Bonjour,
Je travaille sur un serveur dédié sous Debian GNU/Linux 8.2 (jessie).
Je souhaite sécuriser mon serveur multi-domaines en cloisonnant l’exécution des scripts web d’un site à un seul et unique utilisateur, empêchant ainsi que cet utilisateur puisse altérer les autres sites.
Pour cela j’utilisais suEXEC et suPHP sous Debian 7 mais sous Debian 8.2, suPHP n’est plus à priori utilisable…
Voici ce que j’ai essayé.
Activation et configuration de suexec :
apt-get install apache2-suexec
apt-get install apache2-suexec-custom
nano /etc/apache2/suexec/www-data
J’ajoute :
/home
/public_html
(les fichiers web des sites sont dans /home/nom_utilisateur/public_html)
Dans le virtualhost Apache du site nom_utilisateur, j’ajoute :
Je redémarre Apache.
La commande /usr/lib/apache2/suexec -V renvoie :
-D AP_DOC_ROOT="/var/www"
-D AP_GID_MIN=100
-D AP_HTTPD_USER="www-data"
-D AP_LOG_EXEC="/var/log/apache2/suexec.log"
-D AP_SAFE_PATH="/usr/local/bin:/usr/bin:/bin"
-D AP_UID_MIN=100
-D AP_USERDIR_SUFFIX="public_html"
Ma personnalisation de suexec ne semble pas être prise en compte.
Je lance alors une page sur le site :
<?
print "Utilisateur exécutant le serveur Apache<p>\n";
system("id");
?>
qui me renvoie :
alors que je devrais voir apparaitre l’utilisateur/groupe “nom_utilisateur”.
Faut-il en conclure que suexec ne fonctionne pas correctement ?
Comment faire sans suphp ?
Merci de votre aide
Fred