Je viens d'installer Spip par défaut sur un site de mon serveur. Et là grande suprise, que vois je ? Les permissions sur les fichiers de configurations, de gestions des sessions sont completementes hallucinnants.
genre:
fichiercontenantlespass rw rw rw ...
Pour ainsi dire n'importe quel utilisateur sur le serveur peut faire n'importe quoi sur le site. Y a t'il un document qui explique precisement comment configurer spip pour qu'il soit proteger de l'exterieur, mais aussi de l'interieur ?
J'ai vraimment rien trouvé, et je me dis que j'ai du faire une erreur dans la configuration de mon apache ou de spip tellement c'est énorme.
Je suis prêt à en discuter sur l'irc avec quelqu'un qui maitrise bien le sujet.
Journal A propos de spip
10
juin
2003
# Re: A propos de spip
Posté par Moby-Dik . Évalué à 1.
[^] # Re: A propos de spip
Posté par Code34 (site web personnel) . Évalué à 1.
Fichier de sessions etc ... Et que tout ces fichiers sont avec des droits définis rw rw rw.
Sinon pour mon rep spip, je suis obligé de le mettre en 711 car sinon il ne peut pas etre consultable via une adresse http://www.monip.org/~monsite.(...)
# Re: A propos de spip
Posté par romain . Évalué à 1.
J'avais fait la remarque sur le forum utilisateurs de SPIP, personne n'a relevé (et je ne crois pas être le seul).
Il me semble (pas encore testé, en fait, manque de temps) qu'Apache tournant avec su_exec, il devrait être possible de se débarasser de 777 qu'il réclame par endroits.
Un avis sur mon hypothèse ?
[^] # Re: A propos de spip
Posté par ours Ours (site web personnel) . Évalué à 1.
ms surtout le safe mode si php est compilé en tant que module d'apache
# Re: A propos de spip
Posté par ukemi . Évalué à 1.
bien sur, si c'est spip qui a généré les fichiers, a priori l'owner est déjà l' user d'apache
après tu chmod o-rw et voilou
[^] # Re: A propos de spip
Posté par Code34 (site web personnel) . Évalué à 1.
Si les fichiers appartiennent à l'user apache, et au group apache. N'importe quel utilisateur peut faire un open et un read a partir d'une page php placé dans son propre repertoire, et lire via apache le contenu du fichier de configuration ;)
De même un chmod 700 ne sert à rien étant donné que l'utilisateur par défaut c'est apache. En fait le chmod 700 ne protège que contre l'accès direct via la racine en passant par le shell.
Idéalement, il faudrait que le fichier de configuration et les autres fichiers sensibles appartiennent au priorétaire du site avec 600 en droit.
[^] # Re: A propos de spip
Posté par ours Ours (site web personnel) . Évalué à 1.
Un hébergeur sérieux a soit du safe mode, soit du suexec
et donc tu ne peux lire le fichier d'un autre !
(sinon tu peux partir de cet hébergeur)
[^] # Re: A propos de spip
Posté par Code34 (site web personnel) . Évalué à 1.
[^] # Re: A propos de spip
Posté par Moby-Dik . Évalué à 1.
[^] # Re: A propos de spip
Posté par Code34 (site web personnel) . Évalué à 1.
Lorsque le script de spip crée le fichier de configuration, il le fait automatiquement avec l uid et le gid de apache.
Pour le moment, je n'ai pas de solutions réellement éfficaces. Car bien que le safe_mode protège les accès d'un repertoire home vers un autre via apache, rien ne protege les fichiers crée contre une simple lecture via le shell.
[^] # Re: A propos de spip
Posté par Sébastien Koechlin . Évalué à 1.
On ne pourrait vraiment pas le faire tourner sur un noyau Linux ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.