Premier serveur sous Debian : Un peu perdu avec les droits

Support Debian
#1

Bonsoir tout le monde,

Je suis un nouvel utilisateur de Debian, je viens de prendre un serveur avec la dernière version 5 Lenny, tout route après quelques galères :smiley:, mais maintenant je suis confronté un petit problème de droit. Je m’explique : J’ai plusieurs sites sur mon serveur, chaque site appartient un utilisateur qui sont tous dans le dossier /home, donc : /home/user1, /home/user2, etc. J’utilise des vertualhost pour rediriger tout ça et ça marche très bien, mais j’ai un problème avec les droits d’accès et apache (www-data). Si je donne un accès totalement libre (chown –R www-data : www-data /home/user1) à apache ça marche bien, mais les utilisateurs n’ont plus accès à leurs répertoires. Comment faire donc pour permettre à apache d’accéder aux répertoires pour lire et éventuellement écrire dans certains de dossier de caches ?

En gros je souhaite faire ceci :
Permettre à apache d’accéder à : /home/user1 … pour lire et écrire sans négliger la sécurité

Merci d’avance pour votre aide.

#2

Vous n’avez pas une petite idée ? :confused:

#3

doc.ubuntu-fr.org/lamp#utiliser_ … _les_sites

Mets tes users dans le groupe www-data puis attribue les bons droits

++
Cyrille

#4

Mettre chaque utilisateur dans le groupe www-data

Et mettre tous les droits sur le répertoire voulu pour le groupe et l’utilisateur:

chown –R mon_utilisateur:www-data /home/user1 chmod 770 -R mon_dossier

EDIT: grilled :smt004

#5

Bonjour,

Merci beaucoup pour vos réponses c’est génial, ça marche nickel. Il fallait permettre à apache de traverser tous les répertoires avec un chmod 750 :slightly_smiling:. Par contre J’ai remarqué que les utilisateurs peuvent accéder aux dossiers des autres et modifier les fichiers. Commentaire faire pour que chaque utilisateur reste dans son répertoire c’est-à-dire /home/user1, etc. et ne pas remonter plus haut ?

#6

en adoptant la politique inverse, c’est à dire tu définis user1 propriétaire du rep /home/user1 avec les droits lecture et écriture, puis tu définis www-data comme groupe pour tous les rep en donnant toujours les droits lecture et écriture au groupe.

#7

J’ai fais exactement ça :slightly_smiling: user1, user2 proprio et apache en groupe avec ces droits pour lire et écrire aux endroits voulus, mais ça ne marche pas :frowning: Est-ce que ça viens du fait qu’apache est le groupe commun de tous les proprios ?

#8

J’ai fais exactement ça :slightly_smiling: user1, user2 proprio et apache en groupe avec ces droits pour lire et écrire aux endroits voulus, mais ça ne marche pas :frowning: Est-ce que ça viens du fait qu’apache est le groupe commun de tous les proprios ?[/quote]

En fait, effectivement, il faut faire l’inverse de ce qu’il disait…
en esperant que les commandes vont suffire:

chown -R www-data:mon_groupe_d_user_qui_a_le_meme_nom_que_l_user_voulu mon_dossier chmod 570 -R mon_dossier

#9

Merci pour ta réponse, par contre au niveau sécurité c’est mieux ou pas ? comme ça si un pirate se loge dans un répertoire de l’un des sites, il ne pourra pas remonter plus aussi ?

#10

Tu veux un répertoire de pub pour chaque user c’est bien cela,
perso. j’aurais utilisé le module userdir d’apache qui est dédié à ce problème
non ?

fr.wikibooks.org/wiki/Apache/UserDir

:question:

#11

[quote=“Cyrilleb”]Tu veux un répertoire de pub pour chaque user c’est bien cela,
perso. j’aurais utilisé le module userdir d’apache qui est dédié à ce problème
non ?

fr.wikibooks.org/wiki/Apache/UserDir

:question:[/quote]
Bonsoir,

Désolé de répondre tardivement :slightly_smiling:

Franchement t’es as :laughing: :laughing: ce mod marche à la perfection, pas besoin de se prendre la tête avec les droits, c’est vraiment génial comme idée. Apache se fait passer pour l’user avec ce mod non ?

EDIT : c’est oui, pour la question :slightly_smiling: