je voulais...^^

16/04/2008, 16h03	#1 (permalink)
gazelle Membre à l'essai Date d'inscription: janvier 2006 Localisation: Amiens Âge: 21 Messages: 49	Question de sécurité (droits 777) Bonjour, Imaginons un serveur web sur lequel serait hébergé un site. Ensuite, des utilisateurs s'enregistre sur le site et acquièrent par la même occasion un compte utilisateur sur la machine. Je précise qu'ils n'auront pas le mot de passe de leur compte utilisateur. (donc pas de SSH et ni de SFTP) Dans leur /home/user, ils auront un dossier public_html car ils auront une page perso. La seule chose qu'il pourront faire c'est envoyer des données via le site web dans leur /home/user/public_html. Mais pour l'upload de ces données, j'ai du mettre les droits à 777 à user et au dossier public_html. Cela n'est-il pas un trou de sécurité pour un pirate? Sachant qu'aucun n'aura le mot de passe de son compte utilisateur... (car les droits suffisent à uploader dans ces répertoires) Merci d'avance pour vos réponses Dernière modification par gazelle ; 16/04/2008 à 16h15 Motif: fautes de frappe dans le titre

16/04/2008, 16h06	#2 (permalink)
frp31 Membre Expert Date d'inscription: juillet 2006 Localisation: toulouse Messages: 1 474	quel est l'interet des droits > a 755 si chaque utilisateur a son propre site ? le droits en ecriture n'est pas necessaire pour que les autres puissent y entrer et consulter les pages. __________________ Bye @+ (\__/) (o..o) (") (") Soutenez le logiciel libre

16/04/2008, 17h00	#7 (permalink)
SnakemaN Membre émérite Date d'inscription: juillet 2006 Localisation: Toulouse Âge: 24 Messages: 837	Tu n'es pas obligé de leur donner LE mot de passe pour le ftp, simplement créer un utilisateur virtuel pour chaque utilisateur avec chacun ses restrictions, dans ton cas, impossibilité de naviguer ailleurs que dans le dossier défini, upload autorisé etc..... Je pense pas que tu trouve plus sécurisé que vsFTPd http://doc.ubuntu-fr.org/vsftpd http://www.andesi.org/reseau:vsftpd-...rise-et-simple __________________ C'est le signe d'un fou, qu'avoir honte d'apprendre Ubuntu 8.04 Hardy Heron @home LE guide libre Linux & Ubuntu pour tous : Simple comme Ubuntu Pour fêter la nouvelle version Scrouncht

17/04/2008, 11h38	#11 (permalink)
SnakemaN Membre émérite Date d'inscription: juillet 2006 Localisation: Toulouse Âge: 24 Messages: 837	Bé tu peux au moins mettre 765 pour éviter l'exécution de code malveillant, apres pour l'upload, faut voir dans le forum php pour la question de l'upload par ftp en php t'as les fonctions comme ftp_connect(), ftp_login(), ftp_put(), ftp_site() et ftp_quit() Par ex : Code : $ftpc = ftp_connect("ftp.tonftp"); $toto = ftp_login($ftpc, "mon login", "mon pass"); $toto = ftp_put($ftpc,"PATH-FTP/file_name",$file,FTP_BINARY); $toto = ftp_site($ftpc,"CHMOD 765 PATH-FTP/$file_name"); $toto = ftp_quit($ftpc); __________________ C'est le signe d'un fou, qu'avoir honte d'apprendre Ubuntu 8.04 Hardy Heron @home LE guide libre Linux & Ubuntu pour tous : Simple comme Ubuntu Pour fêter la nouvelle version Scrouncht Dernière modification par SnakemaN ; 17/04/2008 à 16h47

16/04/2008, 16h13	#3 (permalink)
gazelle Membre à l'essai Date d'inscription: janvier 2006 Localisation: Amiens Âge: 21 Messages: 49	quel est l'interet des droits > a 755 si chaque utilisateur a son propre site ? Ici, il ne s'agit pas de ça. Il s'agit d'uploader des données à partir du site web dans le répertoire des utilisateurs dans leur public_html. Pour les uploader, je suis obligé de mettre les droits à 777 pour le dossie /home/user et public_html. le droits en ecriture n'est pas necessaire pour que les autres puissent y entrer et consulter les pages. Oui je sais. (de toute façon le répertoire public_html sera protégé pour tout le monde avec un .htaccess pour que les autres utilisateurs ne puissent pas y avoir accès) Ce sera un accès privé pour chaque utilisateur.

16/04/2008, 16h38	#4 (permalink)
gazelle Membre à l'essai Date d'inscription: janvier 2006 Localisation: Amiens Âge: 21 Messages: 49	Sinon, est-ce possible de rajouter tout mes comptes utilisateur au groupe secondaire apache pour faire cette upload?

16/04/2008, 16h54	#6 (permalink)
gazelle Membre à l'essai Date d'inscription: janvier 2006 Localisation: Amiens Âge: 21 Messages: 49	J'ai du mal à te suivre là... C'est les utilisateurs qui devront envoyer leurs données eux même. Si je leur donne accès au FTP et donc à leur mot de passe, j'ai bien peur que ce ne soit sécurisé... a moins que tu ais fait autrement, mais la c'est un trou de sécu Pour l'instant, j'ai juste mis tous les droits en 777 pour uploader facilement. Après, les utilisateurs n'ont pas les mots de passe de leur compte sur la machine... C'est un trou de sécu ce que j'ai fais? Sachant que les autres utilisateurs de la machine seront les administrateurs du site, donc aucun problème.

16/04/2008, 17h15	#8 (permalink)
gazelle Membre à l'essai Date d'inscription: janvier 2006 Localisation: Amiens Âge: 21 Messages: 49	Et bien je te remercie de ta réponse, je crois qu'elle va m'être d'une aide très précieuse !! Car dans mon cas, j'avais déjà demandé à quelqu'un qui m'avait parlé de PAM et de Mysql, je viens là de découvrir le lien entre l'upload des données et ce PAM dont il m'avait parlé: => vsFTPd Et j'ai trouvé cette documentation ici : http://doc.fedora-fr.org/wiki/Vsftpd...n#Introduction (je suis sous fedora) Encore merci, je n'ai plus qu'à continuer quelques recherches pour mettre en place ceci...

17/04/2008, 10h35	#9 (permalink)
gazelle Membre à l'essai Date d'inscription: janvier 2006 Localisation: Amiens Âge: 21 Messages: 49	J'ai une autre question, après avoir configuré, vsFTPd et PAM avec MySQL, comment fait-on dans ces pages php, est-ce simplement comme d'habitude c'est-à-dire avec un move_upload_file? Je n'ai trouvé aucune documentation la dessus... Merci d'avance...

17/04/2008, 14h53	#12 (permalink)
gazelle Membre à l'essai Date d'inscription: janvier 2006 Localisation: Amiens Âge: 21 Messages: 49	Merci, c'est ce que je voulais...^^

		Forum des développeurs > Hardware, Systèmes et Logiciels > Linux > Sécurité
Question de sécurité (droits 777)

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email