Question sécurité

Support Debian
#1

Bonjour tout le monde,

Voilà je suis novice dans l’installation de serveur et j’aimerai vous poser deux questions dans l’espoir que vous pourrez m’aider.

Je suis sous Debian 4.0 etch.

  1. Tous mes fichiers .php et les répertoires de mon site sont en rwxrwxr-x, et pour certain j’ai du faire un chmod 777 pour pouvoir uploader des fichiers depuis une page web. Cela pose t’il un problème sur la sécurité de mon serveur ? Si oui, comment puis-je sécuriser l’accès des mes fichiers sans en bloquer la lecture et l’upload via un formulaire php ?

  2. Y-a-t’il des choses à faire pour sécuriser au mieux son serveur ? Avez-vous des conseils à ce sujet ?

J’ai fait plusieurs recherches sur google et j’ai trouvé beaucoup d’informations mais je ne sais pas vraiment si je dois les appliquer ou non. Déjà pour les chmod, dès que je modifie un peu je bloque tout :confused:

Enfin voilà, si vous pouvez juste m’éclairer un peu sur la sécurité, merci beaucoup. :smt006

#2

Salut,

Effectivement mettre les droits d’écriture/lecture à tous le monde niveau sécurité c’est vraiment pas top.
Mais ce qui est étrange, c’est que normalement il suffit d’avoir le droit d’écriture pour ton user ftp pour uploder tes fichiers ainsi que sur le dossier parent.

#3

créer des fichiers .htaccess pour sécuriser l’accès aux fichiers de ton serveur web, voilà un tutoriel qui explique bien
commentcamarche.net/apache/apacht.php3

#4

Salut et merci pour vos réponses.

J’utilise déjà htaccess pour mes fichiers :smt002

En bidouillant un peu j’ai réussi à modifier les droits d’acces grâce à chmod et chwon, mais là encore j’ai un petit problème.

Sachant que de base mes répertoires sont maintenant en 755( rwxr-xr-x ) et mes fichiers en rw-r–r--.

Je fais un chown -R www-data:USER /monsite/, et là donc on peut accéder à mon site sans problème, les commandes fopen en php, les move_upload_files, etc… marchent parfaitement. Mais par contre quand je me connecte à mon FTP j’ai un gros soucis, je ne peut pas créer, modifier ou supprimer de répertoires et fichiers.

Alors pour essayer de changer cela je fais un chown -R USER /monsite/, et là c’est le contraire qui se produit, je peut créer, modifier et supprimer sur mon FTP. Mais sur le site je vois des Permission Denied un peu de partout.

Je suis un peu largué sur les groups, useurs et droits. Pouvez-vous m’aider à nouveau ? merci bcp :smt006

#5

Faut faire aussi gaffe au script, comme la faille include qui est trés connu, il faut aussi securiser des scripts pour qu’il ne soit pas utilisez pour une chose qui n’as pas etait conçut (exemple: Mecontactez.php qui envoie du spam à tous le monde)…
Bref, il faut aussi voir, pour un parfeu pour les intrusion (rare, mais quand sa arrive, sa pardonne pas…)