[Résolu] Apache & config.php - probleme securité ?

Apache & config.php - probleme securité ? [Résolu] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 05-04-2006 à 17:30:23    

Bonjour,
 
J'ai installé apache sur debian, et un site dans /var/www.
J'ai retiré le droit de lecture pour les "autres" ( chmod o-r /var/www )
afin que les utilisateurs qui se connectent en ssh ne puissent lister ce contenu.
Seulement voilà, je me suis rendu compte, qu'il est possible d'afficher le contenu d'un fichier config.php (donc avec les pass du sql),
a l'aide de "cat", plutot embetant.
Si j'enlève les droits au fichier, le site ne peut plus non plus lire ce fichier, bref, une solution ?
 
( en faisant chmod -R o-r /var/www l'affichage du site est refusé:
 
You don't have permission to access /index.html on this server. )
 
Merci.


Message édité par Cytelis le 06-04-2006 à 18:29:44
Reply

Marsh Posté le 05-04-2006 à 17:30:23   

Reply

Marsh Posté le 06-04-2006 à 13:25:41    

up :cry:

Reply

Marsh Posté le 06-04-2006 à 14:28:30    

Bein il faut que les users "de base" ne puissent pas avoir accès à /var/www.
 
Par ex. :


chown -R www-data:www-data /var/www
chmod 750 /var/www


 
Et qu'aucun user n'appartienne au groupe www-data (ou alors un chmod 700 /var/www)


Message édité par Cruchot le 06-04-2006 à 14:29:32
Reply

Marsh Posté le 06-04-2006 à 15:08:27    

avec un chmod 700 le site refuse de s'afficher (403).
 
Je précise que /var/www appartient à l'user "www" que j'ai créer.
 
Thx

Reply

Marsh Posté le 06-04-2006 à 15:12:43    

Bizarre :heink: Et si tu lances cette commande ça te sort quoi ? (permission denied normalement) :
 
su - www -c 'ls -l /var/www'
 
edit : tu dois aussi avoir, dans le httpd.conf ou apache.conf :
 
User www
Group www


Message édité par Cruchot le 06-04-2006 à 15:13:34
Reply

Marsh Posté le 06-04-2006 à 18:19:25    

Grand merci à toi,
j'ai modifier le fichier httpd.conf avec le bon user et group.
Le site s'affiche en chmod 700, et on y a pas accès.
 
Impeccable !

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed