Bonjour, vous attendez de la communauté un support le plus précis et le plus rapide qu'il soit !
ATTENTION !! ceci est l'ancien forum fermé le mardi 16 mars 2010 à 15 heures!
Le nouveau forum de support phpBB3 est visible à cette adresse, mettez à jour vos favoris !
Sachez toutefois que ce forum restera consultable durant une longue période, malgré le fait que tout le contenu ait été restauré dans le nouveau forum.
Sujet du message: [Information prioritaire] chmods et sécurité Maximus 2008 Posté le: Dim 16 Nov, 2008 12:48 pm
Bonjour,
ce post est et va rester pour très longtemps ( je suis sur ) d'une importance majeure pour Maximus !
Hier lors d'un congrès sécurité linux auquel j'ai pu participer, j'ai vu de mes yeux vu l'incroyable concernant les droits des fichiers sous linux, donc pour nos hébergements, donc pour nos sites internet !
En résumé et sans vouloir fiche la frousse à tout un chacun, je vais devoir changer de fusil d'épaule pour l'avenir et revoir tous les tutos ( ou wiki ) se référant aux droits des fichiers !
et le pire revoir pas mal de choses dans maximus pour justement palier à des failles existantes ( je parle de failles certaines - que l'on retrouvera dans bien des cms existants )
Je suis d'autant plus maintenant formel, car ce matin dans mon petit cocon d'amour je viens de reproduire exactement ce que j'ai appris hier avec une grande aisance
Je recommande donc pour l'avenir ( voire même dans les meilleurs délais ) de modifier les CHMODs connus jusqu'alors pour Maximus
Nous allons commencer par le moins grave (si on peut dire ça ) !
Le fichier kernel/config.php
Ce fichier en deux mots, inutile de le déplacer à marseille (ou ailleurs) car comme il est lu par Maximus on peut malheureusement en lire le contenu à distance moyennant un gros travail je vous rassure ce n'est pas donné à tout le monde, mais pour ce fichier précis un CHMOD 400 sera recommandé dans la nouvelle documentation !
Celui qui vous demande de déplacer ce type de fichier, en fait n'a aucune connaissance en matière d'importation/lecture de variables, et se rêve tout seul de jours meilleurs, mais la réalité en est tout autre ...
Bon, j'ai bien dis chmod 400 et cela à son importance !
Si votre hébergeur ne vous le permet pas, alors mettez le en 440 et si là encore votre maximus ne fonctionne pas alors il faudra se résoudre à un 444 avec ses conséquences ( lecture externe au serveur rendue possible ).
Je recommande fortement de ne pas dépasser cette valeur de 444 pour ce fichier, en gardant en tête que 400 est l'idéal sécuritaire.
Maintenant passons aux choses très très sérieuses, les dossiers caches / images / et autres que nous recommandions jusqu'alors en 777 !
Si et seulement si votre hébergeur ne vous permet pas de faire autrement pour faire fonctionner votre système de cache alors ces dossiers devront rester en 777
Mais si votre hébergeur vous le permet, la nouvelle recommandation officielle sera du CHMOD 700 pour tous ces types de dossiers ( il sont listés sur le wiki, et je vais dès ce jour modifier les pages du wiki correspondantes )
Dernière information si votre hébergeur ne vous permet pas d'utiliser ces CHMODs sécuritaires, peut être vous est il possible de voir si sur leur faq il existe une solution, ou directement via leur support pour en avoir confirmation ( peut être auront ils d'autres serveurs qui le permettront ? )
Dans tous les cas, ce post est à imprimer pour vous, et sachez que ceci est valable pour tous les scripts existants ( cms ou autres ), je suis maintenant 100% sûr pour ne pas dire 200% qu'il ne faut en aucun cas utiliser un CHMOD 777 !
je vais faire suivre quelques images écrans ce qu'il est bon d'avoir comme rendu
Enfin dernière chose importante, assurez vous d'être bien le propriétaire de vos fichiers et dossiers, filezilla vous donne avec précision qui en est le propriétaire et à quel groupe appartient vos fichiers !
Dans les deux cas, les dossiers et fichier doivent vous appartenir !
et ceci est d'autant plus important avec des chmods 777 ( certains auront compris pourquoi )
Sujet du message: Re: [Information prioritaire] chmods et sécurité Maximus 200 Posté le: Dim 16 Nov, 2008 12:54 pm
exemple de propriétaire de mes fichiers, ici on peut constater que je suis bien le propriétaire des mes fichiers du dossier et qu'ils appartienne uniquement à mon groupe
--------------------------------- Mini Fiche de GravuTrad Url de mon site web: www.colok-traductions.com Version utilisée: Maximus 2009 URL Rewriting non utilisée Wysiwyg installé FCK Editor Hébergeur: OVH PHP Version: PHP 5 Espace Perso: http://www.simplemachines.org/about/team.php
http://www.simplemachines.org/community/index.php?topic=174369.0 -*-*-*-*-*-*-*-*-*-*- Générez votre rapport de référencement surwww.pagerank.hebeh.net
Sujet du message: Re: [Information prioritaire] chmods et sécurité Maximus 200 Posté le: Dim 16 Nov, 2008 6:04 pm
la base de chez base est le 444 sur bcp de fichier
laisserr le 777 est hardos meme pour les reps images
400 c'est bien mais pour l'interractivité je sais pas si les serveurs le supporte
_________________ l´erreur est humaine, mais pardonner est en dehors des capacités du systeme d´exploitation
aide | http://maximus-canada.com
--------------------------------- Mini Fiche de epsylon Url de mon site web: www.bbtomax.com Version utilisée: Maximus 2009 URL Rewriting utilisée Wysiwyg installé FCK Editor Hébergeur: servage.net/?coupon=cust18212 Apache version: 2.0 PHP Version: 4.4.4 & 5.1.6 Espace Perso: toute logique repose sur un systeme, hors aucun systeme est totalement logique, logique non?
Lao Tseu l'a dit: faut pas coder le dimanche. Sinon, toi avoir bugs et mal à la tête
blog.maximus-canada
Sujet du message: Re: [Information prioritaire] chmods et sécurité Maximus 200 Posté le: Dim 16 Nov, 2008 6:34 pm
hé oui tout le dilemne est bien là d'ailleurs !
bon dans tous les cas, ceux qui le peuvent ont fort intérêt à le faire, les autres ... ben comme on dit: jusque là ...
le problème c'est qu'il n'y a aucun moyen via php ou htaccess d'empêcher la lecture et l'écriture à distance dans un folder en 777, logiquement on ne devrait pas pouvoir, mais maintenant que je sais que l'on peut le faire très simplement, j'opte pour ne plus avoir de 777.
pour le 400, un 440 n'est pas mortel, un 444 permet déjà de lire le contenu des $var
moi quand je l'ai vu je n'y croyais pas, mais vu que j'ai la méthode j'ai bien pu le reproduire, donc d'autres que moi forcément ont déjà la méthode ( j'étais pas seul dans cet amphi et tout le monde pouvais prendre le mode d'utilisation )
Sujet du message: Re: [Information prioritaire] chmods et sécurité Maximus 200 Posté le: Dim 16 Nov, 2008 6:38 pm
400, 440 sur infomaniak niet ca passe pas
hebeh ca passe
ca craint
Edit Servage ca passe aussi
_________________ l´erreur est humaine, mais pardonner est en dehors des capacités du systeme d´exploitation
aide | http://maximus-canada.com
--------------------------------- Mini Fiche de epsylon Url de mon site web: www.bbtomax.com Version utilisée: Maximus 2009 URL Rewriting utilisée Wysiwyg installé FCK Editor Hébergeur: servage.net/?coupon=cust18212 Apache version: 2.0 PHP Version: 4.4.4 & 5.1.6 Espace Perso: toute logique repose sur un systeme, hors aucun systeme est totalement logique, logique non?
Lao Tseu l'a dit: faut pas coder le dimanche. Sinon, toi avoir bugs et mal à la tête
blog.maximus-canada
Sujet du message: Re: [Information prioritaire] chmods et sécurité Maximus 200 Posté le: Dim 16 Nov, 2008 7:22 pm
regarde servage par exemple
es tu propriétaire des fichiers générés par le cache ?
font il parti de ton groupe ou d'un groupe général type www-data ou encore apache ?
rassure toi le coup du 400 ou 440 je me doute que très très souvent ça ne va pas aller
c'est pour cela que je dis pas de psychose, on marche comme ça depuis longtemps ( et bien d'autres ), mais maintenant c'est bien officiel le danger est là et bien là
et malheureusement aucun cms ou script de surveillance ne pourrait se rendre compte de ce qu'il se passe
du moment ou l'on autorise la lecture/écriture/listage à tous, en fait on met ses données en danger
pire même comme je viens d'expliquer sur le chat !
je résume et là c'est mortel
je suis sur le même serveur ou cluster que toi, alors là hyepr easy, les fichiers appartiennent à apache, donc tous les fichiers cache du cluster appartiennent à tout le monde
conclusion, il me suffira d'écrire dans ce dossier cache/ si connu de tous les cms et roule ma poule je suis dedans
le pire étant je met un fichier ki lui sera exécuté par le premier mec qui vient sur le site en question, ce fichier a pour mission de me zipper la base du site, et en seconde étape de me zipper les fichiers php et ça c'est du concret et facile à mettre en place !
résultat quand mon opération est terminée , je delete avec un simple unlink mon fichier ( enfin celui d'apache et roule ma poule
ni vu, ni connu, le tout en 2 minutes et sans laisser une ombre d'une trace dans les logs !
Sujet du message: Re: [Information prioritaire] chmods et sécurité Maximus 200 Posté le: Dim 16 Nov, 2008 7:36 pm
alors servage n'importe quel compte ftp fait toutes les modifs que tu veux sur le ftp
hebeh pareil de memoire
infomaniak non
si compte ftp toto a creer le fichier
tata peut pas l'effacer
_________________ l´erreur est humaine, mais pardonner est en dehors des capacités du systeme d´exploitation
aide | http://maximus-canada.com
--------------------------------- Mini Fiche de epsylon Url de mon site web: www.bbtomax.com Version utilisée: Maximus 2009 URL Rewriting utilisée Wysiwyg installé FCK Editor Hébergeur: servage.net/?coupon=cust18212 Apache version: 2.0 PHP Version: 4.4.4 & 5.1.6 Espace Perso: toute logique repose sur un systeme, hors aucun systeme est totalement logique, logique non?
Lao Tseu l'a dit: faut pas coder le dimanche. Sinon, toi avoir bugs et mal à la tête
blog.maximus-canada
Sujet du message: Re: [Information prioritaire] chmods et sécurité Maximus 200 Posté le: Dim 16 Nov, 2008 8:09 pm
je suis en php 5 partout
_________________ l´erreur est humaine, mais pardonner est en dehors des capacités du systeme d´exploitation
aide | http://maximus-canada.com
--------------------------------- Mini Fiche de epsylon Url de mon site web: www.bbtomax.com Version utilisée: Maximus 2009 URL Rewriting utilisée Wysiwyg installé FCK Editor Hébergeur: servage.net/?coupon=cust18212 Apache version: 2.0 PHP Version: 4.4.4 & 5.1.6 Espace Perso: toute logique repose sur un systeme, hors aucun systeme est totalement logique, logique non?
Lao Tseu l'a dit: faut pas coder le dimanche. Sinon, toi avoir bugs et mal à la tête
blog.maximus-canada
--------------------------------- Mini Fiche de GravuTrad Url de mon site web: www.colok-traductions.com Version utilisée: Maximus 2009 URL Rewriting non utilisée Wysiwyg installé FCK Editor Hébergeur: OVH PHP Version: PHP 5 Espace Perso: http://www.simplemachines.org/about/team.php
http://www.simplemachines.org/community/index.php?topic=174369.0 -*-*-*-*-*-*-*-*-*-*- Générez votre rapport de référencement surwww.pagerank.hebeh.net
Toutes les heures sont au format GMT + 1 Heure Aller à la page 1, 2Suivante
Page 1 sur 2
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum Vous ne pouvez pas joindre des fichiers Vous ne pouvez pas télécharger des fichiers
Distroy Forums Cache ~ Distroy Sessions ~ Partenaire hébergement professionnel www.hebeh.com, votre hébergement de qualité à bas prix. Retrouvez des informations similaires grâce aux moteurs de recherche suivants:
[ Page générée en 0.1162 sec ] [ Vitesse PHP: 28% - SQL: 72% ] [ Requêtes SQL: 70 ] [ 1799 pages vues la dernière heure ]
Accueil
Les 10 derniers messages
Module forum, connexion en administrateur
126494 points
