Utilisateur wwwrun d'Apache = root !
Utilisateur wwwrun d'Apache = root ! - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 10-03-2006 à 20:43:08
fait un
su - wwwrun |
puis un whoami
si c'est encore root
regarde dans /etc/passwd et vérifie que l'uid de wwwrun n'est pas 0
Marsh Posté le 10-03-2006 à 20:57:26
ça ne serait pas tout simplement dû au fait que le shell de wwwrun est /bin/false 
Marsh Posté le 10-03-2006 à 22:20:20
| 0liv a écrit : ça ne serait pas tout simplement dû au fait que le shell de wwwrun est /bin/false |
bien vu!
L ID de wwwrun est différent de celui de root. Cela me rassure. Pour la sécurité, est il préférable de laisser tel quel, ou puis je affecter un shell à wwwrun?
Marsh Posté le 10-03-2006 à 22:55:03
surtout pas, à moins que tu veuilles créer une faille de sécurité potentielle 
Sujets relatifs:
- apache et vhost[resolue]
- ion3 + xterm = unable to redirect root window events for screen 0.
- [résolu] problème de partition root avec lilo
- [apache] Domaine
- Script de creation d'utilisateur et de password
- Problème de password root
- [Résolu] Interdire une IP à Apache 2
- [Apache 2] Configurer le répertoire par défaut
- changement du répertoire racine d'apache macOS X
- [apache][LDAP ] Domaines virtuels dynamique
Marsh Posté le 10-03-2006 à 20:27:25
Sur mon serveur web, apache2 fonctionne avec l utilisateur wwwrun (tel défini ds /etc/apache2/uid.conf).
en faisant un "su wwwrun" puis "whoami", je me rends compte que wwwrun n'est autre que root.
C est moyen niveau sécu!
Comment puis je corriger cela? Changer l'ID de wwwrun? Quels commandes pour cela (suse 9.1, cf mon autre post http://forum.hardware.fr/hardwaref [...] 6263-1.htm )
Merci de vos idées.
Une solution serait de créer un autre user du groupe www pour apache, mais cela m oblige a faire bcp de chmod...
Message édité par Eric B le 10-03-2006 à 20:28:16