Le 30/08/2011 11:52, Xavier Bestel a écrit :
> On Mon, 2011-08-29 at 19:31 +0200, Laurent Fousse wrote:
>> Bonjour,
>>
>> * marc.terrier@??? [Mon, Aug 29, 2011 at 06:17:43PM +0200]:
>>> Au risque de dire une énormité, est-ce qu'une solution à ton
>>> problème ne consisterait pas à faire en sorte que cet utilisateur-là
>>> n'ait plus accès à la commande chmod ?
>> Cela n'enlève pas la possibilité aux plus motivés d'utiliser
>> directement l'appel système, ou un script perl.
>>
>> Mais je ne sais pas si nous avons affaire à des gens motivés.
> Et tout simplement mettre leur répertoire $HOME en 700 ? C'est un peu
> violent mais ça résoudrait pas mal de problèmes ...
>
> Xav
>
Il s'agit essentiellement de leur site web, pas de leur home. Il faut
qu'Apache y ait accès au moins en lecture, et en écriture pour certains
répertoires et/ou fichiers
Et il faut que les utilisateurs ne mettent pas par exemple leurs
.htaccess en écriture pour Apache non plus - cas récent :-)
En y réfléchissant plus avant, il faudrait empêcher que les utilisateurs
mettent de mauvais droits non pas pour eux-mêmes, mais pour le groupe et
pour other.
Et là les ACL semblent la bonne solution : on peut dire, je crois, que
Apache a les droits en lecture et en lecture seulement pour certains
fichiers, quels que soient les droits que les utilisateurs ont mis...
Faut que j'expérimente.
-- Jean-Marc Coursimault