Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Apache : protéger les fichiers sensibles

BlackDruid

Salut,

Je cherche à optimiser ma configuration d'Apache. Actuellement j'ai un site dans le répertoire /home/user/public_html auquel j'ai dû affecter les droits rwxrwxr-x pour qu'Apache puisse en parcourir le contenu (idem pour les fichiers).

L'ennui c'est que n'importe quel utilisateur loggé sur la machine peut avoir accès en lecture aux sources des fichiers, en particulier celui dans lequel il y a les identifiants de connexion à la base. Comment éviter ce cas de figure ?

J'ai pensé créer un dossier /home/www associé à l'utilisateur "apache" mais je ne devrais plus pouvoir écrire dedans en étant loggé en tant que "user" (peu pratique compte tenu de l'utilisation que j'en fait).

Est-il possible d'autoriser les accès en lecture et en écriture aux utilisateurs "apache" et "user" et de l'interdire pour tous les autres ? J'ai pensé affecter les deux utilisateurs au même groupe ("admin" par exemple) sans savoir si cela est conseillé.

Vos avis éclairés sont les bienvenus.
A+

remi

Déjà, tu peux limiter les droits à
=> rwx-----x pour les répertoires
=> rwx---r-- pour les fichiers.

Si tout les utilisateurs sont dans le même groupe, ils ne pourront donc pas accéder aux fichiers des autres (en ligne de commande).

Sauf à travers une page web (donc avec les droits apache). Dans ce cas il faut passer PHP en safe_mode, mais cela réduit considérablement les possibilités offertes.

Voir : Manuel PHP : Safe mode

A+

BlackDruid

Merci remi.

Bien vu pour les droits en rwx----x pour les répertoires, je suppose que cela empêche de pouvoir lister leur contenu. Ca ne fera pas de mal.

Si tout les utilisateurs sont dans le même groupe, ils ne pourront donc pas accéder aux fichiers des autres (en ligne de commande)

Intéressant, je ne savais pas que ça fonctionnait ainsi (je pensais que les 3 derniers digits avaient le dessus sur les 3 du milieu). Couplé avec la solution du dessus, cela limite pas mal les possibilités.

Cool. A tester.

A+

BlackDruid

Re-

J'ai essayé d'affecter tous les utilisateurs à un même groupe, en les dés-affectant de leur ancien groupe (généralement égal au login) mais je n'obtiens aucun résultat.

Est-ce normal par exemple que ce soit toujours l'ancien groupe qui apparaisse lorsque que je "ls -l" le répertoire d'un utilisateur ? Idem si je fais un touch ou un mkdir !

Les changements de groupe via l'interface "Paramètres de Système > Utilisateurs et groupes" sont-ils pris en compte ? Il ne faut pas rebooter quand même !?

A+

BlackDruid

Bon, je me réponds à moi-même et ceux qui me liront.

On en revient finalement toujours au shell ! Je viens de découvrir la commande chown qui permet de modifier le propriétaire et le groupe d'un fichier.

Autrement dit, pour résoudre le problème évoqué au premier post, pour un site dans /home/user/public_html il suffirait de faire :

cd /home/user
chown user:apache public_html
chmod 710 public_html

afin d'obtenir :

drwx--x---  41 user  apache   4096 mar 14 23:13 public_html

L'utilisateur reste propriétaire et apache peut venir trifouiller dans le répertoire. Tous les autres utilisateurs n'ont accès à rien.

Pour éventuellement donner les droits d'accès et d'écriture à un utilisateur autre que le propriétaire, il y a apparemment les ACL et notamment la commande setfacl mais je n'ai pas encore approfondi le sujet.

N'hésitez pas à me corriger si une de ces méthodes pose problème ou n'est pas conseillée...

A+

[ Edit ] Je complète avec un lien récapitulatif http://lea-linux.org/cached/index/Permissions.html