Incontournables XHTML / CSS :
| Auteur | |
|---|---|
| Florent V. | # 27 Mar 2008 - 00:45:30  |
On va manger des chips.  Modérateur 12457 Posts |
Bonjour à tous, Vu qu'on a maintenant un joli salon tout neuf dédié à l'hébergement et à l'administration serveur, je vais me permettre de poser quelques questions d'administration serveur à l'occasion. En effet, je teste un hébergement virtualisé de chez Gandi, et je pense y basculer mon site perso et, si c'est concluant, quelques projets pro. J'ai le problème suivant: le répertoire principal dans lequel je place les fichiers des sites (dans des dossiers correspondant aux virtual hosts) appartient à l'utilisateur principal (un utilisateur standard, pas root), appelons-le user1, et a pour groupe "users" (groupe générique pour les utilisateurs apparemment). Le problème, c'est qu'à vue de nez les scripts PHP ou Perl ou autres auquel j'accède via Apache sont exécutés par l'utilisateur www-data (arrêtez-moi si je dis une bêtise). Donc quand je veux rendre un dossier accessible en écriture à un de ces exécutables, je devrais avoir les droits suivants: drwxrwxr-x user1 www-data mondossieror j'ai: drwxrwxr-x user1 users mondossierEt surtout, quand je crée un dossier ou fichier (via mkdir, nano, etc.), j'ai automatiquement user1 comme propriétaire, et users comme groupe (si le créateur du dossier ou fichier est l'utilisateur user1, bien sûr). Savez-vous comment ça se gère normalement ce genre de chose? Si vous avez des tutoriels ou articles sur le sujet sous la main, ça m'intéresse.  |
  |
|
| dew | # 27 Mar 2008 - 01:36:39 |
 Administrateur 698 Posts |
L'idéal serait d'avoir www-data.www-data pour tous les fichiers hébergés afin que ceux-ci soient isolés, et qu'un script exécuté ne puisse porter atteinte au reste du système. Tu peux changer les droits avec chown, éventuellement configurer le serveur ftp pour simuler l'envoi des fichiers par l'utilisateur www-data et non par user1. Ne pas oublier de configurer pour PHP open_basedir, et pour Apache les directives User et Group. Modifié par dew (27 Mar 2008 - 01:40) |
|
|
| Necromantik | # 27 Mar 2008 - 09:09:26 |
 244 Posts |
Bonjour, Pour changer le groupe il faut utiliser "chgrp -R <groupe> <dossier>". Si jamais, il existe une carte de référence des commandes courantes (pdf) ou (odt) très bien faite sur biologeek. Une autre solution pour la gestion des droits (que je compte mettre en place un jour  ) consiste à utiliser le module d'Apache "suexec".Ce dernier permet d'exécuter les scripts cgi avec les droits de leur propriétaires et non du serveur. Par contre cela implique certaine choses: -php installé en cgi et pas en module apache. -utilisation du module fast_cgi très fortement recommandée (question de performance). -plus compliquer à mettre en place. PS: par contre la seule documentation que je possède est un livre en anglais. Modifié par Necromantik (27 Mar 2008 - 09:10) ob_end_flush(); |
|
|
| Florent V. | # 27 Mar 2008 - 12:54:31 |
On va manger des chips. Modérateur 12457 Posts |
Merci à tous les deux pour ces informations. Je vais explorer tout ça. Pour la carte des commandes courantes, j'ai aussi le mémento Unix/Linux publié par Eyrolles. Il est plus complet (avec un champ d'application plus large) mais un peu moins détaillé en ce qui concerne les points qu'on retrouve dans les deux. Modifié par Florent V. (27 Mar 2008 - 12:59) |
| |
|
| Florent V. | # 02 Apr 2008 - 01:55:24 |
On va manger des chips. Modérateur 12457 Posts |
dew a écrit : Ok, je prends bonne note et je tenterai d'appliquer ça. dew a écrit : Je connais chown, je l'utilise régulièrement @home (ça va plus vite que de passer par l'interface graphique). Mais je crois que je vais en explorer les différents arguments tel que --from, et surtout -R, que j'utilise peu en temps normal. dew a écrit : Pour open_basedir, j'ai étudié la question. Pour la config Apache, User et Group ont "www-data" comme valeur, donc je suppose que c'est correct? Une question pour la route: est-ce que je peux rajouter user1 (mon accès perso, pas celui d'un utilisateur tiers  ) au groupe www-data? Ça me laisserait plus de latitude pour la manipulation des fichiers, surtout si la plupart des dossiers sont en 775 (ou 770?) et les fichiers en 664 (ou 660?).Qu'en pensez-vous? Je cherche une option pour travailler en console sur des fichiers d'applis web (CMS notamment) sans avoir à refaire un coup de chown + éventuellement chmod à chaque fois que je crée un fichier... Je suppose que se loguer comme "www-data" via su n'est pas conseillé? |
| |
|
| dew | # 02 Apr 2008 - 11:03:11 |
| Administrateur 698 Posts |
Florent V. a écrit : Oui. Florent V. a écrit : Ça me semble correct... Florent V. a écrit : Moyennement... |
|
|
Les références web : openweb.eu.org - opquast.com - webmaster-hub.com - webrankinfo.com - salemioche.net - web-pour-tous.org - webonorme.org
Nos partenaires : Editions Eyrolles - Location vacances France - Location vacances Europe
Nikozen : Hébergement - Réalisation : Alsacreations.fr