> Le 9 mars 2016 à 13:38, [email protected] a écrit : > > On Wednesday 09 March 2016 12:52:38 Ph. Gras wrote: >> Le 9 mars 2016 à 12:29, Benoit B <[email protected]> a écrit : >>> Est-ce normal que lorsqu'on installe apache2, /var/www appartient à >>> root et pas à www-data ? >>> Benoit > > Le user et group doivent être : www-data:www-data > > # chown -Rf www-data:www-data /var/www/* > > Sinon ça peut poser problèmes pour éditer des fichiers en ligne. > > Sans doute par défaut, Apache met les droits à root.
Je ne pense pas que laisser à www-data la propriété de tout ce qui est
accessible via HTTP soit véritablement une « bonne idée » et il me semble
normal que, par défaut, ce ne soit pas le cas.
En effet, comme beaucoup de failles de sécurité viennent par là (PHP, CGI
foireux, …) est-il pertinent de laisser le pirate la facilité d’exploiter ces
failles pour déposer et modifier ce qu’ils veulent sur les dépôts Apache (ou
autre) ?
Enfin, à quoi cela sert-il de laisser « www-data » avoir accès à un .html ou
même un .php lorsqu’il s’agit d’afficher le contenu d’un fichier HTML ou
d’exécuter un PHP ?
Il est bien plus prudent de ne laisser un accès en écriture à www-data
uniquement sur les répertoires sur lesquels il DOIT avoir accès (dépôt de
document par le ouaibe par exemple). Même si c’est bien pratique d’installer un
bidule par une connexion HTTP, il y a bien trop de danger à laisser un tel
accès à demeure.
Cordialement
--
Pierre Malard
« Si l'on veut croire en l'humanité,
il faut voir et comprendre l'inhumanité »
|\ _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. ,\ ( `'-'
'---''(_/--' `-'\_) πr
perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. ,\
( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_):
24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
signature.asc
Description: Message signed with OpenPGP using GPGMail
