Utilisateur wwwrun d'Apache = root !

Utilisateur wwwrun d'Apache = root ! - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 10-03-2006 à 20:27:25    

Sur mon serveur web, apache2 fonctionne avec l utilisateur wwwrun (tel défini ds /etc/apache2/uid.conf).
en faisant un "su wwwrun" puis "whoami", je me rends compte que wwwrun n'est autre que root.
C est moyen niveau sécu!
Comment puis je corriger cela? Changer l'ID de wwwrun? Quels commandes pour cela (suse 9.1, cf mon autre post http://forum.hardware.fr/hardwaref [...] 6263-1.htm )
Merci de vos idées.
 
Une solution serait de créer un autre user du groupe www pour apache, mais cela m oblige a faire bcp de chmod...


Message édité par Eric B le 10-03-2006 à 20:28:16
Reply

Marsh Posté le 10-03-2006 à 20:27:25   

Reply

Marsh Posté le 10-03-2006 à 20:43:08    

fait un

su - wwwrun


puis un whoami
si c'est encore root
regarde dans /etc/passwd et vérifie que l'uid de wwwrun n'est pas 0

Reply

Marsh Posté le 10-03-2006 à 20:57:26    

ça ne serait pas tout simplement dû au fait que le shell de wwwrun est /bin/false  :??:

Reply

Marsh Posté le 10-03-2006 à 22:20:20    

0liv a écrit :

ça ne serait pas tout simplement dû au fait que le shell de wwwrun est /bin/false  :??:


bien vu!
L ID de wwwrun est différent de celui de root. Cela me rassure. Pour la sécurité, est il préférable de laisser tel quel, ou puis je affecter un shell à wwwrun?

Reply

Marsh Posté le 10-03-2006 à 22:55:03    

surtout pas, à moins que tu veuilles créer une faille de sécurité potentielle  :whistle:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed