Discussion :

[CactO_o's]

Bonjour à tous,

je suis en train de monté un serveur Web, je tourne actuellement sur une Debian 5 avec Nginx en FastCGI et PHP..

Mon site se trouve dans /var/www/site/ [user = root | group = root | 755].
- Fichier contenu : [user = root | group = root | 755]
- Dossier contenu : [user = root | group = root | 644]

J'ai mis en place un serveur FTP [ProFTPd], et je voudrai que seul un utilisateur puisse se connecté (root déjà déactivé).

Le problème est que seul root à accès aux fichier/dossier... Mon utilisateur ne peut donc pas y accéder..
Je ne sais pas si je dois donnée l'accès aux fichier/dossier à un utilisateur ?! (Je ne préfèrerai pas car en cas d'intrusion ssh depuis l'utilisateur, le cracker aurait accès au fichier sans avoir à accéder au privilège root)..
Si je créer un utilisateur spécial pour le FTP, pourrais-je lui supprimer les accès SSH ?

En gros je suis perdu et je ne veux pas faire quelque chose de très peut sécurisé..

Quelqu'un pourrait me donnée une marche à suivre ??!

Merci à tous !

[Qwert]

Bonjour à tous,

je suis en train de monté un serveur Web, je tourne actuellement sur une Debian 5 avec Nginx en FastCGI et PHP..

Mon site se trouve dans /var/www/site/ [user = root | group = root | 755].
- Fichier contenu : [user = root | group = root | 755]
- Dossier contenu : [user = root | group = root | 644]

J'ai mis en place un serveur FTP [ProFTPd], et je voudrai que seul un utilisateur puisse se connecté (root déjà déactivé).

Le problème est que seul root à accès aux fichier/dossier... Mon utilisateur ne peut donc pas y accéder..
Je ne sais pas si je dois donnée l'accès aux fichier/dossier à un utilisateur ?! (Je ne préfèrerai pas car en cas d'intrusion ssh depuis l'utilisateur, le cracker aurait accès au fichier sans avoir à accéder au privilège root)..
Si je créer un utilisateur spécial pour le FTP, pourrais-je lui supprimer les accès SSH ?

En gros je suis perdu et je ne veux pas faire quelque chose de très peut sécurisé..

Quelqu'un pourrait me donnée une marche à suivre ??!

Merci à tous !

Non, parce qu'il n'y en a pas.
Si l'utilisateur n'a pas accès vu les droits du fichiers, alors il n'y aura jamais access, quelque soit ta méthode


PS : et Heureusement, sinon voila le trou de sécu monumental

[CactO_o's]

Pour m'auto-répondre :

J'ai créer un utilisateur 'userftp' n'ayant aucun shell 'bin/false' (aucune connexion possible via shh), mon utilisateur ssh est donc toujours le seul à avoir accès au pc depuis ssh.

Ensuite j'ai créer une liste de tout les utilisateurs (sauf 'userftp') qui sont tout les utilisateur qui n'ont PAS le droit de se connecté via FTP, ('userftp' est donc le seul)..

Ensuite j'ai créer un group 'group_web' contenant 'www-data' et 'userftp', et j'ai appliquer ce group comme possésseur de tout le contenu de /var/www/site ..

Ensuite j'ai mis tous les fichieren 664 et tous les dossier en 775. Et j'ai mis un setgid sur les dossier de /var/www/site afin de prendre le group du parent à la création d'un fichier.. Du coup tout fonctionne comme voulu