Sécurité sur les fichiers de /var/www/=>ici<=

Support Debian
#1

Bon matin

J’ai un serveur dédié sous debian 8 avec le noyau 3.2.0-4-amd64 #1 SMP Debian 3.2.73-2+deb7u1 x86_64.

Ma question est la suivante;

Dans /var/www/ici (en excluant /var/www). Est-ce que ça pose un problème de sécurité si je change les autorisations (à “userX”) des documents déposé dans le dossier www?

J’ai tenté quelques recherches mais sans trouver le moyen d’exprimer celle-ci, je n’ai rien trouvé…

Si index.php passe par /var/www, je me dit qu’il n’est pas impossible qu’une faille s’y trouve si j’y met un script quelconque.

Merci bien

#2

Yop,

J’ai pas trop compris ton post mais dans /var/www on y pose uniquement le contenue accessible par un serveur web (apache, nginx ligthttpd…). Pour que le serveur web puisse fournir le contenue il faut que l’utilisateur qui est utilisé pour lancé le process doit avoir les droits de lecture.

D’une manière général, j’ai tendance à mettre mes fichiers en 644 et mes répertoire en 755 et en mettant comme utilisateur et group root:root. Dans ce cas ton serveur web arrivera parfaitement à lire le contenue et le fournir.

#3

[quote=“TrashHard”]
D’une manière général, j’ai tendance à mettre mes fichiers en 644 et mes répertoire en 755 et en mettant comme utilisateur et group root:root. Dans ce cas ton serveur web arrivera parfaitement à lire le contenue et le fournir.[/quote]

root:root comme groupe et utilisateur ?

Les dossiers/fichiers devraient appartenir à www-data:www-data plutôt afin d’être servi par le serveur web ?

#4

Hello,

Non, c’est la première faille de sécu sur les serveur web. Le user du serveur web a juste besoin d’un accès de lecture. Il faut donc mieux laisser en root:root 755 et 644 et mettre les répertoires où le serveur web à besoin d’accès d’écriture (cache, temp, upload, etc…) en root:www-data 775.

Après tu peux encore plus affiner en mettant tout en root:www-data 750 (770) pour les rep et 640 pour les fichiers, mais je préfère laisser un accès de lecture sur les autres utilisateurs. C’est pas gênant et ça permet au autre user de bosser sur le code si besoin.

Dans un accès encore plus affiné il faudrait créer un user système pour chaque site et le définir dans le vhost.

#5

Merci pour les réponses mais ce que je veux dire c’est;

Est-ce sécuritaire si je fais;

chown et chgrp -R un_user /var/www

le un_user étant un simple utilisateur et le dossier /www contient que du code “html” et “css”

Ce dit utilisateur doit passer par le “su” avant de s’authentifier