Question de sécurité (droits 777) [Résolu]

[gazelle]

Bonjour,

Imaginons un serveur web sur lequel serait hébergé un site.
Ensuite, des utilisateurs s'enregistre sur le site et acquièrent par la même occasion un compte utilisateur sur la machine.
Je précise qu'ils n'auront pas le mot de passe de leur compte utilisateur. (donc pas de SSH et ni de SFTP)

Dans leur /home/user, ils auront un dossier public_html car ils auront une page perso.

La seule chose qu'il pourront faire c'est envoyer des données via le site web dans leur /home/user/public_html.
Mais pour l'upload de ces données, j'ai du mettre les droits à 777 à user et au dossier public_html.

Cela n'est-il pas un trou de sécurité pour un pirate?

Sachant qu'aucun n'aura le mot de passe de son compte utilisateur... (car les droits suffisent à uploader dans ces répertoires)

Merci d'avance pour vos réponses

[frp31]

quel est l'interet des droits > a 755 si chaque utilisateur a son propre site ?

le droits en ecriture n'est pas necessaire pour que les autres puissent y entrer et consulter les pages.

[gazelle]

quel est l'interet des droits > a 755 si chaque utilisateur a son propre site ?

Ici, il ne s'agit pas de ça.
Il s'agit d'uploader des données à partir du site web dans le répertoire des utilisateurs dans leur public_html. Pour les uploader, je suis obligé de mettre les droits à 777 pour le dossie /home/user et public_html.

le droits en ecriture n'est pas necessaire pour que les autres puissent y entrer et consulter les pages.

Oui je sais.

(de toute façon le répertoire public_html sera protégé pour tout le monde avec un .htaccess pour que les autres utilisateurs ne puissent pas y avoir accès)

Ce sera un accès privé pour chaque utilisateur.

[gazelle]

Sinon, est-ce possible de rajouter tout mes comptes utilisateur au groupe secondaire apache pour faire cette upload?

[SnakemaN]

Pourquoi le pas faire les transfert par FTP ? C'est très simple à faire sur une page web !

Avec vsFTPd tu peux faire des droits et une sécurité aux petits oignons

Citation:

Envoyé par gazelle

Sinon, est-ce possible de rajouter tout mes comptes utilisateur
au groupe secondaire apache pour faire cette upload?

Oui mais ca sert absolument a rien, c'est pas le serveur qui va faire l'upload, c'est le client, a moins que tu ais fait autrement, mais la c'est un trou de sécu.

[gazelle]

J'ai du mal à te suivre là...

C'est les utilisateurs qui devront envoyer leurs données eux même. Si je leur donne accès au FTP et donc à leur mot de passe, j'ai bien peur que ce ne soit sécurisé...

a moins que tu ais fait autrement, mais la c'est un trou de sécu

Pour l'instant, j'ai juste mis tous les droits en 777 pour uploader facilement. Après, les utilisateurs n'ont pas les mots de passe de leur compte sur la machine...

C'est un trou de sécu ce que j'ai fais?

Sachant que les autres utilisateurs de la machine seront les administrateurs du site, donc aucun problème.

[SnakemaN]

Tu n'es pas obligé de leur donner LE mot de passe pour le ftp, simplement créer un utilisateur virtuel pour chaque utilisateur avec chacun ses restrictions, dans ton cas, impossibilité de naviguer ailleurs que dans le dossier défini, upload autorisé etc.....

Je pense pas que tu trouve plus sécurisé que vsFTPd
http://doc.ubuntu-fr.org/vsftpd
http://www.andesi.org/reseau:vsftpd-...rise-et-simple

[gazelle]

Et bien je te remercie de ta réponse, je crois qu'elle va m'être d'une aide très précieuse !!

Car dans mon cas, j'avais déjà demandé à quelqu'un qui m'avait parlé de PAM et de Mysql, je viens là de découvrir le lien entre l'upload des données et ce PAM dont il m'avait parlé:

=> vsFTPd

Et j'ai trouvé cette documentation ici :

http://doc.fedora-fr.org/wiki/Vsftpd...n#Introduction

(je suis sous fedora)

Encore merci, je n'ai plus qu'à continuer quelques recherches pour mettre en place ceci...

[gazelle]

J'ai une autre question, après avoir configuré, vsFTPd et PAM avec MySQL, comment fait-on dans ces pages php, est-ce simplement comme d'habitude c'est-à-dire avec un move_upload_file?

Je n'ai trouvé aucune documentation la dessus...

Merci d'avance...

[gazelle]

Citation:

Envoyé par gazelle

J'ai une autre question, après avoir configuré, vsFTPd et PAM avec MySQL, comment fait-on dans ces pages php, est-ce simplement comme d'habitude c'est-à-dire avec un move_upload_file?

Je n'ai trouvé aucune documentation la dessus...

Merci d'avance...

Euh, je crois que je me suis mal fait comprendre... Ok c'est un serveur ftp, donc connexion grâce à un client ftp...
mais à l'origine je vérifiais les extension des fichiers à uploader. En effet, mon serveur web est un serveur d'application, les utilisateurs ne sont pas censés mettre des documents dans son /home... et, en l'occurrence, n'importe quels fichiers...

Puis-je garder ma stratégie de départ avec le chmod 777? Y a-t-il un trou de sécurité dans ce que j'avais fait au tout début?

[SnakemaN]

Bé tu peux au moins mettre 765 pour éviter l'exécution de code malveillant, apres pour l'upload, faut voir dans le forum php pour la question de l'upload par ftp en php

t'as les fonctions comme ftp_connect(), ftp_login(), ftp_put(), ftp_site() et ftp_quit()
Par ex :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$ftpc = ftp_connect("ftp.tonftp");
$toto = ftp_login($ftpc, "mon login", "mon pass");
$toto = ftp_put($ftpc,"PATH-FTP/file_name",$file,FTP_BINARY);
$toto = ftp_site($ftpc,"CHMOD 765 PATH-FTP/$file_name");
$toto = ftp_quit($ftpc);

[gazelle]

Merci, c'est ce que je voulais...^^