[Linux-bruxelles] permissions bizarres et insécures.....

Lun 7 Sep 16:31:15 CEST 2009

Le lundi 07 septembre 2009 à 16:13, Aldo a écrit :
> Hello,
>
> sur un serveur sur lequel je me logues pour bosser au site,
> j'y rencontre des permissions que j'ai jamais vues ailleur et qui sont pour
> le moins bizarres:
> 707 pour les répertoires
> 706 pour des fichiers
>
> Mais encore plus bizarre, quand on crée un repo ou un fichier, là les
> permissions sont:
> 755 et 644, ce qui est tout de même bcp moins étonnant.
>
> donc je suis perplexe et ne comrpends pas comment un hébergeur de sites
> peut utiliser de tels jeux de perms sachant à quel point l'internet est
> source de gros problèmes si on y prend garde.

Peut-être que l'hébergeur tient à interdire l'accès à ces fichiers/dossiers 
pour le groupe associé à ceux-ci ? Cela dit le droit d'exécution systématique 
pour le owner sur tous les fichiers n'a pas beaucoup d'intérêt, et pourrait 
représenter un risque si un vilain script venait à être inséré quelque part 
par quelqu'un de malveillant.

Le droit en écriture pour les autres est en général mis en place pour que les 
clients ne doivent pas en tenir compte lors de la manipulation de 
fichiers/dossiers avec un script accessible depuis le serveur web. C'est une 
pratique de plus en plus répendue et favorisée notamment par les logiciels en 
PHP installables via un script d'installation (Lundi Matin Business par 
exemple), dont tous les fichiers ont l'utilisateur du serveur web pour owner. 
Ainsi il n'y a plus de problème de droits pour les opérations de maintenance, 
par contre gare aux failles dans les scripts évidemment.

L'éternel compromis entre facilité d'utilisation et sécurité...

>
> Alors l'os à bord semble être un rpm-based que je connais pas:
> [domain2089304 at ssh-gw-5 htdocs]$ uname -a
> Linux ssh-gw-5.fasthosts.net.uk 2.6.18-128.7.1.el5PAE #1 SMP Mon Aug 24
> 08:59:3 8 EDT 2009 i686 i686 i386 GNU/Linux
> [domain2089304 at ssh-gw-5 htdocs]$ cat /etc/issue
> CentOS release 5 (Final)
> Kernel \r on an \m

CentOS est la version communautaire de Red Hat, en gros elle reprend tous les 
paquets binaires de Red Hat et suit son évolution.

>
> [domain2089304 at ssh-gw-5 htdocs]$ umask
> 0022

En tout cas, l'umask est incohérent par rapport à la situation en place que tu 
décris... Peut-être une fausse manip de la part de l'admin ?

-- 
Laurent Léonard
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 197 octets
Desc: This is a digitally signed message part.
URL: </pipermail/linux-bruxelles/attachments/20090907/d820a324/attachment-0001.sig>