Re: Dev. web et droits

トップ ページ

このメッセージに返信
著者: Patrice Karatchentzeff
日付:  
To: Frédéric
CC: Guilde
題目: Re: Dev. web et droits
Salut Fred,

Cela dépend de beaucoup de choses...

On suppose que l'appli web qui va être utilisée pour faire tourner
l'appli utilise le groupe www.

Ton répertoire doit donc être truc/www où truc est le nom de
l'utilisateur et www le groupe. Ton utilisateur DOIT appartenir au
groupe www.

Pour être lu/accessible et exécuter par l'appli web, le répertoire www
doit être rxw (accès lecture (pour lire) et écriture (pour modifier)
et exécution (pour entrer dans le répertoire)).

Pour que l'utilisateur puisse écrire dans son groupe, son répertoire
être rwx (tous les droits).

Le problème se pose pour les autres répertoires déployés par les
autres utilisateurs : s'ils appartiennent au groupe www, alors ils
sont accessibles depuis truc (et réciproquement, tous les utilisateurs
qui appartiennent à ce groupe peuvent lire (et modifier) le répertoire
de truc.

D'un point de vue sécurité, à moins que truc soit tout seul à déployer
sur la machine, c'est une mauvaise idée d'employer truc pour déployer.

La bonne méthode : root déploie et gère les droits après déploiement,
en confinant les choses au seul utilisateur www (ou un autre, pour
isoler chaque déploiement, www restant alors le seul exécutable commun
pour faire tourner l'appli web). C'est la méthode de Debian (grosso
modo).


Le lun. 7 oct. 2024 à 07:47, Frédéric <fma38@???> a écrit :
>
> Hello,
>
> Quelle est la meilleures méthode pour qu'un utilisateur 'truc' puisse
> déployer des fichiers web dans /var/www/truc, et que ce soit le plus
> sécure possible (un minimum d'accès aux autres fichiers du serveur web) ?
>
> J'imagine qu'il faut jouer avec les groupes toussa, mais je ne voudrais
> pas louper un truc important...
>
> Merci de vos lumières.
>
> --
>     Frédéric

>



-- 
      |\      _,,,---,,_           Patrice KARATCHENTZEFF
ZZZzz /,`.-'`'    -.  ;-;;,_   mailto:patrice.karatchentzeff@gmail.com
     |,4-  ) )-,_. ,\ (  `'-'
    '---''(_/--'  `-'\_)