Journal A propos de spip

Posté par  (site web personnel) .
Étiquettes : aucune
0
10
juin
2003
Je viens d'installer Spip par défaut sur un site de mon serveur. Et là grande suprise, que vois je ? Les permissions sur les fichiers de configurations, de gestions des sessions sont completementes hallucinnants.

genre:
fichiercontenantlespass rw rw rw ...

Pour ainsi dire n'importe quel utilisateur sur le serveur peut faire n'importe quoi sur le site. Y a t'il un document qui explique precisement comment configurer spip pour qu'il soit proteger de l'exterieur, mais aussi de l'interieur ?

J'ai vraimment rien trouvé, et je me dis que j'ai du faire une erreur dans la configuration de mon apache ou de spip tellement c'est énorme.

Je suis prêt à en discuter sur l'irc avec quelqu'un qui maitrise bien le sujet.
  • # Re: A propos de spip

    Posté par  . Évalué à 1.

    Tu dois pouvoir mettre le répertoire parent en chmod 700 ou 750, non ?
    • [^] # Re: A propos de spip

      Posté par  (site web personnel) . Évalué à 1.

      En fait, le probleme c'est que spip génère des fichiers à la volée.

      Fichier de sessions etc ... Et que tout ces fichiers sont avec des droits définis rw rw rw.

      Sinon pour mon rep spip, je suis obligé de le mettre en 711 car sinon il ne peut pas etre consultable via une adresse http://www.monip.org/~monsite.(...)
  • # Re: A propos de spip

    Posté par  . Évalué à 1.

    Effectivement un gros souci a priori ; ça n'empêche pas SPIP d'être utilisé sur des plateformes mutualisées...

    J'avais fait la remarque sur le forum utilisateurs de SPIP, personne n'a relevé (et je ne crois pas être le seul).

    Il me semble (pas encore testé, en fait, manque de temps) qu'Apache tournant avec su_exec, il devrait être possible de se débarasser de 777 qu'il réclame par endroits.

    Un avis sur mon hypothèse ?
  • # Re: A propos de spip

    Posté par  . Évalué à 1.

    la meilleure chose a faire si tu as un accès root sur la machine (je déduis de site de mon serveur. que tu as cet accès :) reste de chown www:ton_groupe le_fichier.php en remplaçant www par l'user apache et ton_groupe par ton groupe si tu es le seul dedans ou de mettre le groupe d'apache
    bien sur, si c'est spip qui a généré les fichiers, a priori l'owner est déjà l' user d'apache

    après tu chmod o-rw et voilou
    • [^] # Re: A propos de spip

      Posté par  (site web personnel) . Évalué à 1.

      Justemment , il est bien la le probleme : )) C'est un serveur ou il y a plusieurs comptes shells, et de l hebergement.

      Si les fichiers appartiennent à l'user apache, et au group apache. N'importe quel utilisateur peut faire un open et un read a partir d'une page php placé dans son propre repertoire, et lire via apache le contenu du fichier de configuration ;)

      De même un chmod 700 ne sert à rien étant donné que l'utilisateur par défaut c'est apache. En fait le chmod 700 ne protège que contre l'accès direct via la racine en passant par le shell.

      Idéalement, il faudrait que le fichier de configuration et les autres fichiers sensibles appartiennent au priorétaire du site avec 600 en droit.
      • [^] # Re: A propos de spip

        Posté par  (site web personnel) . Évalué à 1.

        NON !
        Un hébergeur sérieux a soit du safe mode, soit du suexec
        et donc tu ne peux lire le fichier d'un autre !

        (sinon tu peux partir de cet hébergeur)
        • [^] # Re: A propos de spip

          Posté par  (site web personnel) . Évalué à 1.

          Pas la peine de s'énerver ;) Je suis entrain de plancher sur le safe mode, mais meme avec le safe_mode on, Spip ne passe pas ;(
          • [^] # Re: A propos de spip

            Posté par  . Évalué à 1.

            Essaie le safe_mode_gid.
            • [^] # Re: A propos de spip

              Posté par  (site web personnel) . Évalué à 1.

              En fait, le probleme ne vient pas de la tolerance uid/gid du safe_mode, car le safe_mode activé juste uid, tout l'installation se déroule normalement.

              Lorsque le script de spip crée le fichier de configuration, il le fait automatiquement avec l uid et le gid de apache.

              Pour le moment, je n'ai pas de solutions réellement éfficaces. Car bien que le safe_mode protège les accès d'un repertoire home vers un autre via apache, rien ne protege les fichiers crée contre une simple lecture via le shell.
        • [^] # Re: A propos de spip

          Posté par  . Évalué à 1.

          Ca va faire rire quasiment tout le monde, mais le Hurd a une réponse élégante à ce genre de problèmes.

          On ne pourrait vraiment pas le faire tourner sur un noyau Linux ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.