[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] autoriser l'accès à des fichiers (pages web) avec Apache


From François <francois dot joulaud at bzh dot net>
Subject Re: [gulliver] autoriser l'accès à des fichiers (pages web) avec Apache
Date Wed, 14 Feb 2007 23:15:53 +0100

David MENTRE :
> Le 14/02/07, François<francois dot joulaud at bzh dot net> a écrit :
> >P.S. quelqu'un sait-il comment permettre à un utilisateur de rendre ses
> >pages visibles au serveur httpd sans les rendre visible au monde entier.
> >J'ai essayé de leur donner le groupe www-data (ou équivalent) mais je ne
> >peux pas faire un `chgrp` sur un groupe dont je ne fais pas partie
> 
> Et en root ?
L'objectif c'est que chaque utilisateur puisse donner l'accès aux
fichiers qu'il souhaite via Internet, pas qu'il aie l'accès root.

Gilles:
> > si je mets tous les utilisateurs dans le groupe www-data c'est comme si
> > je faisais un `chmod a+r`.
> 										
> Pas tous, seulement toi.
Tous les utilisateurs censés pouvoir publier des pages web (appartenant
au groupe www-data).

> Pour ce problème le contexte n'est pas clair car il faut nous
> dire comment l'utilisateur qui édite les pages met à jour
> le site sous /var/www/ (ou autre). Le problème de droit
> doit déjà se poser à ce niveau là, non ?

Bon résumation de contexte : moi administrateur de machine, plusieurs
utilisateurs locaux sur machine, utilisateurs ont chacun un répertoire
$HOME/public_html. 

Moi vouloir : Les utilisateurs peuvent mettre des fichiers dans
public_html et donner les droits suffisants pour que le serveur httpd
puisse les lire et les servir. Les utilisateurs ont un système pour
configurer le serveur httpd pour qu'il ne montre pas les fichiers à
tout le monde (par ex. en demandant à Apache une authentification par
mot de passe dans un fichier propre à l'utilisateur)

Moi pas vouloir : que les fichiers accessibles au serveur httpd soient
accessibles directement aux autres utilisateurs locaux (donc pas de
groupe commun à tous les utilisateurs du serveur httpd et pas d'accès
root non-plus)

remarque: on fait a priori toute confiance dans le serveur httpd pour
qu'il ne divulgue pas les fichiers à n'importe-qui en fonction de son
fichier de config

David:
> Et si je me souviens bien, s'il y a le sticky-bit sur le groupe du
> répertoire parent, les nouveaux fichiers créés seront du même groupe
> que celui du répertoire parent (à vérifier).

Je vais vérifier cette info mais ça ressemble bien à ce que je
souhaiterais. Mais je n'y crois pas trop.

Gilles:
> > je ne
> > peux pas faire un `chgrp` sur un groupe dont je ne fais pas partie
> Fais en partie.
> > (logique vu que je suis propriétaire et que je peux mettre le suid)
> Là je ne vois pas le rapport.
Normal, il n'y en a pas, je pensais au bit équivalent au suid pour le
groupe: en partant du principe que le propriétaire peut modifier tous les
droits d'accès, il peut mettre le sgid (?), s'il pouvait en plus choisir
un groupe auquel il n'appartient pas il pourrait créer un exécutable
sgid pour n'importe quel groupe et par ce biais exécuter n'importe quel
groupe avec les droits de n'importe quel groupe... 
Si tu ne comprend pas c'est que j'explique mal.

François