Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Membre régulier
    Inscrit en
    avril 2007
    Messages
    113
    Détails du profil
    Informations forums :
    Inscription : avril 2007
    Messages : 113
    Points : 75
    Points
    75

    Par défaut Problèmes droits d'accès après la création automatique de fichiers

    Bonjour,

    J'ai un souci sur un serveur concernant des fichiers qui sont créés automatiquement. Il s'agit d'un serveur web avec une application Symfony. Quand les fichiers sont créés par le serveur, il semblerait que ces fichiers n'ont pas les bons droits(je ne suis même pas sur que ce soit tout le temps le cas..).

    Cela s'applique aux fichiers de session qui donnent :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    -rw-------+ 1 www-data www-data    0 Feb  6 10:43 sess_hf18bds7uu1ph2vcddfsdf
    -rwxrwxrwx+ 1 www-data www-data  180 Feb  6 09:18 sess_hghd1t5d03qo0epsdffds
    La première ligne est créée par le serveur. La deuxième aussi, mais j'ai du faire un chmod -R 777 sur ce dossier car certains fichiers de sessions n'arrivaient pas à s'écrire et posaient des problèmes de connexion pour certains utilisateurs...

    Pareil pour
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    -rw-r--r-- 1 www-data www-data  135680 Jan 23 14:03  contrat-998
    Ce fichier est sensé être écrasé plus tard, mais de temps en temps, l'application n'y arrive pas...
    Faudrait-il que l'utilisateur ait plus de droits ? Que puis-je modifier ?

    J'espère que vous saurez m'aider parce que je désespère de bugs à répétition depuis plus d'une semaine

    Merci à vous !

  2. #2
    Membre confirmé Avatar de Lekno
    Femme Profil pro
    Étudiant
    Inscrit en
    septembre 2010
    Messages
    724
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 29
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : septembre 2010
    Messages : 724
    Points : 549
    Points
    549

    Par défaut

    chmod -R 777
    Quelle hérésie , ton serveur est en production ?

    Il te faut donner les droits en écriture à l'utilisateur www-data sur le dossier de reception, peux tu nous fournir un ls -la du dossier parent ou sont stocké les fichiers que tu nous a présenté ?

  3. #3
    Membre régulier
    Inscrit en
    avril 2007
    Messages
    113
    Détails du profil
    Informations forums :
    Inscription : avril 2007
    Messages : 113
    Points : 75
    Points
    75

    Par défaut

    Quelle hérésie , ton serveur est en production ?
    J'avoue qu'étant seul dev/gestionnaire des serveurs dans une startup, je suis un peu dépassé par la charge de travail en ce moment et le 777 étant le moyen le plus rapide de résoudre ce problème en production je n'ai pas pris le temps d'aller plus loin. >< Mais je m'attendais à cette réaction ! Que me conseillerais-tu ?

    peux tu nous fournir un ls -la du dossier parent ou sont stocké les fichiers que tu nous a présenté ?
    Oui !
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    user@vps-:~/site/production/shared/var$ ls -la
    total 36
    drwxrwxrwx+ 3 user user 4096 Dec  6 13:30 sessions
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    user@vps-:~/site/production/shared/public/pdf$ ls -la
    total 2668
    drwxrwxrwx 2 user user  655360 Feb  7 10:03 invests
    Merci de ton retour en tout cas !

  4. #4
    Membre confirmé Avatar de Lekno
    Femme Profil pro
    Étudiant
    Inscrit en
    septembre 2010
    Messages
    724
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 29
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : septembre 2010
    Messages : 724
    Points : 549
    Points
    549

    Par défaut

    Pour bien comprendre avant de t'aider, ton site doit pouvoir écrire des fichiers dans le dossier

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    ~/site/production/shared/public/pdf
    Ainsi que dans

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    ~/site/production/shared/var
    Sur quel dossier as-tu opérer le chmod -R 777 ?

    Suivant ta réponse voila ce que je ferai :

    Pour restaurer le bons droits via chmod (avant ton chmod -R 777)

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    #Je repasse les droits sur le dossier
    chmod 755 ~/site/production/shared/public/pdf
    #Je me déplace vers le dossier cible
    cd ~/site/production/shared/public/pdf
    #je repasse les droits sur les fichiers du dossier
    chmod 644 ./*
     
    #Je repasse les droits sur le dossier
    chmod 755 ~/site/production/shared/var
    #Je me déplace vers le dossier cible
    cd ~/site/production/shared/var
    #je repasse les droits sur les fichiers du dossier
    chmod 644 ./*
     
    #Je passe en proprietaire l'utilisateur apache2 afin qu'il est les droits d'écritures
    sudo chown -R www-data:www-data ~/site/production/shared/var
    sudo chown -R www-data:www-data ~/site/production/shared/public/pdf
    Je t'invite à tester cela avant de le passer sur ton serveur directement

  5. #5
    Membre régulier
    Inscrit en
    avril 2007
    Messages
    113
    Détails du profil
    Informations forums :
    Inscription : avril 2007
    Messages : 113
    Points : 75
    Points
    75

    Par défaut

    Sur quel dossier as-tu opérer le chmod -R 777 ?
    Alors, j'ai fait un -R 777 sur ceux là il me semble : ~/site/production/shared/var/sessions (sachant que je l'ai aussi fait pour le dossier de logs, et un autre dossier... Je suppose qu'il faut que je mette les mêmes droits à ceux là), puis :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    user@vps-:~/site/production/shared/public$ ls -l
    total 12
    drwxrwxrwx 19 user user 4096 Nov 28 11:47 cache
    drwxrwxr-x  3 user user 4096 Nov 29 14:21 pdf
    drwxrwxr-x  9 user user 4096 Nov 27 20:04 upload
     
    user@vps-:~/site/production/shared/public/pdf$ ls -l
    total 2660
    drwxrwxrwx 2 user user  655360 Feb  7 15:56 invests
    La petite exception étant que dans le dossier invests, il y a des fichiers qui sont générés et qui doivent pouvoir être écrasés par la suite, mais il semblerait que l'écrasement ne fonctionne pas toujours.

    Ca marche je teste ce que tu m'as proposé plus haut sur la préprod avec www-data !

    Merci beaucoup !

    EDIT : Le raccourci est un peu facile, mais si je mets tous les dossiers partagés de type fichiers envoyés par le site, fichiers créés par la site avec les sessions et les fichiers de cache en 755 avec pour utilisateur et groupe www-data, ça devrait être bon selon toi ?

  6. #6
    Expert éminent Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    septembre 2005
    Messages
    3 512
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : septembre 2005
    Messages : 3 512
    Points : 8 357
    Points
    8 357

    Par défaut

    Bonjour

    Ce fichier est sensé être écrasé plus tard, mais de temps en temps, l'application n'y arrive pas...
    Par qui ?
    Cette réponse vous apporte quelque chose ? Cliquez sur en bas à droite du message.
    Votre problème est résolu ? Cliquez sur en bas de page.

    Linux, grep/sed/awk/xml... et autres fichiers plats, Java, C++

  7. #7
    Membre régulier
    Inscrit en
    avril 2007
    Messages
    113
    Détails du profil
    Informations forums :
    Inscription : avril 2007
    Messages : 113
    Points : 75
    Points
    75

    Par défaut

    Hello Flodelarab,

    Citation Envoyé par Flodelarab Voir le message
    Bonjour

    Par qui ?
    Par le site ! Ce sont des fichiers récupérés automatiquement (1 fois créés et une fois remplacés) et remplacés par site le site

  8. #8
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    10 015
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 10 015
    Points : 22 376
    Points
    22 376

    Par défaut

    je suis un peu dépassé par la charge de travail en ce moment et le 777 étant le moyen le plus rapide de résoudre ce problème en production
    C'est aussi le moyen le plus rapide de créer une potentielle faille de sécurité.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  9. #9
    Expert éminent Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    septembre 2005
    Messages
    3 512
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : septembre 2005
    Messages : 3 512
    Points : 8 357
    Points
    8 357

    Par défaut

    Citation Envoyé par JackStrieger Voir le message
    Hello Flodelarab,



    Par le site ! Ce sont des fichiers récupérés automatiquement (1 fois créés et une fois remplacés) et remplacés par site le site
    Il faut donc que le site ait accès au fichier.
    Pas tout le monde.
    Le propriétaire peut modifier les droits mais cela ne lui donne pas tous les droits.
    Un propriétaire peut très bien s'interdire l'accès en lecture à son propre dossier ou fichier.

    Le "site" doit faire parti du groupe de l'utilisateur.
    Et les droits du groupe doivent être au moins "rw".
    En résumé : rw- rw- ---
    ou 660
    Cette réponse vous apporte quelque chose ? Cliquez sur en bas à droite du message.
    Votre problème est résolu ? Cliquez sur en bas de page.

    Linux, grep/sed/awk/xml... et autres fichiers plats, Java, C++

  10. #10
    Membre régulier
    Inscrit en
    avril 2007
    Messages
    113
    Détails du profil
    Informations forums :
    Inscription : avril 2007
    Messages : 113
    Points : 75
    Points
    75

    Par défaut

    Citation Envoyé par chrtophe Voir le message
    C'est aussi le moyen le plus rapide de créer une potentielle faille de sécurité.
    C'est aussi pour cela que je m'adresse à vous et vos compétences ! D'ailleurs, saurais-tu me dire quel sont les potentiels risques (Ou me renvoyer sur un sujet déjà traiter, que je n'aurai pas trouvé) ?


    Citation Envoyé par Flodelarab Voir le message
    Il faut donc que le site ait accès au fichier.
    Pas tout le monde.
    Le propriétaire peut modifier les droits mais cela ne lui donne pas tous les droits.
    Un propriétaire peut très bien s'interdire l'accès en lecture à son propre dossier ou fichier.

    Le "site" doit faire parti du groupe de l'utilisateur.
    Et les droits du groupe doivent être au moins "rw".
    En résumé : rw- rw- ---
    ou 660
    Avec les infos du ls que j'ai envoyées plus haut, si j'ai bien compris, ça serait bon si je mets mes dossiers et fichiers partagés à 660 ?

    Merci de votre aide !

  11. #11
    Expert éminent Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    septembre 2005
    Messages
    3 512
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : septembre 2005
    Messages : 3 512
    Points : 8 357
    Points
    8 357

    Par défaut

    Et ajouter "le site" au groupe du propriétaire du fichier.
    (ce qui évidemment marchera pour chaque fichier. Pas la peine de refaire la manip à chaque fois.)
    Cette réponse vous apporte quelque chose ? Cliquez sur en bas à droite du message.
    Votre problème est résolu ? Cliquez sur en bas de page.

    Linux, grep/sed/awk/xml... et autres fichiers plats, Java, C++

  12. #12
    Expert éminent Avatar de disedorgue
    Homme Profil pro
    Ingénieur intégration
    Inscrit en
    décembre 2012
    Messages
    3 086
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur intégration
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : décembre 2012
    Messages : 3 086
    Points : 8 703
    Points
    8 703

    Par défaut

    Si c'est des répertoires multi-users, une activation du sticky bit sur ceux-ci ne seraient pas à dédaigner...
    Par exemple, c'est le cas du répertoire /tmp, qui est en 1777, comme ça tout le monde peut écrire dedans mais seul le propriétaire du fichier peut effacer son fichier, alors que si /tmp avait été uniquement en 777, tout le monde aurait pu effacer les fichiers de tout le monde.
    Cordialement.

  13. #13
    Membre régulier
    Inscrit en
    avril 2007
    Messages
    113
    Détails du profil
    Informations forums :
    Inscription : avril 2007
    Messages : 113
    Points : 75
    Points
    75

    Par défaut

    Citation Envoyé par Flodelarab Voir le message
    Et ajouter "le site" au groupe du propriétaire du fichier.
    (ce qui évidemment marchera pour chaque fichier. Pas la peine de refaire la manip à chaque fois.)
    Hum intéressant ! pour le site j'ai regardé, et j'ai vu que ça faisait du drwxrwxr-x sur les dossiers et -rw-rw-r-- sur la plupart des fichiers, du coup j'ai vérifié comment le l'assistant du framework générait les fichiers. Eh ben il les génère comme ça !

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
     
    user@user ~/projects/testsymfony $ ls -l
    total 280
    drwxrwxr-x  2 user user   4096 févr.  8 12:17 bin
    -rw-rw-r--  1 user user   2145 févr.  8 12:17 composer.json
    -rw-rw-r--  1 user user 228794 févr.  8 12:17 composer.lock
    drwxrwxr-x  4 user user   4096 févr.  8 12:17 config
    Ca ne poserait pas de problèmes ?

  14. #14
    Membre régulier
    Inscrit en
    avril 2007
    Messages
    113
    Détails du profil
    Informations forums :
    Inscription : avril 2007
    Messages : 113
    Points : 75
    Points
    75

    Par défaut

    Citation Envoyé par disedorgue Voir le message
    Si c'est des répertoires multi-users, une activation du sticky bit sur ceux-ci ne seraient pas à dédaigner...
    Par exemple, c'est le cas du répertoire /tmp, qui est en 1777, comme ça tout le monde peut écrire dedans mais seul le propriétaire du fichier peut effacer son fichier, alors que si /tmp avait été uniquement en 777, tout le monde aurait pu effacer les fichiers de tout le monde.
    Ca m'a l'air intéressant ! Dans tous les cas, il me semble que je ne souhaite pas effacer des fichiers, mais seulement les supprimer ! Je vais aussi jeter un coup d'oeil de ce côté, merci !

  15. #15
    Membre régulier
    Inscrit en
    avril 2007
    Messages
    113
    Détails du profil
    Informations forums :
    Inscription : avril 2007
    Messages : 113
    Points : 75
    Points
    75

    Par défaut

    Merci à tous pour votre précieuse aide !
    Je mets en résolu !

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Problème droits d'accès aux fichiers
    Par nico33410 dans le forum IO
    Réponses: 0
    Dernier message: 17/07/2009, 17h59
  2. Problème de date et de création automatique de fichier
    Par bomonde dans le forum Scripts/Batch
    Réponses: 17
    Dernier message: 17/02/2009, 15h01
  3. Perte de droits d'accès après compactage
    Par dezbzh dans le forum Sécurité
    Réponses: 1
    Dernier message: 24/11/2007, 02h23
  4. problèmes droits d'accés de tomcat dans un réseau local
    Par moabomotal dans le forum Tomcat et TomEE
    Réponses: 2
    Dernier message: 19/05/2007, 02h58
  5. Problème droit d'accès (xcacls)
    Par skytofer31 dans le forum Windows Serveur
    Réponses: 8
    Dernier message: 19/05/2006, 03h26

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo